PCI-DSS Pentest France : Exigence 11.3 et obligations pour les acteurs du paiement
La norme PCI-DSS (Payment Card Industry Data Security Standard) v4.0, publiée par le PCI Security Standards Council, impose des tests de pénétration annuels à toutes les entités qui stockent, traitent ou transmettent des données de cartes de paiement. L'Exigence 11.3 est au cœur de cette obligation. En France, le GIE Cartes Bancaires (Groupement d'Intérêt Économique Cartes Bancaires — le réseau CB) impose des exigences supplémentaires aux commerçants et prestataires de services acceptant les cartes CB. Ce guide explique qui est concerné, ce qu'exige PCI-DSS v4.0, le rôle des QSA (Qualified Security Assessors) en France et comment structurer un pentest conforme.
Ce que PCI-DSS v4.0 Exigence 11.3 impose concrètement
PCI-DSS v4.0 (applicable depuis avril 2024, remplaçant définitivement v3.2.1) renforce considérablement les exigences de test de sécurité. L'Exigence 11.3 est structurée en plusieurs sous-exigences : 11.3.1 (analyse de vulnérabilités interne trimestrielle), 11.3.1.1 (rescans jusqu'à résolution des vulnérabilités de niveau haut), 11.3.1.2 (scan interne via un analyste qualifié), 11.3.1.3 (scan externe trimestriel par un ASV — Approved Scanning Vendor), et 11.3.2 (test de pénétration complet annuel et après modification substantielle). L'Exigence 11.3.2 précise que le test de pénétration doit couvrir l'ensemble de la surface du CDE (Cardholder Data Environment) et les interfaces avec les autres zones de l'infrastructure, utiliser une méthodologie éprouvée (OWASP Testing Guide, NIST SP 800-115 ou équivalent), et tester à la fois la couche réseau et la couche applicative. Le rapport doit inclure les résultats des tests avec les vulnérabilités identifiées, une confirmation que les contrôles de segmentation réseau fonctionnent correctement (si le périmètre CDE est restreint par segmentation), et un plan de remédiation. En France, le GIE CB impose aux commerçants acceptant le paiement CB des exigences de conformité PCI-DSS proportionnées à leur volume de transactions, avec des obligations de tests renforcées pour les commerçants de niveau 1 et 2.
- PCI-DSS v4.0 Exigence 11.3.2 : test de pénétration annuel obligatoire couvrant l'ensemble du CDE (Cardholder Data Environment) — réseaux, applications web, systèmes de stockage et de traitement des données de carte.
- PCI-DSS v4.0 Exigence 11.3.2.1 : confirmation que les contrôles de segmentation réseau fonctionnent correctement et isolent efficacement le CDE du reste de l'infrastructure — test de la segmentation PCI-DSS obligatoire.
- PCI-DSS v4.0 Exigence 6.4.2 (nouveauté v4.0) : protection continue contre les attaques web par WAF ou équivalent — le pentest doit vérifier l'efficacité du WAF en place.
- GIE Cartes Bancaires (réseau CB) : les commerçants de niveau 1 (> 6 millions de transactions CB/an) doivent faire réaliser leur évaluation de conformité par un QSA (Qualified Security Assessor) agréé — le rapport de pentest est un élément obligatoire du ROC (Report on Compliance).
- PCI-DSS v4.0 Exigence 11.4 : programme de surveillance des menaces externes, incluant des abonnements à des flux de Threat Intelligence pertinents pour l'environnement de paiement — le pentest doit inclure des tests fondés sur les menaces actuelles.
- Responsabilité en cas de violation (PCI-DSS §12.10.7) : en cas d'incident de sécurité et d'absence de pentest documenté récent, les amendes PCI-DSS peuvent atteindre plusieurs centaines de milliers de dollars par mois, et la capacité d'accepter les paiements par carte peut être suspendue.
- Validation de la segmentation réseau (PCI-DSS Exigence 11.3.2.1) : si le périmètre CDE est limité par des contrôles de segmentation, le test de pénétration doit confirmer l'efficacité de cette segmentation — un échec invalide le périmètre réduit et peut entraîner la reclassification de l'ensemble du SI.
Ce qu'un test de pénétration PCI-DSS conforme doit couvrir
- Périmètre CDE (Cardholder Data Environment) : identification exhaustive de tous les systèmes stockant, traitant ou transmettant des données de carte (PAN, données piste, code CVV/CVC, données de carte à puce), cartographie des flux de données de carte.
- Applications de paiement web et mobile (PCI-DSS Exigence 6) : OWASP Top 10 (2021), tests d'injection dans les formulaires de paiement, sécurisation des transmissions (TLS 1.3), CVE-2023-44487 (HTTP/2 Rapid Reset) sur les pages de paiement, validation des redirections vers des 3DS2.
- Systèmes de point de vente (POS/EPOS) : sécurité des terminaux de paiement, intégrité du logiciel de caisse, communications entre les caisses et les systèmes d'autorisation, conformité PA-DSS/Software Security Framework.
- APIs de paiement et passerelles : test des APIs d'intégration avec les processeurs de paiement (Stripe, Adyen, Payline, Ingenico), authentification des requêtes API, protection contre les attaques de replay et de manipulation des montants.
- Segmentation réseau CDE (Exigence 11.3.2.1) : vérification que les tentatives de déplacement du réseau hors-CDE vers le CDE sont bloquées par les contrôles de segmentation, test des règles de pare-feux CDE, audit des ACLs réseau.
- Gestion des clés cryptographiques (PCI-DSS Exigence 3) : sécurité des HSM (Hardware Security Modules) utilisés pour le chiffrement des données de carte, rotation des clés, accès aux clés de chiffrement — CVE-2022-4135 (HSM vulnerability).
- Contrôle d'accès aux données de carte (PCI-DSS Exigences 7 et 8) : principe du moindre privilège, MFA pour l'accès aux systèmes CDE, revue des comptes et des droits, audit de la gestion des comptes partagés.
- Journalisation et surveillance (PCI-DSS Exigence 10) : vérification que toutes les actions sur les données de carte sont journalisées, intégrité des logs, délai de conservation (12 mois minimum), détection des accès non autorisés aux journaux.
- Tests d'hameçonnage (pour les niveaux élevés de conformité) : simulation d'attaques de phishing ciblées sur le personnel ayant accès au CDE — PCI-DSS v4.0 Exigence 12.6 renforce les obligations de sensibilisation à la sécurité.
Exemple de finding
Exfiltration de données de carte via skimming JavaScript sur la page de paiement (Magecart)
La page de paiement en ligne intègre un script JavaScript de statistiques tiers hébergé sur un CDN externe. Ce script a été compromis (attaque de type Magecart / supply chain JS) et contient un code malveillant qui intercepte les données saisies dans les champs de carte (numéro de carte, date d'expiration, CVV) avant leur soumission au processeur de paiement. Les données capturées sont exfiltrées vers un serveur externe en base64. L'attaque exploite l'absence de Content Security Policy (CSP) sur la page de paiement et l'absence de contrôle d'intégrité des ressources tierces (Subresource Integrity — SRI). PCI-DSS v4.0 Exigence 6.4.3 impose spécifiquement la gestion de tous les scripts de paiement chargés sur les pages de paiement.
Correction : Implémenter une Content Security Policy (CSP) stricte sur toutes les pages de paiement — bloquer les scripts non autorisés via script-src avec une liste blanche des domaines autorisés. Activer Subresource Integrity (SRI) pour tous les scripts tiers — vérification du hash SHA-384 à chaque chargement. Revoir et réduire au minimum les scripts tiers sur les pages de paiement (PCI-DSS Exigence 6.4.3 : inventaire et justification de chaque script). Déployer un système de surveillance de l'intégrité des pages de paiement en temps réel. Envisager l'utilisation d'un iframe de paiement hébergé par un processeur PCI-DSS certifié (tokenisation côté processeur) pour retirer les champs de carte du scope CDE.
Référence : CVE-2022-24086 (Magento Skimming) · CWE-116 Improper Encoding · PCI-DSS v4.0 Exigence 6.4.3 scripts de paiement · PCI-DSS v4.0 Exigence 11.3.2 test de pénétration · OWASP A08:2021 Software and Data Integrity Failures
Pentest PCI-DSS : comparaison des options
| — | Scan gratuit | Matproof Sentinel | Consultance classique |
|---|---|---|---|
| Moteur de scan automatisé | ✓ (aperçu 3 min) | ✓ Scan complet | ✗ Manuel uniquement |
| Couverture OWASP Top 10 | Partielle | ✓ Complète | ✓ Complète |
| Preuve d'exploitation | ✗ | ✓ Par finding | ✓ Par finding |
| Mapping réglementaire (DORA/NIS2/ISO 27001) | ✗ | ✓ Automatisé | ✓ Manuel |
| Rapport PDF prêt pour l'audit | ✗ | ✓ Instantané | ✓ Livraison 2–4 semaines |
| Scans continus / récurrents | ✗ | ✓ Par déploiement | ✗ Engagement annuel |
| Délai avant premier résultat | ~3 min | ~30 min scan complet | 2–4 semaines |
| Prix | €0 | À partir de €149 | €8 000–€25 000 |
| Revue de code source (SAST) | ✗ | ✓ Plan Growth | ✓ Périmètre défini |
| Tests API (REST/GraphQL) | ✗ | ✓ Automatisé | ✓ Manuel |
Offres de pentest conformes PCI-DSS
- 1 scan pentest complet
- Résultats priorisés par IA avec CVSS 3.1
- Proof-of-exploit pour chaque finding
- Rapport PDF (prêt pour l'audit)
- Mapping réglementaire (DORA, NIS2, ISO 27001)
- Scans illimités (jusqu'à 3 domaines)
- Surveillance continue
- Intégration CI/CD (GitHub, GitLab)
- Tous les mappings réglementaires
- Support prioritaire
- Scans + domaines illimités
- Tests authentifiés / White-Box
- Tests d'API et d'infrastructure cloud
- Account manager sécurité dédié
- SLA réponse 24h
Questions fréquentes sur le test de pénétration PCI-DSS en France
Qui est soumis à PCI-DSS en France ?
Toute entité qui stocke, traite ou transmet des données de carte de paiement est soumise à PCI-DSS : commerçants (boutiques en ligne, points de vente physiques), prestataires de services de paiement (PSP), acquéreurs, émetteurs, processeurs de paiement et prestataires informatiques ayant accès aux systèmes de données de carte. Le niveau de conformité (1 à 4 pour les commerçants, 1 à 2 pour les prestataires) est déterminé par le volume annuel de transactions et définit les obligations de validation (auto-évaluation SAQ ou évaluation QSA).
Qu'est-ce qu'un QSA et est-ce obligatoire pour le pentest PCI-DSS en France ?
Un QSA (Qualified Security Assessor) est un auditeur certifié par le PCI SSC pour réaliser des évaluations de conformité PCI-DSS. Pour les commerçants de niveau 1 (> 6 millions de transactions/an) et les prestataires de niveau 1, l'évaluation par un QSA est obligatoire pour produire un ROC (Report on Compliance). Pour les niveaux inférieurs, une auto-évaluation (SAQ) suffit, mais le test de pénétration (Exigence 11.3.2) peut être réalisé par un prestataire qualifié indépendant — pas nécessairement un QSA — tant qu'il respecte la méthodologie requise.
Quelle est la différence entre un scan ASV et un test de pénétration PCI-DSS ?
Un scan ASV (Approved Scanning Vendor) est un scan automatique de vulnérabilités des composants exposés sur Internet (Exigence 11.3.1.3 PCI-DSS), à réaliser trimestriellement par un prestataire approuvé par le PCI SSC. Il vérifie l'absence de vulnérabilités connues (CVSS ≥ 4.0) sur les interfaces externes. Un test de pénétration (Exigence 11.3.2) est un test manuel ou semi-automatique annuel qui va bien au-delà : il teste l'exploitation réelle des vulnérabilités, les enchaînements d'attaque, la segmentation réseau CDE, et la couche applicative. Les deux sont obligatoires et complémentaires.
PCI-DSS v4.0 apporte-t-il des changements significatifs par rapport à v3.2.1 en matière de pentest ?
Oui — PCI-DSS v4.0 introduit plusieurs nouveautés importantes : l'Exigence 6.4.3 impose la gestion de l'intégrité de tous les scripts de paiement chargés sur les pages web de paiement (contre les attaques Magecart) ; l'Exigence 11.3.2 est renforcée avec une obligation de tester la segmentation réseau dans tous les cas où elle est utilisée pour réduire le périmètre CDE ; l'Exigence 6.4.2 impose une protection permanente contre les attaques web (WAF ou équivalent) pour tous les composants exposés sur Internet qui font partie du CDE.
Comment le GIE Cartes Bancaires impacte-t-il les obligations PCI-DSS pour les commerçants français ?
Le GIE CB (Groupement d'Intérêt Économique Cartes Bancaires) représente le réseau national de paiement CB et impose des règles de sécurité aux commerçants et aux prestataires qui acceptent les paiements CB. Ces règles s'alignent sur PCI-DSS mais peuvent être plus spécifiques pour le contexte français. Les acquéreurs français (BNP, SocGen, Crédit Agricole, Lyra, etc.) ont l'obligation de s'assurer que leurs commerçants respectent PCI-DSS conformément aux exigences du GIE CB et du PCI SSC.
Que se passe-t-il si un commerçant français est victime d'une violation de données de carte sans pentest documenté ?
En cas de violation de données de carte (data breach) et d'absence de pentest documenté conforme PCI-DSS, les conséquences sont sévères : amendes de l'acquéreur (imposées par les réseaux Visa/Mastercard/CB) pouvant atteindre 100 000 $ à 500 000 $ ; coûts de réponse aux incidents et de forensique ; obligation de passer en niveau 1 de conformité ; potentielle suspension de la capacité d'accepter les paiements par carte ; responsabilité civile vis-à-vis des porteurs de carte victimes de fraude.
Comment Matproof Sentinel couvre-t-il les exigences PCI-DSS pour les e-commerçants ?
Matproof Sentinel réalise des tests de pénétration couvrant les exigences PCI-DSS Exigence 11.3.2 pour les composants CDE exposés sur Internet : applications web de paiement, APIs de paiement, pages de checkout. Le rapport PDF inclut le mapping explicite sur les exigences PCI-DSS v4.0, les vulnérabilités identifiées avec CVSS, et les recommandations de remédiation priorisées. Pour les évaluations QSA complètes (niveau 1), nous vous orientons vers des partenaires QSA agréés.
Les prestataires cloud hébergeant des applications de paiement sont-ils concernés par PCI-DSS ?
Oui — tout prestataire cloud hébergeant des composants dans le périmètre CDE (traitement, stockage ou transmission des données de carte) est soumis à PCI-DSS. Les principaux fournisseurs cloud (AWS, Azure, GCP) ont des offres PCI-DSS certifiées qui couvrent leur infrastructure, mais la responsabilité de la sécurité des applications et configurations déployées reste celle du client. Les commerçants doivent vérifier que leur configuration cloud et leurs applications respectent PCI-DSS indépendamment de la certification de l'hébergeur.
Approfondir — articles de blog associés
Démarrez votre pentest conforme PCI-DSS
Satisfaisez à l'Exigence 11.3.2 PCI-DSS v4.0 avec un rapport de test de pénétration structuré, incluant le mapping explicite sur les exigences PCI-DSS, les vulnérabilités identifiées dans votre CDE et les recommandations de remédiation priorisées.
Démarrer le pentest PCI-DSS