Secteur d'activité: Fabrication & distribution
Service: Services professionnels
Lieu: Amériques
Type d'organisation: Privée
Employés: 5,001-10,000
Personnel informatique dédié: 25
Besoins et exigences:
Le client exigeait une analyse complète des écarts PCI DSS afin d’évaluer l’état actuel de ses contrôles de sécurité des données de paiement par rapport à la dernière version de la norme PCI DSS. Face à l’expansion de son infrastructure numérique et à l’augmentation du volume des transactions traitées via des systèmes de billetterie et des intégrations de services tiers, l’organisation devait identifier les faiblesses de ses contrôles et élaborer une feuille de route priorisée pour une conformité totale. Par ailleurs, un mandat plus large visait à renforcer la gouvernance et la visibilité des risques dans les environnements informatiques et opérationnels, en alignant les efforts de sécurité sur les obligations réglementaires et les cadres internes de gestion des risques.
Principaux défis:
Environnements de paiement décentralisés: Les processus de paiement étaient fragmentés entre plusieurs unités commerciales et fournisseurs tiers, ce qui rendait difficile l’application de contrôles PCI DSS cohérents.
Expertise interne limitée en matière de conformité: L’organisation ne disposait pas de spécialistes internes maîtrisant parfaitement l’interprétation et la mise en œuvre de la norme PCI DSS, ce qui a engendré une incertitude quant à la portée, l’applicabilité et la maturité des contrôles.
Contraintes liées aux systèmes et infrastructures existants: Les systèmes OT et IT existants n’ont pas été conçus à l’origine en tenant compte de la conformité PCI DSS, ce qui a créé des lacunes techniques et procédurales en matière de segmentation du réseau, de contrôle d’accès et de conservation des données.
Solution:
Gouvernance, risques et conformité (GRC): Pour répondre aux besoins de son client en matière de conformité et de visibilité des risques, Hitachi Cyber a mené une évaluation ciblée de la conformité PCI DSS niveau 2 et une analyse des écarts associée, axées sur son écosystème de billetterie numérique. Toutes les activités d’évaluation ont été réalisées à distance, y compris des entretiens structurés avec les principaux interlocuteurs, tant au siège du client que chez ses partenaires externes de développement e-commerce et de plateforme.
L’évaluation s’est concentrée sur le site e-commerce du client et son API partenaire, avec une attention particulière portée au système 360 Pass, développé par un prestataire tiers. Dans le cadre de la solution proposée, Hitachi Cyber a procédé à un examen approfondi des pratiques de tokenisation (stockage des tokens, associations et flux de travail associés) afin de confirmer qu’aucune donnée sensible relative aux comptes n’était stockée, traitée ou transmise au sein de l’environnement du client. Les canaux de paiement en magasin et de vente par correspondance/téléphone ont été jugés non concernés par le périmètre de l’évaluation.
Parallèlement, Hitachi Cyber a réalisé un audit indépendant de l’application développée par Global Logic afin de valider son niveau de sécurité et sa conformité à la norme PCI DSS. Une matrice de contrôle basée sur la norme PCI DSS v4.0 a été élaborée pour comparer les contrôles existants aux exigences standard. Un rapport d’analyse des écarts détaillé a ensuite été créé, mettant en évidence les non-conformités et proposant des recommandations de correction personnalisées. La mission s’est conclue par la remise et la présentation d’un rapport final d’analyse des écarts PCI DSS spécifique au système 360 Pass, offrant au client une feuille de route claire et concrète pour combler les lacunes de conformité. La validation de la mise en production n’était pas incluse dans le périmètre de cette mission.
Résultats:
Cette mission a permis au client de bien comprendre sa conformité à la norme PCI DSS, notamment en ce qui concerne le système 360 Pass et l’infrastructure e-commerce associée. Le client a obtenu la confirmation qu’aucune donnée de compte n’était stockée, traitée ou transmise au sein de ses systèmes, réduisant ainsi considérablement son périmètre de conformité. Le rapport d’analyse des écarts détaillé a fourni des recommandations concrètes pour la mise en œuvre de mesures correctives, permettant à l’organisation de prioriser les améliorations de sécurité et de progresser sereinement vers une conformité PCI DSS totale. Par ailleurs, cette approche structurée a renforcé la sensibilisation interne aux exigences réglementaires et consolidé la collaboration entre le client et ses partenaires de développement externes.
Prochaines étapes:
Le client lancera un plan de remédiation basé sur les conclusions du rapport final, afin de combler les lacunes de contrôle identifiées lors de l’évaluation. Les principaux axes de travail porteront sur la mise à jour de la documentation, l’amélioration des pratiques de sécurité des API et le renforcement de la gouvernance des flux de tokenisation. Un audit de préparation sera programmé pour valider la correction des lacunes critiques avant toute certification PCI DSS.
