--- url: 'https://www.corbado.com/fr/blog/pci-dss-4-0-authentification-passkeys' title: 'Authentification PCI DSS 4.0 : Les Passkeys' description: 'Découvrez comment l''authentification par passkeys répond aux exigences MFA de la norme PCI DSS 4.0, renforce la sécurité et simplifie la conformité pour les commerçants qui traitent les données des titulaires de cartes.' lang: 'fr' author: 'Vincent Delitz' date: '2025-07-15T13:24:12.491Z' lastModified: '2026-03-25T10:05:23.272Z' keywords: 'pci dss, pci, authentification pci, pci ssc' category: 'Passkeys Strategy' --- # Authentification PCI DSS 4.0 : Les Passkeys ## 1. Introduction Le paysage numérique est en constante évolution, et avec lui, la sophistication et la fréquence des cybermenaces ne cessent d'augmenter. Les données de cartes de [paiement](https://www.corbado.com/passkeys-for-payment) restent une cible de choix pour les acteurs malveillants, ce qui rend des normes de sécurité robustes essentielles pour toute organisation qui les manipule. La norme de sécurité des données de l'industrie des cartes de [paiement](https://www.corbado.com/passkeys-for-payment) (PCI DSS) sert depuis longtemps de référence pour la protection des données des titulaires de cartes. Sa dernière version, [PCI DSS](https://www.corbado.com/blog/pci-dss-4-0-authentication-passkeys) 4.0, représente une [avancée significative](https://listings.pcisecuritystandards.org/documents/PCI-DSS-v3-2-1-to-v4-0-Summary-of-Changes-r1.pdf), répondant directement aux menaces modernes par, entre autres améliorations, des exigences d'[authentification](https://www.corbado.com/fr/blog/comment-passer-totalement-sans-mot-de-passe) considérablement renforcées. Alors que les organisations font face à ces nouvelles exigences, les technologies émergentes offrent des solutions prometteuses. Les passkeys, basés sur les normes de l'Alliance FIDO (Fast Identity Online) et le protocole WebAuthn, sont à l'avant-garde de cette nouvelle vague d'[authentification](https://www.corbado.com/fr/blog/comment-passer-totalement-sans-mot-de-passe). Ils offrent une approche [sans mot de passe](https://www.corbado.com/fr/blog/comment-passer-totalement-sans-mot-de-passe), résistante au [phishing](https://www.corbado.com/glossary/phishing), et améliorent la manière dont l'accès aux données sensibles est sécurisé. **Cet article analyse les changements critiques apportés par la norme PCI DSS 4.0, notamment en matière d'authentification sécurisée**, explore les capacités de l'[authentification](https://www.corbado.com/fr/blog/comment-passer-totalement-sans-mot-de-passe) par passkeys et fournit une feuille de route pour tirer parti de cette technologie afin d'atteindre et de maintenir la conformité. Cette exploration soulève deux questions importantes pour les organisations qui naviguent dans ce nouveau domaine : 1. **Authentification** : _Alors que la norme PCI DSS 4.0 relève la barre en matière d'authentification, comment les organisations peuvent-elles répondre efficacement à ces nouvelles exigences strictes sans surcharger les utilisateurs ou les équipes de sécurité ?_ 2. **Passkeys et conformité PCI** : _Les technologies émergentes comme les passkeys peuvent-elles satisfaire les contrôles d'authentification de la norme PCI DSS 4.0, améliorer la sécurité et l'efficacité opérationnelle ?_ Cet article vise à fournir des réponses, guidant les professionnels de la technologie vers un avenir plus sûr et plus conforme. ## 2. Comprendre la norme PCI DSS et les changements de la version 4.0 Pour apprécier le rôle des passkeys dans le paysage actuel de la conformité, il est crucial de comprendre le cadre [PCI DSS](https://www.corbado.com/blog/pci-dss-4-0-authentication-passkeys) et l'évolution significative marquée par la version 4.0. ### 2.1 Qu'est-ce que la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) ? La [norme de sécurité des données PCI](https://www.pcisecuritystandards.org/standards/) est une norme mondiale de sécurité de l'information conçue pour protéger les données de [paiement](https://www.corbado.com/passkeys-for-payment). Elle s'applique à toutes les entités qui stockent, traitent ou transmettent des données de titulaires de cartes, ce qui inclut les commerçants, les processeurs, les acquéreurs, les émetteurs et les fournisseurs de services. La norme a été [développée par les principales marques de cartes de paiement](https://en.wikipedia.org/wiki/Payment_Card_Industry_Security_Standards_Council) (American Express, Discover [Financial Services](https://www.corbado.com/passkeys-for-banking), JCB International, [MasterCard](https://www.corbado.com/blog/mastercard-passkeys) et [Visa](https://www.corbado.com/blog/visa-passkeys)) qui ont formé le Conseil des normes de sécurité [PCI](https://www.corbado.com/blog/pci-dss-4-0-authentication-passkeys) (PCI SSC) le 7 septembre 2006 pour gérer son évolution continue. La norme [PCI DSS](https://www.corbado.com/blog/pci-dss-4-0-authentication-passkeys) se compose d'un ensemble complet d'[exigences techniques et opérationnelles](https://www.pcisecuritystandards.org/standards/), formant une base pour la protection des données de paiement tout au long de leur cycle de vie. ### 2.2 Le Conseil des normes de sécurité PCI (PCI SSC) et sa mission Le [PCI SSC](https://www.corbado.com/blog/pci-dss-4-0-authentication-passkeys) fonctionne comme un [forum mondial](https://www.pcisecuritystandards.org/), réunissant les parties prenantes de l'industrie des [paiements](https://www.corbado.com/passkeys-for-payment) pour développer et promouvoir l'adoption de normes de sécurité des données et de ressources pour des [paiements](https://www.corbado.com/passkeys-for-payment) sécurisés dans le monde entier. Au-delà de la norme [PCI](https://www.corbado.com/blog/pci-dss-4-0-authentication-passkeys) DSS, le Conseil gère un [ensemble de normes](https://en.wikipedia.org/wiki/Payment_Card_Industry_Security_Standards_Council) traitant de divers aspects de la sécurité des paiements. Sa mission est d'améliorer la sécurité des données de comptes de paiement à l'échelle mondiale en développant des normes et des services de soutien qui [favorisent l'éducation, la sensibilisation et une mise en œuvre efficace](https://www.researchgate.net/publication/385008508_Achieving_PCI-DSS_Compliance_in_Payment_Gateways_A_Comprehensive_Approach) par les parties prenantes. ### 2.3 Évolution vers la norme PCI DSS 4.0 : principaux moteurs et objectifs Les [normes PCI DSS 4.0](https://www.commerce.uwo.ca/pdf/PCI-DSS-v4_0.pdf), officiellement publiées en mars 2022, [avec une révision mineure ultérieure (v4.0.1) pour répondre aux commentaires des parties prenantes](https://www.middlebury.edu/sites/default/files/2025-01/PCI-DSS-v4_0_1.pdf), marquent la mise à jour la plus importante de la norme depuis des années. Le principal moteur de cette évolution était la nécessité de faire face au paysage de plus en plus sophistiqué des cybermenaces et à l'environnement technologique changeant au sein de l'industrie des [paiements](https://www.corbado.com/passkeys-for-payment). Les objectifs principaux de la norme PCI DSS 4.0 sont : - **Répondre aux besoins de sécurité évolutifs de l'industrie du paiement :** S'assurer que la norme reste efficace contre les menaces actuelles et émergentes, telles que le [phishing](https://www.corbado.com/glossary/phishing) basé sur l'IA. - **Promouvoir la sécurité comme un processus continu :** Déplacer l'accent de la conformité ponctuelle vers une [discipline de sécurité continue](https://www.fortra.com/resources/guides/pci-dss-4-compliance). - **Améliorer les méthodes et procédures de validation :** Accroître la rigueur et la cohérence des évaluations de conformité. - **Ajouter de la flexibilité et soutenir des méthodologies supplémentaires :** Donner aux organisations plus de latitude dans la manière dont elles atteignent les objectifs et les résultats en matière de sécurité. ### 2.4 Changements fondamentaux de la version 4.0 : accent sur les résultats de sécurité, la sécurité continue, la mise en œuvre personnalisée et les délais de transition [La norme PCI DSS 4.0 introduit](https://www.middlebury.edu/sites/default/files/2025-01/PCI-DSS-v4_0_1.pdf) plusieurs changements fondamentaux qui ont un impact sur la manière dont les organisations abordent la conformité : **Accent sur les résultats de sécurité plutôt que sur les contrôles prescriptifs** Un changement essentiel est le passage de contrôles principalement prescriptifs à un accent mis sur les résultats de sécurité. La norme elle-même détaille cette flexibilité : > _Section 8 : Approches pour la mise en œuvre et la validation de la norme PCI DSS_ > > Pour soutenir la flexibilité dans la manière dont les objectifs de sécurité sont > atteints, il existe deux approches pour la mise en œuvre et la validation de la norme > PCI DSS. > > L'approche personnalisée se concentre sur l'objectif de chaque exigence PCI DSS, > permettant aux entités de mettre en œuvre des contrôles pour atteindre l'objectif > déclaré de l'exigence d'une manière qui ne suit pas strictement l'exigence définie. Ce changement signifie que si la norme PCI DSS 3.2.1 offrait des instructions détaillées sur _ce qu'il fallait faire_, la version 4.0 permet aux organisations plus de flexibilité sur la _manière_ de répondre aux exigences. Les entreprises peuvent mettre en œuvre les contrôles les mieux adaptés à leur environnement, à condition de pouvoir démontrer que ces contrôles atteignent les objectifs de sécurité déclarés. Ceci est particulièrement pertinent pour l'adoption de technologies innovantes comme les passkeys, qui ne s'intégraient peut-être pas parfaitement dans les descriptions de contrôle plus anciennes et plus rigides. Cette flexibilité, cependant, s'accompagne de l'attente que les organisations mèneront des évaluations des risques approfondies et justifieront clairement les méthodologies de contrôle choisies. **Sécurité continue (Business-as-Usual)** Un autre principe clé de la norme PCI DSS 4.0 est la promotion de la sécurité en tant que processus continu, intégré aux activités courantes (Business-as-Usual ou BAU). La norme détaille cela dans la Section 5 : > _Section 5 : Meilleures pratiques pour intégrer la norme PCI DSS dans les processus > métier courants_ > > Une entité qui met en œuvre des processus métier courants... prend des mesures pour > s'assurer que les contrôles de sécurité... continuent d'être mis en œuvre correctement > et de fonctionner comme il se doit dans le cours normal des affaires. > > Certaines [exigences PCI DSS](https://www.corbado.com/fr/blog/conformite-cybersecurite) sont destinées à agir > comme des processus BAU en surveillant les contrôles de sécurité pour garantir leur > efficacité de manière continue. Cet accent sur les processus "business-as-usual" (BAU) signifie que les organisations doivent intégrer la sécurité dans leurs activités de routine. Il s'agit de favoriser une culture où la sécurité n'est pas une réflexion après coup ou une course annuelle, mais une partie intégrante des opérations, garantissant une surveillance continue, des évaluations régulières et des postures de sécurité adaptatives pour assurer une protection durable des données des titulaires de cartes. Pour les implémentations de passkeys, cela se traduit par une vigilance constante dans le suivi de leur efficacité, des modèles d'adoption par les utilisateurs et de toute menace émergente, faisant de la sécurité un effort soutenu plutôt qu'un exercice de conformité ponctuel. **Mise en œuvre personnalisée et analyse des risques ciblée** Une nouvelle fonctionnalité importante de la norme PCI DSS 4.0 est l'option formalisée de [mise en œuvre personnalisée](https://blog.pcisecuritystandards.org/pci-dss-v4-0-compensating-controls-vs-customized-approach), qui est intrinsèquement liée à une évaluation rigoureuse des risques. La norme impose ce lien dans l'exigence 12.3.2 : > _Exigence 12.3.2 : Soutenir la sécurité de l'information avec des politiques et des > programmes organisationnels_ > > Une analyse des risques ciblée est effectuée pour chaque exigence PCI DSS que l'entité > satisfait avec l'approche personnalisée, pour inclure... des preuves documentées... > l'approbation par la direction générale, et la réalisation de l'analyse ciblée des > risques au moins une fois tous les 12 mois. Cette option formalisée permet aux organisations d'atteindre les objectifs de sécurité en utilisant de nouvelles technologies et des contrôles innovants adaptés à leurs environnements uniques, plutôt que d'adhérer strictement à des méthodes prescriptives. Cependant, comme le souligne la citation, cette flexibilité repose sur la réalisation d'une analyse des risques ciblée pour chaque contrôle personnalisé. Cette analyse doit être documentée, approuvée par la direction générale et examinée annuellement. Un évaluateur tiers (Évaluateur de sécurité qualifié ou QSA) valide ensuite ces contrôles personnalisés en examinant l'approche documentée de l'organisation, y compris l'analyse des risques, et en développant des procédures de test spécifiques. Cette voie est un catalyseur clé pour des solutions comme les passkeys, permettant aux organisations de tirer parti efficacement de leurs fonctionnalités de sécurité avancées, à condition qu'elles puissent démontrer par une analyse des risques que leur approche atteint les objectifs de sécurité. La capacité de personnaliser la mise en œuvre, soutenue par une analyse des risques robuste, reflète une compréhension que l'évolution rapide des menaces et des technologies de défense rend les contrôles rigides et prescriptifs moins adaptables au fil du temps. **Délais de transition** La norme PCI DSS 3.2.1 est restée active aux côtés de la v4.0 jusqu'au 31 mars 2024, date à laquelle elle a été retirée. Les nouvelles exigences introduites dans la norme PCI DSS 4.0 ont été considérées comme des meilleures pratiques jusqu'au 31 mars 2025. Après cette date, ces nouvelles exigences deviendront obligatoires pour toutes les évaluations. Cette approche progressive a donné aux organisations une fenêtre pour comprendre, planifier et mettre en œuvre les changements. Ces changements signalent collectivement une approche plus mature, adaptable et axée sur les risques pour la sécurité des cartes de paiement, préparant le terrain pour l'adoption de mécanismes d'authentification plus forts et plus modernes. ## 3. Les enjeux sont élevés : implications de la non-conformité à la norme PCI DSS Le non-respect des [exigences PCI DSS](https://www.corbado.com/fr/blog/conformite-cybersecurite) n'est pas une simple négligence ; il entraîne des conséquences importantes et multiples qui peuvent gravement affecter la stabilité financière, la situation juridique et la réputation d'une organisation. ### 3.1 Sanctions financières La conséquence la plus directe de la non-conformité est l'imposition de [sanctions financières](https://www.securitycompass.com/blog/pci-non-compliance-fees/). Ces amendes sont généralement infligées par les banques acquéreuses et les processeurs de paiement, et non directement par le [PCI SSC](https://www.corbado.com/blog/pci-dss-4-0-authentication-passkeys). Les pénalités peuvent être substantielles, allant de [5 000 $ à 100 000 $ par mois](https://www.ixopay.com/blog/5-consequences-of-pci-noncompliance), en fonction du volume de transactions traitées (qui détermine le niveau du commerçant, par exemple, Niveau 1 pour plus de 6 millions de transactions annuelles contre Niveau 4 pour moins de 20 000 transactions de [commerce électronique](https://www.corbado.com/passkeys-for-e-commerce)) et de la durée et de la gravité de la non-conformité. Par exemple, un commerçant de niveau 1 non conforme pendant plusieurs mois est plus susceptible de faire face à des pénalités dans la partie supérieure de cette fourchette, tandis que les petites entreprises de niveau 4 pourraient encourir des amendes plus proches de 5 000 $ par mois. Il est crucial de comprendre que ces amendes peuvent être un [fardeau mensuel récurrent](https://www.ixopay.com/blog/5-consequences-of-pci-noncompliance). Cette pression financière persistante, potentiellement aggravée par une [augmentation des frais de transaction](https://www.securitycompass.com/blog/pci-non-compliance-fees/) que les processeurs de paiement peuvent facturer aux entreprises non conformes, signifie que le [co](https://www.corbado.com/fr/blog/conformite-cybersecurite)ût cumulé de la _non-conformité_ dépasse de loin l'investissement requis pour _atteindre et maintenir la conformité_. Cela recadre la conformité non pas comme un simple centre de [co](https://www.corbado.com/fr/blog/conformite-cybersecurite)ûts, mais comme un investissement essentiel pour l'atténuation des risques. Investir dans des mesures de sécurité robustes, y compris une [authentification forte](https://www.corbado.com/fr/blog/passkeys-dsp2) comme les passkeys, devient une décision financièrement prudente pour éviter ces [co](https://www.corbado.com/fr/blog/conformite-cybersecurite)ûts plus importants, souvent imprévisibles et potentiellement paralysants. ### 3.2 Répercussions juridiques et réglementaires Au-delà des amendes directes, la non-conformité peut entraîner de sérieux défis juridiques, surtout si elle aboutit à une violation de données. Les clients dont les données sont compromises peuvent intenter des poursuites, et les marques de cartes peuvent également engager des actions en justice. Un état de non-conformité peut rendre considérablement plus facile pour les plaignants de démontrer la négligence de la part de l'organisation, ce qui peut entraîner des règlements et des jugements coûteux. ### 3.3 Atteinte à la réputation et perte de confiance des clients L'une des conséquences les plus dommageables, bien que moins quantifiable, est peut-être le préjudice porté à la réputation d'une organisation. Un seul manquement à la conformité, en particulier celui qui conduit à une violation de données, peut gravement éroder la confiance des clients. Une fois perdue, cette confiance est difficile à regagner, ce qui entraîne souvent une perte de clientèle, une perte d'activité au profit des concurrents et des dommages à long terme à l'image de la marque. Des violations répétées ou graves peuvent même conduire à la [révocation des privilèges de traitement des paiements d'une organisation](https://www.securitycompass.com/blog/pci-non-compliance-fees/) par les marques de cartes ou les banques acquéreuses, coupant ainsi leur capacité à accepter les paiements par carte. Cela souligne l'importance de considérer la conformité non seulement comme une exigence technique, mais aussi comme un élément fondamental de la confiance en la marque et de la continuité des activités. ### 3.4 Coûts d'indemnisation en cas de violation de données Si la non-conformité contribue à une violation de données, l'organisation sera probablement responsable de coûts d'indemnisation substantiels en plus des amendes et des frais juridiques. Ces coûts peuvent inclure la fourniture aux clients concernés de services tels que la surveillance gratuite du crédit, une [assurance](https://www.corbado.com/passkeys-for-insurance) contre le vol d'identité et le remboursement des frais frauduleux ou des frais de service. De plus, le coût de réémission des cartes de paiement compromises, estimé entre 3 et 5 dollars par carte, peut rapidement atteindre des millions de dollars pour les violations affectant un grand nombre de titulaires de cartes. Inversement, si une organisation subit une violation tout en étant pleinement conforme à la norme PCI DSS, les amendes associées peuvent être réduites, voire éliminées, car la conformité démontre une diligence raisonnable et un engagement envers la sécurité, plutôt qu'une négligence. L'éventail des résultats négatifs potentiels met en évidence que la conformité PCI DSS est un aspect indispensable des opérations commerciales modernes pour toute entité impliquée dans l'écosystème des cartes de paiement. ## 4. Les contrôles d'authentification renforcés de la norme PCI DSS 4.0 : un examen approfondi de l'exigence 8 L'exigence 8 de la norme PCI DSS a toujours été une pierre angulaire de la norme. Avec la version 4.0, ses stipulations ont été considérablement renforcées, reflétant le rôle essentiel d'une authentification robuste pour empêcher l'accès non autorisé aux données sensibles des titulaires de cartes et aux systèmes qui les traitent. ### 4.1 Aperçu de l'exigence 8 : Identifier et authentifier l'accès aux composants du système L'objectif principal de l'exigence 8 est de garantir que chaque individu accédant aux composants du système au sein de l'environnement des données de titulaires de cartes (CDE) ou s'y connectant puisse être identifié de manière unique et authentifié de manière robuste. Ceci est important pour maintenir l'intégrité et la sécurité des données des titulaires de cartes en empêchant l'accès non autorisé et en s'assurant que toutes les actions peuvent être retracées jusqu'à un utilisateur spécifique et connu, établissant ainsi une responsabilité individuelle. ### 4.2 Mandats renforcés pour l'authentification multifacteur (MFA) Une évolution majeure de la norme PCI DSS 4.0 est l'expansion et la fortification des exigences d'authentification multifacteur (MFA) : - **MFA universelle pour l'accès au CDE :** Contrairement à la norme PCI DSS 3.2.1, qui imposait principalement la [MFA](https://www.corbado.com/fr/blog/comment-passer-totalement-sans-mot-de-passe) pour l'accès administratif et tout accès à distance au CDE, la version 4.0 exige la [MFA](https://www.corbado.com/fr/blog/comment-passer-totalement-sans-mot-de-passe) pour _tout_ accès au CDE. Cela inclut l'accès par les administrateurs, les utilisateurs généraux et les fournisseurs tiers, que l'accès provienne de l'intérieur ou de l'extérieur du réseau. Cette expansion significative souligne la reconnaissance par le [PCI SSC](https://www.corbado.com/blog/pci-dss-4-0-authentication-passkeys) de la [MFA](https://www.corbado.com/fr/blog/comment-passer-totalement-sans-mot-de-passe) comme un contrôle de sécurité fondamental.\ La norme spécifie ces exigences : > _Extraits de l'exigence 8_ > > "8.4.1 La MFA est mise en œuvre pour tout accès non-console au CDE pour le personnel > ayant un accès administratif."  > > "8.4.3 La MFA est mise en œuvre pour tout accès à distance provenant de l'extérieur > du réseau de l'entité qui pourrait accéder au CDE ou avoir un impact sur celui-ci." >  - **Exigences relatives aux facteurs :** Les implémentations de MFA doivent utiliser au moins deux des trois types de facteurs d'authentification reconnus : - Quelque chose que vous savez (par exemple, mot de passe, PIN) - Quelque chose que vous possédez (par exemple, un jeton, une [carte à puce](https://www.corbado.com/fr/glossary/carte-a-puce) ou un appareil détenant un passkey) - Quelque chose que vous êtes (par exemple, des données biométriques comme une empreinte digitale ou une reconnaissance faciale). Il est crucial que ces facteurs soient indépendants, ce qui signifie que la compromission d'un facteur ne compromet pas les autres. - **Intégrité du système MFA :** Les systèmes MFA doivent être conçus pour résister aux attaques par rejeu (où un attaquant intercepte et réutilise des données d'authentification) et ne doivent accorder l'accès qu'après que tous les facteurs d'authentification requis ont été validés avec succès. - **Pas de contournement non autorisé :** La MFA ne doit pas pouvoir être contournée par un utilisateur, y compris les administrateurs, sauf si une exception spécifique et documentée est accordée par la direction au cas par cas pour une période limitée. - **L'authentification résistante au phishing comme exception :** La norme PCI DSS 4.0 introduit également des directives supplémentaires concernant les facteurs d'authentification résistants au [phishing](https://www.corbado.com/glossary/phishing), qui peuvent, dans certains cas, répondre à l'intention de la MFA. > _Extraits de l'exigence 8_ > > "Cette exigence ne s'applique pas aux... comptes d'utilisateurs qui sont uniquement > authentifiés avec des facteurs d'authentification résistants au phishing." — Notes > d'applicabilité à 8.4.2  > > "Authentification résistante au phishing... Des exemples d'authentification > résistante au phishing incluent [FIDO2](https://www.corbado.com/glossary/fido2)." — Annexe G, Glossaire, > définition de l'authentification résistante au phishing  Les implications de l'authentification résistante au phishing, comme le soulignent ces extraits, seront explorées plus en détail dans la section suivante (4.3). ### 4.3 Accent sur l'authentification résistante au phishing La norme PCI DSS 4.0 met un accent notable sur l'utilisation de méthodes d'authentification résistantes au phishing. C'est une réponse directe à la prévalence et au succès des attaques de phishing dans la compromission des identifiants traditionnels. - **L'authentification résistante au phishing comme alternative/complément à la MFA :** - Un développement essentiel sous l'exigence 8.4.2 est que les méthodes d'authentification résistantes au phishing peuvent être utilisées [_à la place de_ la MFA traditionnelle](https://blog.pcisecuritystandards.org/coffee-with-the-council-podcast-passwords-versus-passkeys-a-discussion-with-the-fido-alliance) pour tout accès non administratif au CDE provenant de l'intérieur du réseau de l'entité. C'est une disposition importante pour des technologies comme les passkeys, qui sont intrinsèquement résistantes au phishing. Cela signale que le PCI SSC considère que ces méthodes avancées fournissent un niveau d'assurance comparable, voire supérieur, à certaines combinaisons de MFA traditionnelles pour ce cas d'utilisation spécifique. - **Cependant, pour l'accès administratif au CDE (Exigence 8.4.1) et pour tout accès à distance provenant de l'extérieur du réseau de l'entité vers le CDE (Exigence 8.4.3), bien que l'authentification résistante au phishing soit fortement recommandée, elle [_doit être combinée avec au moins un autre facteur d'authentification_](https://blog.pcisecuritystandards.org/coffee-with-the-council-podcast-passwords-versus-passkeys-a-discussion-with-the-fido-alliance) pour répondre à l'exigence de MFA.** Cette distinction nécessite une approche nuancée de la mise en œuvre des passkeys, potentiellement une stratégie à plusieurs niveaux où les passkeys seuls suffisent pour les utilisateurs internes généraux, mais les passkeys combinés à un autre facteur sont utilisés pour les scénarios d'accès à plus haut risque. - **Reconnaissance de FIDO et avis d'experts :** La norme mentionne spécifiquement l'authentification basée sur FIDO (qui sous-tend les passkeys) comme une méthode privilégiée pour atteindre la MFA, en grande partie en raison de ses caractéristiques robustes de résistance au phishing. Des informations supplémentaires sur ce sujet ont été partagées dans l'épisode du podcast du PCI SSC "Coffee with the Council", "Passwords Versus Passkeys: A Discussion with the [FIDO Alliance](https://www.corbado.com/glossary/fido-alliance)" ([https://blog.pcisecuritystandards.org/coffee-with-the-council-podcast-passwords-versus-passkeys-a-discussion-with-the-fido-alliance](https://blog.pcisecuritystandards.org/coffee-with-the-council-podcast-passwords-versus-passkeys-a-discussion-with-the-fido-alliance)). Dans le podcast, Andrew Jamieson, VP Distinguished Standards Architect au PCI SSC, a souligné la valeur de ces technologies : > "Je voudrais réitérer que je pense que l'authentification résistante au phishing est > une excellente technologie. C'est quelque chose qui peut résoudre beaucoup des > problèmes que nous avons avec les mots de passe. Et je suggérerais fortement que > lorsque les gens examinent les technologies qu'ils vont mettre en œuvre pour > l'authentification, ils se penchent sur l'authentification résistante au phishing et > ce qu'elle peut apporter, mais aussi qu'ils comprennent que c'est un peu différent > de ce à quoi les gens sont habitués et qu'ils cherchent comment l'intégrer > correctement et en toute sécurité dans leur architecture d'authentification > globale." Megan Shamas, directrice du marketing à la [FIDO Alliance](https://www.corbado.com/glossary/fido-alliance) (voir [Direction de FIDO](https://fidoalliance.org/overview/leadership/)), a souligné le changement fondamental que ces technologies représentent et la nécessité pour les politiques de s'adapter : > "C'est fondamentalement différent de ce à quoi nous sommes habitués avec les mots de > passe plus un facteur, un facteur, un facteur, et nous avons fait évoluer la > technologie et maintenant les gens doivent aussi faire évoluer leurs exigences et > leurs politiques en conséquence. Et cela aidera vraiment les organisations à se > mettre sur la bonne voie pour se débarrasser de l'authentification vulnérable au > phishing." Cette perspective commune souligne l'évolution de l'industrie vers des méthodes d'authentification plus sûres et modernes. ### 4.4 Nouvelles exigences pour les mots de passe et les phrases de passe (s'ils sont utilisés) Bien que la norme PCI DSS 4.0 pousse fortement vers la MFA et les méthodes résistantes au phishing, elle renforce également les exigences pour les mots de passe et les phrases de passe s'ils sont encore utilisés : - **Longueur et complexité accrues :** La longueur minimale du mot de passe est passée de sept caractères dans la v3.2.1 à 12 caractères dans la v4.0 (ou au moins 8 caractères si le système ne prend pas en charge 12). Les mots de passe doivent également inclure un mélange de caractères numériques et alphabétiques. - **Fréquence de changement de mot de passe :** Les mots de passe doivent être changés au moins tous les 90 jours s'ils sont le _seul_ facteur utilisé pour l'authentification (c'est-à-dire qu'aucune MFA n'est appliquée à ce compte pour cet accès). Cette exigence peut être levée si la MFA est mise en œuvre pour l'accès, ou si l'organisation emploie une authentification continue et basée sur les risques qui évalue dynamiquement l'accès en temps réel. Le renforcement significatif des règles sur les mots de passe, associé aux mandats étendus de MFA et à l'approbation claire des approches résistantes au phishing, signale une direction stratégique de la part du PCI SSC : réduire systématiquement la dépendance aux mots de passe comme mécanisme d'authentification principal ou unique. Les mots de passe sont depuis longtemps reconnus comme un maillon faible de la sécurité, et la norme PCI DSS 4.0 cherche activement à atténuer leurs risques inhérents en rendant leur utilisation autonome plus stricte et moins attrayante, tout en promouvant simultanément des alternatives plus fortes et modernes. Pour illustrer clairement ces changements, le tableau suivant compare les aspects clés de l'authentification entre les normes PCI DSS 3.2.1 et 4.0 : **Tableau 1 : Principales différences en matière d'authentification : PCI DSS 3.2.1 vs 4.0** | Caractéristique | PCI DSS 3.2.1 | PCI DSS 4.0 | | :------------------------------------------ | :---------------------------------------------------------------------------------- | :---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | **MFA pour l'accès au CDE** | Obligatoire pour l'accès administratif non-console et tout accès à distance au CDE. | Obligatoire pour [**tout** accès au CDE](https://drata.com/blog/pci-dss-v4-0) (administratif, non administratif, interne, à distance). | | **Longueur du mot de passe (minimum)** | 7 caractères (numériques et alphabétiques). | 12 caractères (numériques et alphabétiques) ; 8 si le système ne prend pas en charge 12. | | **Fréquence de changement de mot de passe** | Tous les 90 jours. | Tous les 90 jours [**si le mot de passe est le seul facteur**](https://www.securitymetrics.com/blog/password-updates-and-requirements-in-pci-4) ; peut être plus long si la MFA ou l'authentification basée sur les risques est utilisée. | | **Accent sur la résistance au phishing** | Limité, principalement traité par la sensibilisation générale à la sécurité. | Fort accent ; l'authentification résistante au phishing peut remplacer la MFA pour certains accès internes au CDE (Exigence 8.4.2). FIDO explicitement mentionné. | | **Utilisation des passkeys/FIDO** | Non explicitement abordée comme méthode principale. | L'authentification basée sur FIDO est citée comme une méthode MFA privilégiée. Les méthodes résistantes au phishing (comme les passkeys) se voient attribuer des rôles spécifiques pour répondre aux exigences de MFA. | Cette attention accrue portée à l'authentification dans la norme PCI DSS 4.0 donne une direction claire aux organisations pour réévaluer leurs stratégies actuelles et explorer des solutions plus résilientes comme les passkeys. ## 5. Les passkeys : l'avenir de l'authentification résistante au phishing Basés sur les normes de la [FIDO Alliance](https://www.corbado.com/glossary/fido-alliance), les passkeys offrent une alternative fondamentalement plus sûre et conviviale aux mots de passe traditionnels et même à certaines formes de MFA héritées. ### 5.1 Que sont les passkeys ? (normes FIDO, WebAuthn) Un passkey est un identifiant numérique qui permet aux utilisateurs de se connecter à des sites web et des applications sans avoir à saisir de mot de passe. Ils sont construits sur les normes [FIDO2](https://www.corbado.com/glossary/fido2), un ensemble de spécifications ouvertes développées par la FIDO Alliance. WebAuthn est une norme du World Wide Web Consortium (W3C) qui permet aux navigateurs et aux applications web d'effectuer une [authentification forte](https://www.corbado.com/fr/blog/passkeys-dsp2) et résistante au phishing en utilisant des paires de clés cryptographiques. Essentiellement, les passkeys sont une mise en œuvre de ces normes [FIDO2](https://www.corbado.com/glossary/fido2), tirant parti de WebAuthn pour les interactions dans les environnements web. Ils remplacent les mots de passe traditionnels par des clés cryptographiques uniques stockées en toute sécurité sur l'appareil d'un utilisateur, comme un smartphone, un ordinateur ou une clé de [sécurité matérielle](https://www.corbado.com/fr/blog/meilleures-cles-securite-materielles-fido2-2025). ### 5.2 Comment fonctionnent les passkeys : cryptographie, liaison à l'appareil, biométrie/PIN La sécurité des passkeys repose sur la cryptographie à clé publique. Lorsqu'un utilisateur enregistre un passkey auprès d'un service (la "[Relying Party](https://www.corbado.com/glossary/relying-party)" ou RP), une paire de clés cryptographiques unique est générée : - Une **clé privée**, qui est stockée en toute sécurité sur l'appareil de l'utilisateur. Cette clé peut résider dans un module de sécurité matériel (par exemple, un TPM ou une [Secure Enclave](https://www.corbado.com/glossary/secure-enclave)). La clé privée ne quitte jamais ce stockage sécurisé (sauf dans le cas des passkeys synchronisés, comme nous le détaillerons plus tard). - Une **clé publique**, qui est envoyée et stockée par la [Relying Party](https://www.corbado.com/glossary/relying-party) (le site web ou le service d'application) et associée au compte de l'utilisateur. Lors de l'authentification, le processus est le suivant : 1. La [Relying Party](https://www.corbado.com/glossary/relying-party) envoie un "challenge" unique (une donnée aléatoire) à l'appareil de l'utilisateur. 2. Pour déverrouiller et utiliser la clé privée, l'utilisateur effectue une vérification locale sur son appareil. Cela implique généralement l'utilisation d'un identifiant biométrique (comme une empreinte digitale ou un scan facial), la saisie d'un PIN d'appareil ou le dessin d'un schéma. Il est important de noter que ces données biométriques ou ce PIN ne quittent jamais l'appareil de l'utilisateur et ne sont pas transmises à la Relying Party. 3. Une fois déverrouillée, la clé privée sur l'appareil signe le challenge reçu de la Relying Party. 4. Ce challenge signé (l'"[assertion](https://www.corbado.com/glossary/assertion)") est renvoyé à la Relying Party. 5. La Relying Party utilise la clé publique stockée correspondant à cet utilisateur pour vérifier la signature sur l' [assertion](https://www.corbado.com/glossary/assertion). Si la signature est valide, l'authentification est réussie. Il existe principalement deux types de passkeys : - **Passkeys synchronisés :** Ces passkeys peuvent être synchronisés sur les appareils de confiance d'un utilisateur à l'aide de gestionnaires d'identifiants basés sur le cloud comme le Trousseau iCloud d'Apple ou le [Gestionnaire de mots de passe Google](https://www.corbado.com/fr/blog/comment-utiliser-gestionnaire-mots-de-passe-google). Cela offre une grande commodité, permettant à un passkey créé sur un appareil d'être utilisé sur un autre appareil appartenant au même utilisateur au sein du même écosystème. - **Passkeys liés à l'appareil :** Ces passkeys sont liés à un authentificateur physique spécifique, tel qu'une clé de [sécurité matérielle](https://www.corbado.com/fr/blog/meilleures-cles-securite-materielles-fido2-2025) USB (par exemple, [YubiKey](https://www.corbado.com/glossary/yubikey)) ou une application sur un téléphone particulier. Le passkey ne quitte pas cet appareil spécifique. Ce fondement cryptographique et ce processus de vérification de l'utilisateur local offrent des avantages de sécurité inhérents qui répondent directement à de nombreux vecteurs d'attaque courants. ### 5.3 Avantages de sécurité inhérents : résistance au phishing, pas de secrets partagés, protection contre le credential stuffing et la prise de contrôle de compte (ATO) La conception des passkeys offre plusieurs avantages de sécurité par rapport aux méthodes d'authentification traditionnelles : - **Résistance au phishing :** C'est un avantage fondamental. Les passkeys sont liés cryptographiquement à l'origine spécifique du site web (l'ID de la Relying Party ou RP ID) pour laquelle ils ont été créés. Si un utilisateur est trompé et visite un faux site de phishing qui imite un site légitime, le navigateur ou le système d'exploitation reconnaîtra que le domaine actuel ne correspond pas au RP ID associé au passkey. Par conséquent, le passkey ne fonctionnera tout simplement pas, et l'authentification échouera. Cela déplace le fardeau de l'identification des tentatives de phishing de l'utilisateur humain, souvent faillible, vers les protocoles de sécurité robustes de la technologie elle-même. - **Pas de secrets partagés :** Avec les passkeys, il n'y a pas de "secret partagé" comme un mot de passe qui est connu à la fois par l'utilisateur et le serveur, et qui peut être volé. La clé privée, qui est le composant essentiel pour l'authentification, ne quitte jamais l'appareil sécurisé de l'utilisateur. La clé publique, stockée par le serveur, est mathématiquement liée à la clé privée mais ne peut pas être utilisée pour dériver la clé privée ou pour usurper l'identité de l'utilisateur. Cela signifie que même si le serveur d'une Relying Party est piraté et que les clés publiques sont volées, elles sont inutiles pour les attaquants sans les clés privées correspondantes. - **Protection contre le credential stuffing et les attaques par rejeu :** Les attaques de [credential stuffing](https://www.corbado.com/glossary/credential-stuffing), où les attaquants utilisent des listes de noms d'utilisateur et de mots de passe volés pour tenter d'accéder à divers comptes, sont rendues inefficaces car il n'y a pas de mots de passe à voler et à réutiliser. De plus, chaque authentification par passkey implique un mécanisme de challenge-réponse unique. La signature générée par la clé privée est spécifique au challenge reçu pour cette session de connexion particulière, ce qui rend impossible pour un attaquant d'intercepter une [assertion](https://www.corbado.com/glossary/assertion) d'authentification et de la rejouer plus tard pour obtenir un accès non autorisé. - **Réduction significative du risque de prise de contrôle de compte (ATO) :** En neutralisant efficacement le phishing, en éliminant les secrets partagés et en empêchant le [credential stuffing](https://www.corbado.com/glossary/credential-stuffing) et les attaques par rejeu, les passkeys réduisent considérablement les principaux vecteurs d'attaque utilisés pour la prise de contrôle de compte. Comme les attaquants ne peuvent pas facilement obtenir ou utiliser à mauvais escient les identifiants d'authentification de l'utilisateur, la probabilité d'une prise de contrôle de compte réussie s'effondre. Ce changement fondamental de l'authentification basée sur la connaissance (ce qu'un utilisateur sait, comme un mot de passe) à une combinaison d'authentification basée sur la possession (ce qu'un utilisateur a – son appareil avec la clé sécurisée) et basée sur l'inhérence ou la connaissance locale (ce qu'un utilisateur est via la [biométrie](https://www.corbado.com/fr/blog/biometrie-sensibilisation-payeur-lien-dynamique), ou ce qu'il sait localement via un PIN d'appareil) brise fondamentalement les chaînes d'attaque qui reposent sur la compromission de secrets partagés utilisables à distance. Contrairement à de nombreuses mesures de sécurité qui ajoutent de la friction, les passkeys améliorent souvent l'expérience utilisateur en offrant des connexions plus rapides et plus simples sans avoir besoin de se souvenir de mots de passe complexes, un double avantage qui peut stimuler l'adoption et améliorer la posture de sécurité globale. ## 6. Combler le fossé : comment les passkeys satisfont aux contrôles d'authentification de la norme PCI DSS 4.0 Les solides fonctionnalités de sécurité inhérentes aux passkeys s'alignent remarquablement bien avec les contrôles d'authentification renforcés imposés par la norme PCI DSS 4.0, en particulier ceux décrits dans l'exigence 8. Les passkeys non seulement répondent à ces exigences, mais dépassent souvent la sécurité fournie par les méthodes traditionnelles. ### 6.1 Répondre directement aux critères de MFA et de résistance au phishing de l'exigence 8 Les passkeys satisfont intrinsèquement aux principes fondamentaux de l'authentification multifacteur telle que définie par la norme PCI DSS 4.0 : - **Nature multifacteur :** Un événement d'authentification par passkey combine généralement "quelque chose que vous possédez" (l'appareil physique contenant la clé privée, comme un smartphone ou une clé de sécurité matérielle) avec soit "quelque chose que vous êtes" (une donnée biométrique comme une empreinte digitale ou un scan facial utilisé pour déverrouiller le passkey sur l'appareil) soit "quelque chose que vous savez" (un PIN ou un schéma d'appareil). Ces facteurs sont indépendants ; compromettre un PIN d'appareil, par exemple, ne compromet pas intrinsèquement la clé cryptographique si l'appareil lui-même reste sécurisé. - **Résistance au phishing :** Comme nous l'avons largement discuté, les passkeys sont résistants au phishing par conception en raison de leur nature cryptographique et de leur liaison à l'origine. La clé privée n'est jamais exposée à la Relying Party ni transmise sur le réseau, et le passkey ne fonctionnera que sur le domaine légitime pour lequel il a été enregistré. Cela s'aligne directement sur l'accent mis par la norme [PCI](https://www.corbado.com/blog/pci-dss-4-0-authentication-passkeys) DSS 4.0 sur l'atténuation des menaces de phishing. - **Résistance au rejeu :** Chaque authentification par passkey implique un challenge cryptographique unique du serveur, qui est ensuite signé par la clé privée. La signature résultante n'est valide que pour ce challenge et cette session spécifiques, ce qui la rend résistante aux attaques par rejeu. Cela satisfait à l'exigence 8.5, qui impose que les systèmes MFA empêchent de telles attaques. ### 6.2 Dépasser la sécurité traditionnelle basée sur les mots de passe Comparés aux mots de passe traditionnels, les passkeys offrent un modèle de sécurité largement supérieur. Les mots de passe sont vulnérables à une multitude d'attaques : phishing, ingénierie sociale, [credential stuffing](https://www.corbado.com/glossary/credential-stuffing) dû à la réutilisation des mots de passe, attaques par force brute et vol dans des bases de données piratées. Les passkeys éliminent ces vulnérabilités en supprimant entièrement le secret partagé (le mot de passe) de l'équation. L'authentification repose sur une preuve cryptographique de possession d'une clé privée, elle-même protégée par la sécurité locale de l'appareil, plutôt que sur un secret qui peut être facilement volé ou deviné. ### 6.3 La perspective du PCI SSC sur les passkeys Le Conseil des normes de sécurité PCI a reconnu le potentiel de la technologie des passkeys. Les informations tirées du [podcast "Coffee with the Council"](https://blog.pcisecuritystandards.org/coffee-with-the-council-podcast-passwords-versus-passkeys-a-discussion-with-the-fido-alliance) du PCI SSC, présentant une discussion avec la FIDO Alliance, clarifient leur position : - Pour l'accès non administratif à l'environnement des données de titulaires de cartes (CDE) depuis _l'intérieur_ du réseau de l'entité (Exigence 8.4.2), le PCI SSC indique que des méthodes d'authentification résistantes au phishing comme les passkeys peuvent être utilisées _à la place de_ la MFA traditionnelle. C'est une reconnaissance significative de la force des passkeys. - Pour l'accès administratif au CDE (Exigence 8.4.1) et pour tout accès à distance au réseau (Exigence 8.4.3), bien que les passkeys (en tant qu'authentification résistante au phishing) soient recommandés, ils _doivent être utilisés en conjonction avec un autre facteur d'authentification_ pour satisfaire à l'exigence de MFA. Cela suggère une approche basée sur les risques où les scénarios d'accès à privilèges plus élevés ou à plus haut risque exigent une couche supplémentaire. - Le PCI SSC développe activement des directives, telles que des FAQ, pour aider les organisations à comprendre comment mettre en œuvre les passkeys de manière conforme et reconnaît que les passkeys représentent un changement fondamental par rapport à la pensée traditionnelle basée sur les mots de passe. - De plus, la documentation de la norme PCI DSS 4.0 fait explicitement référence à l'authentification basée sur FIDO comme une méthode privilégiée, bien que non obligatoire, pour la mise en œuvre de la MFA, soulignant son alignement avec les objectifs de la norme. Cette position permet aux organisations de déployer stratégiquement les passkeys. Pour la grande base d'utilisateurs non administratifs accédant au CDE en interne, une connexion par passkey transparente peut répondre aux exigences de conformité. Pour les administrateurs et les utilisateurs à distance, les passkeys fournissent une base solide et résistante au phishing pour une solution MFA. ### 6.4 Types de passkeys, indépendance des facteurs et attestation : naviguer dans les attentes des QSA pour l'exigence 8 Bien que les passkeys offrent une mise à niveau de sécurité significative, les évaluateurs de sécurité qualifiés (QSA) de la norme PCI DSS examineront attentivement leur mise en œuvre, en particulier pour les scénarios d'accès à haut risque comme l'accès administratif au CDE (Exigence 8.4.1), pour s'assurer que les vrais principes de l'authentification multifacteur sont respectés. Les considérations clés incluent le type de passkey, l'indépendance des facteurs d'authentification et l'utilisation de l'[attestation](https://www.corbado.com/glossary/attestation). #### 6.4.1 Passkeys synchronisés vs liés à l'appareil : Comme nous l'avons déjà vu, les passkeys se présentent sous deux formes principales : - _Passkeys synchronisés :_ Ils sont synchronisés sur les appareils de confiance d'un utilisateur via des services cloud comme le Trousseau iCloud d'Apple ou le Gestionnaire de mots de passe Google. Ils offrent une grande commodité car un passkey créé sur un appareil peut être utilisé sur un autre. - _Passkeys liés à l'appareil :_ Ils sont liés à un authentificateur physique spécifique, tel qu'une clé de [sécurité matérielle](https://www.corbado.com/fr/blog/meilleures-cles-securite-materielles-fido2-2025) USB (par exemple, [YubiKey](https://www.corbado.com/glossary/yubikey)) ou le matériel sécurisé d'un téléphone spécifique. La clé privée ne quitte pas cet appareil spécifique. #### 6.4.2 Indépendance des facteurs et examen par les QSA La norme PCI DSS exige que les facteurs MFA soient indépendants, ce qui signifie que la compromission d'un facteur ne compromet pas les autres. Un passkey combine généralement "quelque chose que vous possédez" (l'appareil avec la clé privée) et "quelque chose que vous savez/êtes" (le PIN ou la [biométrie de l'appareil](https://www.corbado.com/fr/blog/passkeys-vs-biometrie-locale) local pour déverrouiller la clé). Avec les passkeys synchronisés, bien que très sécurisés contre de nombreuses attaques, certains QSA peuvent soulever des questions concernant l'indépendance absolue du facteur de "possession" pour l'accès administratif (Exigence 8.4.1). La préoccupation est que si le compte cloud de l'utilisateur (par exemple, Apple ID, compte Google) qui synchronise les passkeys est compromis, la clé privée pourrait potentiellement être clonée sur un appareil contrôlé par un attaquant. Cela pourrait amener certains évaluateurs à considérer un passkey synchronisé, dans des contextes à haut risque, comme ne répondant potentiellement pas à l'interprétation stricte de deux facteurs entièrement indépendants si le mécanisme de synchronisation lui-même n'est pas solidement sécurisé avec sa propre MFA forte. Les directives du [NIST](https://www.corbado.com/fr/glossary/niveau-de-garantie-d-authentification-aal), par exemple, reconnaissent les passkeys synchronisés comme conformes à [AAL2](https://www.corbado.com/fr/glossary/niveau-de-garantie-d-authentification-aal), tandis que les passkeys liés à l'appareil peuvent atteindre [AAL3](https://www.corbado.com/fr/glossary/niveau-de-garantie-d-authentification-aal), qui impliquent souvent des clés non exportables. - **Comprendre les indicateurs d'authentificateur WebAuthn :** Lors d'une cérémonie WebAuthn (qui sous-tend les passkeys), les authentificateurs signalent certains indicateurs. Deux importants sont : - **uv=1 (User Verified) :** Cet indicateur signale que l'utilisateur a vérifié avec succès sa présence auprès de l'authentificateur localement, généralement en utilisant un PIN d'appareil ou une donnée biométrique. Cette vérification agit comme l'un des facteurs d'authentification – "quelque chose que vous savez" (PIN) ou "quelque chose que vous êtes" (biométrie). - **up=1 (User Present) :** Cet indicateur confirme que l'utilisateur était présent et a interagi avec l'authentificateur pendant la cérémonie (par exemple, en touchant une clé de sécurité). Bien que crucial pour prouver l'intention de l'utilisateur et prévenir certaines attaques à distance, la présence de l'utilisateur elle-même n'est généralement pas considérée comme un facteur d'authentification distinct et indépendant pour satisfaire à l'exigence multifacteur de la MFA. C'est une fonctionnalité de sécurité importante mais ne compte généralement pas comme un deuxième _facteur_ à part entière. - **Le rôle des passkeys liés à l'appareil et des clés de sécurité matérielles :**\ Pour l'accès administratif (Exigence 8.4.1) et d'autres scénarios à haute assurance, les passkeys liés à l'appareil stockés sur des clés de sécurité matérielles offrent un argument plus solide pour l'indépendance des facteurs. Comme la clé privée est conçue pour ne jamais quitter le jeton matériel, le facteur "quelque chose que vous possédez" est plus robustement protégé contre le clonage via des attaques logicielles ou la compromission de comptes cloud. Cela en fait une option privilégiée pour de nombreuses organisations cherchant à satisfaire les attentes strictes des QSA pour la MFA administrative. #### 6.4.3 Attestation pour la vérification de l'authentificateur L'[attestation](https://www.corbado.com/glossary/attestation) est une fonctionnalité de WebAuthn où l'authentificateur fournit des informations vérifiables sur lui-même (par exemple, sa marque, son modèle, son statut de certification, s'il est adossé à du matériel) à la Relying Party (votre serveur FIDO) pendant le processus d'enregistrement du passkey. - **Pourquoi c'est important pour la norme PCI DSS :** L'[attestation](https://www.corbado.com/glossary/attestation) peut fournir des preuves cruciales aux QSA que les authentificateurs utilisés respectent les politiques de sécurité de l'organisation et sont réellement ce qu'ils prétendent être (par exemple, une clé de sécurité matérielle certifiée). Cela peut être particulièrement important pour démontrer la force et l'indépendance des facteurs d'authentification. - **Recommandation :** Pour un accès à haute sécurité comme l'accès administratif au CDE, l'utilisation de passkeys sur des clés de sécurité matérielles qui prennent en charge une attestation robuste est fortement recommandée. Cela permet à l'organisation d'appliquer des politiques sur les types d'authentificateurs acceptables et de fournir une preuve de conformité plus solide. En pratique, pour éviter les frictions lors de l'audit pour l'exigence 8.4.1, de nombreuses entreprises choisissent d'émettre des passkeys liés à l'appareil sur des clés de sécurité matérielles qui offrent de solides garanties de protection des clés et potentiellement d'attestation. ### 6.5 Faire correspondre les passkeys aux sous-clauses de l'exigence 8 Pour illustrer clairement comment les passkeys comblent le fossé et satisfont aux contrôles détaillés dans l'exigence 8, le tableau suivant fait correspondre des fonctionnalités de passkey et des caractéristiques spécifiques aux sous-clauses pertinentes, en indiquant leur adéquation pour différents scénarios. | Sous-clause Req. 8 | Fonctionnalité du passkey | Comment le passkey répond/dépasse | Synchro OK ? | Lié à l'appareil OK ? | | :-------------------------------- | :--------------------------------------------------------------------------------- | :---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | :----------- | :-------------------- | | 8.2 (ID utilisateur) | ID utilisateur unique via passkey | Chaque passkey est unique à l'enregistrement d'un utilisateur auprès d'un service. Les clés privées ne sont pas partagées. Permet une responsabilité individuelle. | ✅ | ✅ | | 8.3.x (Mots de passe) | Remplacement du mot de passe | Si les passkeys remplacent entièrement les mots de passe pour un chemin d'accès, les contrôles spécifiques aux mots de passe (longueur, complexité, rotation, historique) deviennent N/A pour ce chemin, simplifiant la conformité pour ces contrôles. | ✅ | ✅ | | 8.4.1 (MFA admin) | Facteur résistant au phishing (Appareil + Local) | Le passkey sert de facteur unique, fort et résistant au phishing. (Examen par le QSA de l'indépendance des facteurs pour les passkeys synchronisés). | ⚠️ | ✅ | | 8.4.2 (MFA non-console) | Auth. résistante au phishing (Appareil + Local) | L'authentification résistante au phishing (comme les passkeys) peut être utilisée _à la place de_ la MFA traditionnelle pour ce scénario. | ✅ | ✅ | | 8.4.3 (MFA à distance) | Facteur résistant au phishing (Appareil + Local) | Le passkey sert de facteur unique, fort et résistant au phishing pour l'accès au réseau. (Examen par le QSA de l'indépendance des facteurs pour les passkeys synchronisés). | ⚠️ | ✅ | | 8.5.1 (Résistance au rejeu) | Challenge/Réponse unique | Chaque connexion génère une signature unique liée à un challenge du serveur, empêchant la réutilisation des données d'authentification interceptées. | ✅ | ✅ | | 8.5.x (Indépendance des facteurs) | Facteurs locaux distincts (Appareil+Local) | La clé cryptographique sur l'appareil et la biométrie/PIN local sont indépendants. L'opération cryptographique ne se poursuit qu'après une vérification locale réussie de l'utilisateur. (L'indépendance des facteurs pour les clés synchronisées peut être remise en question par les QSA dans les scénarios à haut risque). | ⚠️ | ✅ | | Résistance au phishing (Général) | Sécurité fondamentale (Liaison à l'origine, Pas de secrets, Crypto à clé publique) | Fondamentalement conçu pour résister aux attaques de phishing en s'assurant que le passkey ne fonctionne que sur le site légitime et qu'aucun secret transmissible pouvant être volé n'est utilisé. | ✅ | ✅ | Cette correspondance démontre que les passkeys ne sont pas seulement une solution théorique, mais une solution pratique et robuste pour répondre aux exigences d'authentification avancées de la norme PCI DSS 4.0. ## 7. Conclusion : Adopter les passkeys pour une authentification forte Le paysage de la sécurité des paiements est complexe et en constante évolution. La norme PCI DSS 4.0 reflète cette réalité, en établissant une barre plus haute pour les contrôles de sécurité, en particulier dans le domaine de l'authentification. Alors que les organisations s'efforcent de répondre à ces nouvelles exigences plus strictes, les passkeys — basés sur les normes FIDO/WebAuthn — émergent non seulement comme une solution conforme, mais aussi comme une technologie transformatrice prête à redéfinir l'accès sécurisé. Tout au long de cette analyse, deux questions centrales ont guidé notre exploration : 1. **Alors que la norme PCI DSS 4.0 relève la barre en matière d'authentification, comment les organisations peuvent-elles répondre efficacement à ces nouvelles exigences strictes sans surcharger les utilisateurs ou les équipes de sécurité ?** Les preuves suggèrent fortement que les organisations peuvent répondre efficacement aux exigences d'authentification de la norme PCI DSS 4.0 en adoptant stratégiquement des solutions d'authentification multifacteur (MFA) résistantes au phishing comme les passkeys. Ces technologies équilibrent intrinsèquement une sécurité robuste, vérifiée par cryptographie, avec des expériences utilisateur considérablement améliorées et souvent plus rapides. De plus, la possibilité offerte par la norme PCI DSS 4.0 de recourir à des "mises en œuvre personnalisées" permet aux organisations d'adapter ces solutions avancées à leurs environnements et profils de risque spécifiques, dépassant ainsi une approche unique. Les propres directives du PCI SSC facilitent encore cela, en permettant une conformité simplifiée pour un large segment d'utilisateurs tout en réservant des approches plus stratifiées pour les accès administratifs et à distance à plus haut risque. 2. **Les technologies émergentes comme les passkeys peuvent-elles non seulement satisfaire aux contrôles d'authentification robustes de la norme PCI DSS 4.0, mais aussi offrir des avantages tangibles au-delà de la simple conformité, tels qu'une sécurité renforcée et une meilleure efficacité opérationnelle ?** La réponse est un oui catégorique. Il est démontré que les passkeys sont capables de satisfaire aux contrôles d'authentification fondamentaux de l'exigence 8 de la norme PCI DSS 4.0, y compris ses critères de MFA, de résistance au phishing et de résistance au rejeu. Cependant, leur valeur s'étend au-delà de la simple conformité. La conception inhérente des passkeys — éliminant les secrets partagés et liant l'authentification à des origines spécifiques — réduit considérablement le risque d'attaques de phishing réussies et de prises de contrôle de compte, entraînant des réductions tangibles des pertes liées à la fraude. Sur le plan opérationnel, l'abandon des mots de passe se traduit par moins de tickets d'assistance liés aux mots de passe, ce qui permet de réaliser des économies et de libérer des ressources informatiques. Les utilisateurs bénéficient d'une expérience de connexion plus simple, plus rapide et moins frustrante, ce qui peut améliorer la productivité et la satisfaction des clients. De plus, lorsque les mots de passe sont entièrement remplacés par des passkeys pour des chemins d'accès spécifiques, la charge d'audit pour les contrôles spécifiques aux mots de passe est éliminée, ce qui peut potentiellement rationaliser les efforts de conformité dans ces domaines. Le chemin vers un écosystème de paiement véritablement sécurisé est continu. La norme PCI DSS 4.0 pose de nouveaux jalons, et l'authentification par passkey fournit un véhicule puissant pour les atteindre. Les organisations qui traitent, stockent ou transmettent des données de titulaires de cartes sont vivement encouragées à évaluer et à commencer à planifier l'adoption des passkeys. Il ne s'agit pas simplement d'adhérer à la dernière version d'une norme ; il s'agit d'adopter une approche de l'authentification plus sûre, plus efficace et centrée sur l'utilisateur, qui s'aligne sur l'avenir de l'identité numérique. En mettant en œuvre stratégiquement les passkeys, les entreprises peuvent renforcer leurs défenses contre les menaces en évolution, protéger les précieuses données de paiement et renforcer la confiance de leurs clients dans un monde de plus en plus numérique.