Le PCI SSC a annoncé une mise à jour du SAQ A (Self-Assessment Questionnaire, ou Questionnaire d’auto-évaluation), destiné aux e-commerçants qui externalisent totalement le traitement des paiements à des prestataires de services certifiés (i.e. PSP). Cette mise à jour vise à simplifier la validation de conformité en allégeant les exigences relatives à la surveillance de la page de paiement (ou la page de redirection).

Les changements concernent le retrait des exigences 6.4.3 et 11.6.1, qui avaient été introduites pour lutter contre les attaques ciblant les plateformes e-commerce, notamment les attaques de type Magecart :

  1. L’exigence 6.4.3 imposait aux entreprises d’inventorier et de vérifier l’intégrité des scripts exécutés par le site e-commerce dans le contexte du navigateur d’un client, et ce, afin d’assurer que ces derniers étaient légitimes et intègres;
  2. L’exigence 11.6.1 exigeait l’implémentation d’un mécanisme de détection des changements sur les pages de paiement (ou la page de redirection vers la page de paiement), afin d’identifier toute modification non autorisée pouvant signaler une compromission.

Ces exigences avaient été mises en place pour répondre aux cyberattaques de type Magecart, qui consistent à injecter des scripts malveillants sur les sites e-commerce afin de voler les informations de carte bancaire des clients au moment du paiement. En contrepartie de cet allègement, les e-commerçants doivent désormais auto-évaluer leur risque face aux attaques Magecart et implémenter les mesures nécessaires afin d’adresser ces derniers.

Ce changement intervient à seulement quelques semaines de la mise en application définitive de ces deux nouvelles exigences, initialement prévue pour le 31 mars 2025. Ce timing laisse penser que des parties prenantes ont exprimé leur mécontentement ou ont rencontré des difficultés dans la mise en œuvre de ces exigences, conduisant à cet ajustement de dernière minute.

Toutefois, cela ne signifie pas que les mesures de sécurité deviennent optionnelles. Dans la grande majorité des cas, les mesures de protection restent requises, voire nécessaires, même si elles ne sont plus pleinement détaillées comme l’étaient les exigences 6.4.3 et 11.6.1 ; ces dernières demeurent pertinentes pour se prémunir contre les cyberattaques de type Magecart.

Des mesures alternatives peuvent néanmoins être mises en œuvre pour sécuriser les pages de paiement et limiter les risques, telles que :

  1. La supervision des pages du site et des scripts avec un outil de File Integrity Monitoring (FIM) comme WAZUH / OSSEC afin de détecter toute modification non autorisée ;
  2. La réduction du nombre de ressources externes incluses sur le site e-commerce, notamment les scripts JavaScript, qui sont souvent exploités dans les attaques Magecart ;
  3. L’hébergement en propre des ressources critiques (JavaScript, polices, images, etc.) pour limiter la dépendance à des tiers pouvant être compromis.

Ces items sont non-exhaustives et non-exclusives.

Il est recommandé d’évaluer la pertinence des mesures mises en place avec son auditeur QSA, afin de s’assurer qu’elles sont adaptées aux risques et conformes aux bonnes pratiques de cybersécurité.