Ce n’est pas franchement un sigle familier du grand public, et pourtant il contribue au quotidien à la bonne marche de nombreuses transactions en ligne. La certification PCI DSS, c’est en effet un ensemble de règles internationales qui vise à garantir la sécurité des données de paiement par carte bancaire. Elle s’adresse à toutes les organisations qui stockent, traitent ou transmettent des données de cartes de paiement, quel que soit leur secteur d’activité !
Créée par les principaux réseaux de cartes (Visa, Mastercard, American Express, Discover et JCB), la norme PCI DSS a un objectif simple mais fondamental : réduire les risques de fraude et de fuite de données, en imposant un haut niveau d’exigence en matière de sécurité informatique et organisationnelle, notamment quand les transactions bancaires dépassent certains seuils. Ce n’est ni un outil, ni un logiciel, mais bien un cadre de bonnes pratiques, définissant ce que les entreprises doivent mettre en place pour prévenir, détecter et gérer les risques d’attaques sur les données sensibles.
Un challenge de taille
Depuis près de dix ans, Azimut accompagne et développe des solutions numériques pour Ticketnet, ce groupe spécialisé dans la billetterie en ligne, devenu au fil des ans l’un des leaders du marché. Ensemble, nous avons ainsi développé la plateforme Webtrium, des sites Internet pour les programmateurs de spectacle et des web de salles culturelles. Une montée en puissance qui élève nécessairement le niveau d’exigence en termes de sécurité des données, au vu du nombre des transactions annuelles réalisées sur la plateforme.
Lorsque la question de la certification PCI DSS est évoquée pour la première fois par les responsables de Ticketnet auprès d’Azimut, l’idée paraît ambitieuse. « Nous sommes une petite équipe, c’est forcément un challenge plus important dans une entreprise de notre taille que dans les gros groupes qui passent généralement ce genre de qualification », rappelle le président d’Azimut, Jean-Marie Corteville. Pourtant, en interne, le choix est rapidement fait de se lancer dans l’aventure !
« Renforcer la culture de la sécurité au quotidien »
Long et exigeant, le processus se déroule en plusieurs étapes. Il implique d’abord une analyse des pratiques existantes, l’identification des points d’améliorations, puis la mise en conformité technique et administrative, pour enfin parvenir à une semaine d’audit et la validation formelle de la certification. Preuve de la complexité de la qualification et du haut niveau de compétence en cybersécurité requis, seuls une dizaine d’auditeurs sont d’ailleurs capables en France de délivrer le précieux sésame !
« Au final, tout ce processus a impliqué beaucoup de travail, nous avons été trois particulièrement mobilisés sur le sujet durant plusieurs mois, résume Pierre Milin, chef de projet chez Azimut. Ça nous a challengés, on s’est posé des questions qu’on ne se serait probablement pas posées si tôt si on ne s’était pas lancés dans cette démarche. Et comme on est tous des passionnés, on en a tiré énormément d’enseignements ! Même si nous faisions déjà les choses sérieusement auparavant, nous avons acquis des réflexes et une discipline qui vont forcément nous tirer vers le haut, et plus largement renforcer la culture de la sécurité au quotidien. »
« Un gage de confiance avec Ticketnet »
Pour Azimut, cette certification représente en effet bien plus qu’une conformité technique. « C’est un gage de confiance dans la relation que nous avons nouée de longue date avec Ticketnet, se réjouit Jean-Marie Corteville. C’est aussi une très belle satisfaction collective, et un signe de maturité pour notre entreprise. Nous avons les épaules aujourd’hui pour mener des projets ambitieux, et cette certification vient nous le rappeler ! »
Dans un contexte où les exigences de sécurité ne cessent de croître, cette certification constitue en effet une étape majeure pour Azimut, franchie avec humilité, rigueur et esprit d’équipe — des valeurs qui continueront de guider Azimut dans la suite de son développement !
