PCI DSS en mai 2025 : où en êtes-vous vraiment ?
- Stefan Timotijevic
- 3 mai
- 2 min de lecture
Dernière mise à jour : 4 juin
(Et pourquoi il est encore temps… mais plus pour longtemps)
Ce qu’il faut comprendre aujourd’hui
Le 31 mars 2025, c’était la vraie bascule.
Pas une annonce. Pas une ébauche.Depuis cette date, plusieurs exigences dites “différées” de la norme PCI DSS v4 sont devenues obligatoires.
Mais si on regarde autour — dans le retail, les PME, les fintechs — très peu d’entreprises au Québec sont vraiment prêtes.
La réalité sur le terrain
Certaines croient avoir coché les cases avec un SAQ rempli à la hâte.
D’autres pensent que Stripe ou Shopify les “couvrent”.
Et pourtant…
Depuis avril, plusieurs entreprises ont reçu des demandes formelles de leur banque ou de leur acquéreur :
“Veuillez fournir votre rapport de scan ASV”
“Merci de nous transmettre la politique liée à la gestion des scripts”
“Votre SAQ semble incomplet ou mal catégorisé”
👉 Le PCI n’est plus un sujet d’audit annuel. C’est un prérequis opérationnel.
Ce qui est désormais exigé
Voici les 4 plus gros points que vous devez avoir déjà implémentés :
1. Surveillance des scripts de paiement
Les exigences 6.4.3 et 11.6.1 exigent que tous les scripts côté client soient autorisés, documentés et surveillés pour détecter des modifications non autorisées.❌ Si votre site contient Google Tag Manager, un plugin marketing ou un script tiers, vous êtes exposé.
2. MFA renforcé
Authentification multifacteur obligatoire pour tous les accès, même internes.❌ Le même device ne peut pas servir à s’authentifier et à accéder.
3. Revue annuelle des protocoles cryptographiques
Il faut désormais documenter les algorithmes utilisés, leur justification, leur sécurité, et leurs mises à jour.❌ TLS 1.0, SSL ou suites faibles ne sont plus tolérés.
4. Protection automatisée des pages web publiques
Un pare-feu applicatif (WAF) ou une solution équivalente doit surveiller les accès publics.❌ Les CMS avec plugins non vérifiés sont à haut risque.
Et au Québec ?
La situation est encore plus sensible :
➕ La Loi 25 converge avec PCI DSS
Responsable des renseignements personnels
Gestion des incidents
Revue des tiers
Documentation des évaluations de risque (EFVP)
👉 Vous avez donc deux cadres réglementaires à harmoniser — et une vraie opportunité de simplifier vos démarches si vous les traitez ensemble.
Et le SAQ A alors ? On est bons ?
Pas si vite.
Depuis 2025, le SAQ A a été modifié. Vous n’êtes plus éligible si :
Votre site intègre une iframe ou un champ de carte
Vous avez des scripts personnalisés
Vous ne surveillez pas vos pages de paiement
👉 Beaucoup d’e-commerces québécois croient être “SAQ A”, mais sont en réalité SAQ A-EP, beaucoup plus complexe.
Ce que vous pouvez faire dès maintenant
Bonne nouvelle : il n’est pas trop tard.
Mais chaque semaine qui passe augmente votre risque de :
Recevoir des frais de non-conformité
Perdre votre contrat marchand
Être écarté de projets avec des partenaires qui exigent une preuve PCI
PCI360 peut vous aider immédiatement
Avec PCI360, vous pouvez :
⚙️ Scanner automatiquement vos pages de paiement
🔐 Vérifier vos scripts actifs
📄 Déterminer le SAQ réellement applicable à votre environnement
🛡️ Générer des politiques en français, conformes aux normes
🌐 Intégrer vos scans ASV Qualys directement
📊 Obtenir un tableau de bord pour pilotage en continu, pas juste en mode “panic audit”
Kommentare