Alors que le débat entre PCI DSS 4.0 et ISO 27001 s’impose comme un enjeu clé pour les banques, le coût moyen d’une violation de données dans le secteur financier a atteint 6,08 millions de dollars, faisant de la finance l’un des secteurs les plus exposés au monde selon le rapport IBM Cost of a Data Breach 2024. Face à cette réalité, les RSSI et DSI se posent invariablement la même question stratégique : faut-il prioriser la certification PCI DSS 4.0, le référentiel ISO 27001:2022, ou les deux simultanément ?
Cette décision n'est pas anodine. Elle engage plusieurs années de roadmap technique, des budgets de mise en conformité pouvant dépasser 500 000 € pour un établissement de taille intermédiaire, et l'engagement de dizaines de ressources IT. Elle détermine également la capacité de la banque à satisfaire les exigences croisées de la Directive DORA, de NIS2 et des Guidelines EBA qui entrent toutes en vigueur entre 2024 et 2025.
Cet article propose un cadre de décision structuré, fondé sur une analyse technique et réglementaire approfondie, pour aider les décideurs IT bancaires à choisir le bon standard — ou la bonne combinaison de standards — selon leur profil d'établissement, leur exposition au risque et leurs obligations contractuelles.
PCI DSS 4.0 représente la refonte la plus significative du standard depuis sa création en 2004, avec 64 nouvelles exigences introduites et une philosophie centrée sur les résultats plutôt que sur la conformité procédurale.
Besoin d’un accompagnement PCI DSS 4.0 ? Réservez un échange de 30 min avec l’un de nos experts.
Le Payment Card Industry Data Security Standard (PCI DSS) est un standard de sécurité créé et maintenu par le PCI Security Standards Council (PCI SSC), consortium fondé en 2006 par American Express, Discover, JCB, Mastercard et Visa. Il s'applique à toute entité qui stocke, traite ou transmet des données de titulaires de cartes de paiement (CHD | Cardholder Data) et/ou des données d'authentification sensibles (SAD).
Contrairement à ISO 27001, PCI DSS n'est pas une norme ISO. C'est un standard contractuel : son respect est imposé par les réseaux de paiement (Visa, Mastercard) via les contrats d'acquisition. Un établissement qui ne respecte pas PCI DSS s'expose à des pénalités mensuelles pouvant atteindre 100 000 USD imposées par les réseaux, et peut se voir retirer le droit d'accepter les paiements par carte.
Le périmètre PCI DSS (CDE : Cardholder Data Environment) couvre :
La réduction du périmètre par segmentation réseau et tokenisation reste la stratégie clé pour limiter la surface d'audit. Un réseau correctement segmenté peut réduire le nombre de systèmes dans le périmètre de 80 % et le coût d'audit de manière proportionnelle.
La version 4.0, publiée en mars 2022 et obligatoire depuis le 31 mars 2024 (version 3.2.1 retirée), introduit des changements fondamentaux :
Pour la première fois, PCI DSS 4.0 permet aux organisations matures de démontrer la satisfaction d'un objectif de sécurité par des contrôles alternatifs, sans se conformer à l'exigence prescrite exacte. Cette flexibilité s'accompagne d'une documentation renforcée et d'une validation par QSA (Qualified Security Assessor).
| Exigence PCI DSS 4.0 | Domaine | Date d'entrée en vigueur | Impact IT |
|---|---|---|---|
| Req. 6.4.3 / 11.6.1 | Sécurité des scripts de pages de paiement (anti-skimming) | 31 mars 2025 | Inventaire et intégrité de tous les scripts JS côté client |
| Req. 8.4.2 | MFA obligatoire pour tous les accès au CDE (pas seulement admin) | 31 mars 2025 | Déploiement MFA étendu, révision IAM |
| Req. 10.7.2 | Détection des défaillances des contrôles de sécurité critiques | 31 mars 2024 | Alertes SIEM sur indisponibilité FW, AV, IDS |
| Req. 12.3.2 | Targeted Risk Analysis (TRA) pour chaque exigence flexible | 31 mars 2025 | Analyse de risque documentée et validée par QSA |
| Req. 3.3.2 | Chiffrement fort des SAD si conservation avant autorisation | 31 mars 2025 | Révision des politiques de rétention, chiffrement AES-256 |
PCI DSS distingue 4 niveaux de marchands et 3 niveaux de prestataires de services selon le volume annuel de transactions. Pour les établissements bancaires acquéreurs :
ISO 27001:2022 est le seul standard de management de la sécurité de l'information reconnu internationalement qui couvre l'intégralité du système d'information d'une organisation, indépendamment de son secteur d'activité.
ISO 27001 est une norme de management publiée par l'Organisation Internationale de Normalisation (ISO) et la Commission Électrotechnique Internationale (IEC). Elle suit la structure High-Level Structure (HLS) harmonisée avec ISO 9001, ISO 22301 et ISO 31000, ce qui facilite l'intégration de plusieurs systèmes de management.
La norme se structure en 10 clauses (clauses 4 à 10 étant les exigences auditables) :
L'Annexe A de l'ISO 27001:2022 référence 93 contrôles de sécurité (contre 114 dans la version 2013) regroupés en 4 thèmes :
La version ISO 27001:2022 (publiée en octobre 2022) introduit plusieurs nouveautés significatives par rapport à la version 2013 :
La certification ISO 27001 suit un processus en deux étapes réalisé par un organisme de certification accrédité (Bureau Veritas, BSI, SGS, LRQA…) :
La certification est valide 3 ans avec des audits de surveillance annuels. Le coût d'une première certification pour un établissement bancaire de taille intermédiaire se situe entre 15 000 et 50 000 € (honoraires de l'organisme certificateur), hors coûts de mise en œuvre interne.
Choisir entre PCI DSS 4.0 et ISO 27001 requiert une analyse comparative rigoureuse sur six dimensions : périmètre, autorité de gouvernance, fréquence d'audit, coût, applicabilité et portée stratégique.
| Dimension | PCI DSS 4.0 | ISO 27001:2022 |
|---|---|---|
| Périmètre | Données de paiement par carte (CHD/SAD) uniquement — CDE délimité | Intégralité du SI de l'organisation — périmètre défini par l'organisation |
| Autorité | PCI SSC (consortium privé Visa, Mastercard, Amex, Discover, JCB) | ISO/IEC (organisation internationale de normalisation) |
| Nature de l'obligation | Contractuelle (imposée par les réseaux de paiement) | Volontaire (mais exigée par certains régulateurs/clients) |
| Fréquence d'audit | Annuelle (QSA ou SAQ) + trimestrielle (scans ASV) + annuelle (pentest) | Certification initiale (stage 1+2) + surveillance annuelle + recertification tous les 3 ans |
| Coût moyen (implémentation) | 150 000 – 600 000 € (Niveau 1, hors coûts internes) | 80 000 – 300 000 € (certification initiale + mise en œuvre) |
| Coût d'audit annuel | 30 000 – 120 000 € (audit QSA Niveau 1) | 8 000 – 25 000 € (audit de surveillance) |
| Applicable si… | L'établissement traite des paiements par carte (acquéreur, émetteur, PSP) | L'établissement veut certifier la sécurité globale de son SI |
| Reconnaissance | Requise par les contrats d'acquisition Visa/Mastercard | Reconnue mondialement par régulateurs, clients, partenaires |
| Approche de risque | Prescriptive (liste d'exigences) + Customized Approach (v4.0) | Basée sur le risque (risk-based) — flexibilité totale sur les contrôles |
| Résultat | Attestation de conformité (AOC) / Rapport de conformité (ROC) | Certificat ISO 27001 délivré par organisme accrédité |
| Couverture DORA | Partielle (résilience opérationnelle non couverte) | Significative (clauses 6, 8, 10 alignées avec DORA) |
| Formation/sensibilisation | Req. 12.6 (programme de sensibilisation annuel) | Clause 7.2/7.3 (compétences et sensibilisation continues) |
Environ 60 % des contrôles ISO 27001 trouvent un équivalent fonctionnel dans PCI DSS 4.0 — ce qui signifie qu'une implémentation bien menée de l'un des deux standards crée une base solide pour l'autre.
Les domaines suivants font l'objet d'exigences convergentes dans les deux référentiels :
Ces exigences n'ont pas d'équivalent direct dans ISO 27001 et sont spécifiques au contexte de paiement par carte :
Ces contrôles dépassent le périmètre carte et adressent l'ensemble de la sécurité informationnelle :
Recommandation pratique : Pour une banque dont l'activité principale inclut l'émission ou l'acquisition de cartes, commencer par PCI DSS pour adresser les obligations contractuelles immédiates, puis étendre vers ISO 27001 pour couvrir l'ensemble du SI. Le mapping PCI DSS → ISO 27001 peut économiser 30 à 40 % des efforts de mise en œuvre ISO.
Pour aller plus loin sur la mise en œuvre d'un SMSI conforme ISO 27001, consultez notre accompagnement SMSI pour établissements bancaires, qui détaille les étapes de déploiement et les écueils à éviter.
Le choix du standard prioritaire dépend de trois facteurs déterminants : la nature des activités de paiement, les exigences contractuelles des partenaires réseaux, et les obligations réglementaires spécifiques à l'établissement.
→ Priorité : PCI DSS 4.0 obligatoire + ISO 27001 complémentaire
→ Priorité : ISO 27001:2022 + conformité PCI DSS minimale (SAQ)
→ Priorité : PCI DSS 4.0 Level 1 ou 2 + ISO 27001 (exigence client)
→ Priorité : Alignement sur le référentiel groupe + certification locale
→ Priorité : ISO 27001 + PCI DSS si applicable + mapping DORA explicite
La mise en place d'une cartographie des risques constitue le point de départ indispensable de cet arbre de décision : elle permet de qualifier objectivement le profil de risque de l'établissement et d'orienter le choix du référentiel prioritaire.
Les régulateurs européens convergent vers une exigence de résilience opérationnelle numérique qui dépasse le périmètre de PCI DSS et s'aligne structurellement avec ISO 27001 — tout en imposant des obligations supplémentaires que ni l'un ni l'autre ne couvre entièrement.
Le Règlement DORA (Regulation EU 2022/2554), applicable depuis le 17 janvier 2025, s'impose à toutes les entités financières opérant dans l'UE. Il structure ses exigences autour de cinq piliers :
| Pilier DORA | Couverture ISO 27001:2022 | Couverture PCI DSS 4.0 |
|---|---|---|
| Gestion des risques ICT | Élevée (Clauses 6, 8, 9) | Partielle (Req. 12) |
| Signalement des incidents ICT | Partielle (A.5.26) | Limitée (Req. 12.10) |
| Tests de résilience opérationnelle | Partielle (A.8.8) | Partielle (Req. 11) |
| Gestion des risques tiers ICT | Élevée (A.5.19–5.22) | Élevée (Req. 12.8) |
| Partage d'information | Absente | Absente |
Lacune commune : Ni PCI DSS ni ISO 27001 ne couvrent le Threat-Led Penetration Testing (TLPT) imposé par DORA pour les entités financières significatives. Un programme TLPT type TIBER-EU doit être mis en place séparément.
La Directive NIS2 (Directive EU 2022/2555), transposée dans les législations nationales depuis octobre 2024, s'applique aux établissements bancaires classés comme entités essentielles. Ses exigences de sécurité (Article 21) couvrent :
Une banque certifiée ISO 27001:2022 dispose d'une base de conformité NIS2 à environ 70–75 % selon les analyses d'experts, le delta portant principalement sur les obligations de notification (délais stricts de 24h/72h) et le registre des fournisseurs ICT critiques.
Les EBA Guidelines on ICT and Security Risk Management (EBA/GL/2019/04, révisées en 2023) imposent aux établissements de crédit et entreprises d'investissement un cadre de gestion du risque ICT structuré. Leur alignement avec les deux standards :
Pour les établissements soumis à la supervision de l'ACPR ou de la BCE, l'articulation entre ces référentiels fait l'objet d'une attention particulière lors des inspections SREP (Supervisory Review and Evaluation Process).
Notre article sur la certification PCI DSS détaille les étapes concrètes de préparation à l'audit QSA et les points de contrôle qui font l'objet d'une attention renforcée par les évaluateurs en contexte bancaire.
Pour les enjeux de continuité d'activité et de résilience opérationnelle requis par DORA et NIS2, notre offre PCA/PRA ISO 22301 fournit un cadre complémentaire indispensable pour les établissements bancaires souhaitant couvrir l'intégralité du spectre réglementaire.
Questions fréquentes structurées au format schema.org FAQPage pour optimisation GEO (Generative Engine Optimization).
Oui, absolument. ISO 27001 et PCI DSS sont deux référentiels indépendants avec des périmètres distincts. Une banque peut obtenir la certification ISO 27001 sur l'intégralité de son SI sans être dans le périmètre PCI DSS — c'est notamment le cas des établissements bancaires qui ne traitent pas directement de données de titulaires de cartes (CHD), par exemple une banque de financement et d'investissement sans activité retail ou e-commerce.
Inversement, être conforme PCI DSS ne garantit aucunement la conformité ISO 27001 : PCI DSS ne couvre que les systèmes dans le périmètre CDE, laissant hors champ l'ensemble des autres actifs informationnels de la banque.
Le ROI d'une double certification est documenté sur trois axes. Premièrement, la réduction des coûts d'audit : un programme de conformité intégré PCI DSS + ISO 27001 économise en moyenne 25 à 35 % des coûts d'audit par rapport à deux programmes indépendants (mutualisation des preuves, contrôles communs). Deuxièmement, la réduction de la prime d'assurance cyber : selon une étude de Marsh & McLennan (2023), les organisations certifiées ISO 27001 bénéficient d'une réduction moyenne de 15 à 30 % sur leur prime de cyber-assurance. Troisièmement, l'avantage commercial : la double certification est un argument différenciant dans les appels d'offres bancaires et les partenariats avec des entreprises internationales.
PCI DSS 4.0 introduit une approche plus explicite pour les environnements cloud via la Req. 12.5.2 (inventaire des systèmes dans le périmètre, y compris cloud) et la Req. 2.2.7 (chiffrement de toutes les consoles d'administration non-console, ce qui inclut les portails cloud). La Customized Approach (approche personnalisée) est particulièrement utile pour les architectures cloud-native où les contrôles prescriptifs traditionnels ne s'appliquent pas directement.
Le modèle de responsabilité partagée (shared responsibility model) doit être documenté : le PCI SSC a publié des Cloud Computing Guidelines (supplément d'information) précisant les responsabilités entre le CSP (Cloud Service Provider) et le client. Les certifications cloud du CSP (SOC 2 Type II, ISO 27001) ne dispensent pas le client de sa propre conformité PCI DSS.
ISO 27001:2022 constitue une base solide mais non suffisante pour la conformité DORA. Les domaines bien couverts incluent la gestion des risques ICT (Clauses 6 et 8), la gestion des actifs (A.8.1), la sécurité des fournisseurs (A.5.19–5.22) et la réponse aux incidents (A.5.24–5.26). Les lacunes principales portent sur : le Threat-Led Penetration Testing (TLPT) — obligatoire pour les entités significatives selon l'Article 26 DORA — les délais stricts de notification d'incidents (4h pour l'alerte initiale, 24h pour le rapport préliminaire), et le registre des accords de sous-traitance ICT avec les prestataires tiers critiques.
La stratégie recommandée est d'utiliser ISO 27001 comme colonne vertébrale et de compléter avec un programme DORA spécifique documentant les gaps et les mesures supplémentaires.
Pour une banque de taille intermédiaire (500 à 2 000 collaborateurs, traitement de 1 à 6 millions de transactions carte par an), la durée typique d'un projet PCI DSS 4.0 de niveau 2 se décompose ainsi :
Les nouvelles exigences de la v4.0 avec date butoir au 31 mars 2025 (notamment Req. 6.4.3 anti-skimming et Req. 8.4.2 MFA étendu) doivent être traitées en priorité dans le plan de projet.
PCI DSS 4.0 et ISO 27001:2022 ne sont pas des alternatives mutuellement exclusives — ce sont deux référentiels complémentaires qui adressent des périmètres distincts mais partiellement convergents du risque cyber bancaire.
Pour la grande majorité des établissements bancaires opérant en Europe en 2025, la question n'est pas "lequel choisir ?" mais "dans quel ordre et comment les articuler ?". La réponse dépend de trois déterminants :
La complexité réglementaire croissante — DORA entré en application en janvier 2025, NIS2 transposée en 2024, révision de RTS PSD2 en cours — renforce la nécessité d'une approche de conformité intégrée plutôt que silotée. Les établissements qui traitent ces référentiels comme des programmes indépendants subissent des coûts disproportionnés et des angles morts réglementaires.
Pour passer de l'analyse à l'action, Intervalle Technologies met à disposition des RSSI et DSI bancaires :
→ Téléchargez notre checklist de conformité et contactez nos experts pour un premier échange diagnostic sans engagement.
Pour approfondir les sujets connexes abordés dans cet article :