Alors que le débat entre PCI DSS 4.0 et ISO 27001 s’impose comme un enjeu clé pour les banques, le coût moyen d’une violation de données dans le secteur financier a atteint 6,08 millions de dollars, faisant de la finance l’un des secteurs les plus exposés au monde selon le rapport IBM Cost of a Data Breach 2024. Face à cette réalité, les RSSI et DSI se posent invariablement la même question stratégique : faut-il prioriser la certification PCI DSS 4.0, le référentiel ISO 27001:2022, ou les deux simultanément ?
Cette décision n'est pas anodine. Elle engage plusieurs années de roadmap technique, des budgets de mise en conformité pouvant dépasser 500 000 € pour un établissement de taille intermédiaire, et l'engagement de dizaines de ressources IT. Elle détermine également la capacité de la banque à satisfaire les exigences croisées de la Directive DORA, de NIS2 et des Guidelines EBA qui entrent toutes en vigueur entre 2024 et 2025.
Cet article propose un cadre de décision structuré, fondé sur une analyse technique et réglementaire approfondie, pour aider les décideurs IT bancaires à choisir le bon standard — ou la bonne combinaison de standards — selon leur profil d'établissement, leur exposition au risque et leurs obligations contractuelles.
1. PCI DSS 4.0 : Périmètre, Nouveautés et Obligations Concrètes
PCI DSS 4.0 représente la refonte la plus significative du standard depuis sa création en 2004, avec 64 nouvelles exigences introduites et une philosophie centrée sur les résultats plutôt que sur la conformité procédurale.
Besoin d’un accompagnement PCI DSS 4.0 ? Réservez un échange de 30 min avec l’un de nos experts.
1.1 Qu'est-ce que PCI DSS ?
Le Payment Card Industry Data Security Standard (PCI DSS) est un standard de sécurité créé et maintenu par le PCI Security Standards Council (PCI SSC), consortium fondé en 2006 par American Express, Discover, JCB, Mastercard et Visa. Il s'applique à toute entité qui stocke, traite ou transmet des données de titulaires de cartes de paiement (CHD | Cardholder Data) et/ou des données d'authentification sensibles (SAD).
Contrairement à ISO 27001, PCI DSS n'est pas une norme ISO. C'est un standard contractuel : son respect est imposé par les réseaux de paiement (Visa, Mastercard) via les contrats d'acquisition. Un établissement qui ne respecte pas PCI DSS s'expose à des pénalités mensuelles pouvant atteindre 100 000 USD imposées par les réseaux, et peut se voir retirer le droit d'accepter les paiements par carte.
1.2 Périmètre de PCI DSS 4.0
Le périmètre PCI DSS (CDE : Cardholder Data Environment) couvre :
- Les systèmes qui stockent, traitent ou transmettent des données CHD/SAD
- Les systèmes qui peuvent impacter la sécurité de l'environnement CDE (segmentation réseau, annuaires d'identité, solutions SIEM)
- Les personnes et processus qui interagissent avec ces systèmes
La réduction du périmètre par segmentation réseau et tokenisation reste la stratégie clé pour limiter la surface d'audit. Un réseau correctement segmenté peut réduire le nombre de systèmes dans le périmètre de 80 % et le coût d'audit de manière proportionnelle.
1.3 Les Nouveautés Majeures de la Version 4.0
La version 4.0, publiée en mars 2022 et obligatoire depuis le 31 mars 2024 (version 3.2.1 retirée), introduit des changements fondamentaux :
Approche personnalisée (Customized Approach)
Pour la première fois, PCI DSS 4.0 permet aux organisations matures de démontrer la satisfaction d'un objectif de sécurité par des contrôles alternatifs, sans se conformer à l'exigence prescrite exacte. Cette flexibilité s'accompagne d'une documentation renforcée et d'une validation par QSA (Qualified Security Assessor).
Nouvelles exigences techniques critiques
| Exigence PCI DSS 4.0 | Domaine | Date d'entrée en vigueur | Impact IT |
|---|---|---|---|
| Req. 6.4.3 / 11.6.1 | Sécurité des scripts de pages de paiement (anti-skimming) | 31 mars 2025 | Inventaire et intégrité de tous les scripts JS côté client |
| Req. 8.4.2 | MFA obligatoire pour tous les accès au CDE (pas seulement admin) | 31 mars 2025 | Déploiement MFA étendu, révision IAM |
| Req. 10.7.2 | Détection des défaillances des contrôles de sécurité critiques | 31 mars 2024 | Alertes SIEM sur indisponibilité FW, AV, IDS |
| Req. 12.3.2 | Targeted Risk Analysis (TRA) pour chaque exigence flexible | 31 mars 2025 | Analyse de risque documentée et validée par QSA |
| Req. 3.3.2 | Chiffrement fort des SAD si conservation avant autorisation | 31 mars 2025 | Révision des politiques de rétention, chiffrement AES-256 |
1.4 Niveaux de Conformité et Types d'Audit
PCI DSS distingue 4 niveaux de marchands et 3 niveaux de prestataires de services selon le volume annuel de transactions. Pour les établissements bancaires acquéreurs :
- Niveau 1 (> 6 millions transactions/an) : Audit annuel par QSA externe + scan ASV trimestriel + test de pénétration annuel
- Niveau 2 (1–6 millions transactions/an) : SAQ (Self-Assessment Questionnaire) annuel ou audit QSA + scan ASV trimestriel
- Niveau 3–4 : SAQ annuel adapté au profil
2. ISO 27001 : Structure, Annexe A et Révision 2022
ISO 27001:2022 est le seul standard de management de la sécurité de l'information reconnu internationalement qui couvre l'intégralité du système d'information d'une organisation, indépendamment de son secteur d'activité.
2.1 Architecture de la Norme
ISO 27001 est une norme de management publiée par l'Organisation Internationale de Normalisation (ISO) et la Commission Électrotechnique Internationale (IEC). Elle suit la structure High-Level Structure (HLS) harmonisée avec ISO 9001, ISO 22301 et ISO 31000, ce qui facilite l'intégration de plusieurs systèmes de management.
La norme se structure en 10 clauses (clauses 4 à 10 étant les exigences auditables) :
- Clause 4 : Compréhension de l'organisation et de son contexte (parties intéressées, périmètre SMSI)
- Clause 5 : Leadership (engagement de la direction, politique de sécurité)
- Clause 6 : Planification (évaluation des risques, objectifs de sécurité)
- Clause 7 : Support (ressources, compétences, communication, documentation)
- Clause 8 : Opérations (traitement des risques, plans de sécurité)
- Clause 9 : Évaluation des performances (audits internes, revue de direction)
- Clause 10 : Amélioration (non-conformités, actions correctives)
2.2 L'Annexe A : Les 93 Contrôles de Sécurité
L'Annexe A de l'ISO 27001:2022 référence 93 contrôles de sécurité (contre 114 dans la version 2013) regroupés en 4 thèmes :
- Contrôles organisationnels (37 contrôles) : politiques, rôles, gestion des actifs, relations fournisseurs
- Contrôles liés aux personnes (8 contrôles) : sensibilisation, formation, télétravail
- Contrôles physiques (14 contrôles) : sécurité des locaux, équipements, périmètres
- Contrôles technologiques (34 contrôles) : gestion des accès, cryptographie, sécurité réseau, journalisation
2.3 Révision 2022 : Ce Qui a Changé
La version ISO 27001:2022 (publiée en octobre 2022) introduit plusieurs nouveautés significatives par rapport à la version 2013 :
- 11 nouveaux contrôles reflétant l'évolution du paysage cyber : threat intelligence, sécurité cloud, développement sécurisé, DLP, surveillance des activités, filtrage web
- Introduction d'attributs de contrôles (5 dimensions : type, propriétés de sécurité, concepts cybersécurité, capacités opérationnelles, domaines de sécurité) permettant un mapping vers d'autres référentiels (NIST, CIS Controls)
- Période de transition : Les organisations certifiées ISO 27001:2013 avaient jusqu'au 31 octobre 2025 pour migrer vers la version 2022
2.4 Processus de Certification
La certification ISO 27001 suit un processus en deux étapes réalisé par un organisme de certification accrédité (Bureau Veritas, BSI, SGS, LRQA…) :
- Audit de stage 1 (revue documentaire) : vérification de la maturité documentaire du SMSI
- Audit de stage 2 (audit sur site) : vérification de l'implémentation effective des contrôles
La certification est valide 3 ans avec des audits de surveillance annuels. Le coût d'une première certification pour un établissement bancaire de taille intermédiaire se situe entre 15 000 et 50 000 € (honoraires de l'organisme certificateur), hors coûts de mise en œuvre interne.
3. Tableau Comparatif Structuré
Choisir entre PCI DSS 4.0 et ISO 27001 requiert une analyse comparative rigoureuse sur six dimensions : périmètre, autorité de gouvernance, fréquence d'audit, coût, applicabilité et portée stratégique.
| Dimension | PCI DSS 4.0 | ISO 27001:2022 |
|---|---|---|
| Périmètre | Données de paiement par carte (CHD/SAD) uniquement — CDE délimité | Intégralité du SI de l'organisation — périmètre défini par l'organisation |
| Autorité | PCI SSC (consortium privé Visa, Mastercard, Amex, Discover, JCB) | ISO/IEC (organisation internationale de normalisation) |
| Nature de l'obligation | Contractuelle (imposée par les réseaux de paiement) | Volontaire (mais exigée par certains régulateurs/clients) |
| Fréquence d'audit | Annuelle (QSA ou SAQ) + trimestrielle (scans ASV) + annuelle (pentest) | Certification initiale (stage 1+2) + surveillance annuelle + recertification tous les 3 ans |
| Coût moyen (implémentation) | 150 000 – 600 000 € (Niveau 1, hors coûts internes) | 80 000 – 300 000 € (certification initiale + mise en œuvre) |
| Coût d'audit annuel | 30 000 – 120 000 € (audit QSA Niveau 1) | 8 000 – 25 000 € (audit de surveillance) |
| Applicable si… | L'établissement traite des paiements par carte (acquéreur, émetteur, PSP) | L'établissement veut certifier la sécurité globale de son SI |
| Reconnaissance | Requise par les contrats d'acquisition Visa/Mastercard | Reconnue mondialement par régulateurs, clients, partenaires |
| Approche de risque | Prescriptive (liste d'exigences) + Customized Approach (v4.0) | Basée sur le risque (risk-based) — flexibilité totale sur les contrôles |
| Résultat | Attestation de conformité (AOC) / Rapport de conformité (ROC) | Certificat ISO 27001 délivré par organisme accrédité |
| Couverture DORA | Partielle (résilience opérationnelle non couverte) | Significative (clauses 6, 8, 10 alignées avec DORA) |
| Formation/sensibilisation | Req. 12.6 (programme de sensibilisation annuel) | Clause 7.2/7.3 (compétences et sensibilisation continues) |
4. Mapping Croisé : Contrôles Communs et Exclusifs
Environ 60 % des contrôles ISO 27001 trouvent un équivalent fonctionnel dans PCI DSS 4.0 — ce qui signifie qu'une implémentation bien menée de l'un des deux standards crée une base solide pour l'autre.
4.1 Contrôles Communs (Zone de Synergie)
Les domaines suivants font l'objet d'exigences convergentes dans les deux référentiels :
- Gestion des accès et des identités : PCI DSS Req. 7 + 8 ↔ ISO 27001 A.5.15 à A.5.18 (gestion des droits, MFA, comptes privilégiés)
- Chiffrement : PCI DSS Req. 3 + 4 ↔ ISO 27001 A.8.24 (politique cryptographique, gestion des clés, TLS)
- Journalisation et surveillance : PCI DSS Req. 10 ↔ ISO 27001 A.8.15 + A.8.16 (logging, détection d'événements)
- Gestion des vulnérabilités : PCI DSS Req. 6 + 11 ↔ ISO 27001 A.8.8 (patch management, scans, pentest)
- Sécurité physique : PCI DSS Req. 9 ↔ ISO 27001 A.7 (contrôle d'accès physique, protection des équipements)
- Réponse aux incidents : PCI DSS Req. 12.10 ↔ ISO 27001 A.5.26 (plan de réponse, exercices, notification)
- Gestion des tiers/fournisseurs : PCI DSS Req. 12.8 ↔ ISO 27001 A.5.19 à A.5.22 (due diligence, contrats, audits fournisseurs)
- Sensibilisation et formation : PCI DSS Req. 12.6 ↔ ISO 27001 A.6.3 (programmes de sensibilisation)
4.2 Contrôles Exclusifs à PCI DSS 4.0
Ces exigences n'ont pas d'équivalent direct dans ISO 27001 et sont spécifiques au contexte de paiement par carte :
- Req. 3.3–3.5 : Protection et chiffrement des données de carte stockées (PAN, CVV, données de piste)
- Req. 4.2 : Protection des données CHD en transit (TLS obligatoire, interdiction de protocoles non sécurisés)
- Req. 6.4.3 / 11.6.1 : Gestion de l'intégrité des scripts de pages de paiement (anti-skimming JavaScript)
- Req. 9.4–9.5 : Contrôle des terminaux de paiement (inventaire, protection contre la falsification)
- Req. 11.3 : Tests de pénétration selon méthodologie définie (réseau + applicatif) avec fréquence minimale annuelle
- Req. 12.3 : Targeted Risk Analysis documentée par exigence PCI DSS
4.3 Contrôles Exclusifs à ISO 27001:2022
Ces contrôles dépassent le périmètre carte et adressent l'ensemble de la sécurité informationnelle :
- A.5.7 : Threat intelligence (veille sur les menaces, CTI)
- A.5.23 : Sécurité pour l'utilisation des services cloud
- A.8.11 : Masquage des données (data masking en dehors des environnements de production)
- A.8.12 : Prévention des fuites de données (DLP)
- A.6.8 : Reporting des événements de sécurité de l'information (canaux internes)
- A.5.9–A.5.12 : Inventaire et classification des actifs informationnels (au-delà des seules données de carte)
- Clause 6.1.2 : Processus d'évaluation des risques formalisé avec critères d'acceptation du risque
Recommandation pratique : Pour une banque dont l'activité principale inclut l'émission ou l'acquisition de cartes, commencer par PCI DSS pour adresser les obligations contractuelles immédiates, puis étendre vers ISO 27001 pour couvrir l'ensemble du SI. Le mapping PCI DSS → ISO 27001 peut économiser 30 à 40 % des efforts de mise en œuvre ISO.
Pour aller plus loin sur la mise en œuvre d'un SMSI conforme ISO 27001, consultez notre accompagnement SMSI pour établissements bancaires, qui détaille les étapes de déploiement et les écueils à éviter.
5. Arbre de Décision selon le Profil de l'Établissement
Le choix du standard prioritaire dépend de trois facteurs déterminants : la nature des activités de paiement, les exigences contractuelles des partenaires réseaux, et les obligations réglementaires spécifiques à l'établissement.
5.1 Profil 1 — Banque acquéreuse ou émettrice de cartes (Niveau 1/2)
→ Priorité : PCI DSS 4.0 obligatoire + ISO 27001 complémentaire
- Obligation contractuelle imposée par Visa/Mastercard
- Risque de pénalités financières et de retrait de licence en cas de non-conformité
- Stratégie recommandée : Certifier PCI DSS en premier, utiliser le gap analysis ISO 27001 pour planifier la certification complémentaire sur un horizon 18–24 mois
5.2 Profil 2 — Banque de dépôt sans activité d'acquisition carte significative
→ Priorité : ISO 27001:2022 + conformité PCI DSS minimale (SAQ)
- La certification ISO 27001 répond aux exigences des régulateurs (ACPR, BCE), des partenaires institutionnels et des grandes entreprises clientes
- PCI DSS reste applicable pour les paiements internes mais le périmètre est limité (SAQ suffisant)
5.3 Profil 3 — Fintech / Néobanque PSP
→ Priorité : PCI DSS 4.0 Level 1 ou 2 + ISO 27001 (exigence client)
- Les grands donneurs d'ordre (entreprises CAC 40, administrations) exigent souvent ISO 27001 dans les appels d'offres
- PCI DSS est incontournable pour l'activité de traitement de paiements
- Envisager une certification conjointe en optimisant le périmètre documentaire commun
5.4 Profil 4 — Banque filiale d'un groupe international
→ Priorité : Alignement sur le référentiel groupe + certification locale
- Si le groupe est certifié ISO 27001, étendre le périmètre à la filiale est généralement plus efficace
- Vérifier les exigences spécifiques de la Banque Centrale nationale concernant PCI DSS pour les activités carte
5.5 Profil 5 — Établissement soumis à DORA (ICT Risk)
→ Priorité : ISO 27001 + PCI DSS si applicable + mapping DORA explicite
- ISO 27001 couvre la majorité des chapitres DORA relatifs à la gestion des risques ICT
- Le programme de certification ISO 27001 peut servir de colonne vertébrale pour la conformité DORA
- Documenter explicitement le mapping ISO 27001 → DORA pour les inspections réglementaires
La mise en place d'une cartographie des risques constitue le point de départ indispensable de cet arbre de décision : elle permet de qualifier objectivement le profil de risque de l'établissement et d'orienter le choix du référentiel prioritaire.
6. Articulation avec DORA, NIS2 et EBA Guidelines
Les régulateurs européens convergent vers une exigence de résilience opérationnelle numérique qui dépasse le périmètre de PCI DSS et s'aligne structurellement avec ISO 27001 — tout en imposant des obligations supplémentaires que ni l'un ni l'autre ne couvre entièrement.
6.1 DORA (Digital Operational Resilience Act)
Le Règlement DORA (Regulation EU 2022/2554), applicable depuis le 17 janvier 2025, s'impose à toutes les entités financières opérant dans l'UE. Il structure ses exigences autour de cinq piliers :
| Pilier DORA | Couverture ISO 27001:2022 | Couverture PCI DSS 4.0 |
|---|---|---|
| Gestion des risques ICT | Élevée (Clauses 6, 8, 9) | Partielle (Req. 12) |
| Signalement des incidents ICT | Partielle (A.5.26) | Limitée (Req. 12.10) |
| Tests de résilience opérationnelle | Partielle (A.8.8) | Partielle (Req. 11) |
| Gestion des risques tiers ICT | Élevée (A.5.19–5.22) | Élevée (Req. 12.8) |
| Partage d'information | Absente | Absente |
Lacune commune : Ni PCI DSS ni ISO 27001 ne couvrent le Threat-Led Penetration Testing (TLPT) imposé par DORA pour les entités financières significatives. Un programme TLPT type TIBER-EU doit être mis en place séparément.
6.2 NIS2 (Network and Information Systems Directive 2)
La Directive NIS2 (Directive EU 2022/2555), transposée dans les législations nationales depuis octobre 2024, s'applique aux établissements bancaires classés comme entités essentielles. Ses exigences de sécurité (Article 21) couvrent :
- Gestion des risques : couverte par ISO 27001 Clauses 6 et 8
- Gestion des incidents : couverte par ISO 27001 A.5.24–5.26 + PCI DSS Req. 12.10
- Continuité d'activité : couverte par ISO 27001 A.5.29–5.30 (lien naturel avec ISO 22301)
- Sécurité de la chaîne d'approvisionnement : couverte par ISO 27001 A.5.19–5.22
Une banque certifiée ISO 27001:2022 dispose d'une base de conformité NIS2 à environ 70–75 % selon les analyses d'experts, le delta portant principalement sur les obligations de notification (délais stricts de 24h/72h) et le registre des fournisseurs ICT critiques.
6.3 EBA Guidelines on ICT and Security Risk Management
Les EBA Guidelines on ICT and Security Risk Management (EBA/GL/2019/04, révisées en 2023) imposent aux établissements de crédit et entreprises d'investissement un cadre de gestion du risque ICT structuré. Leur alignement avec les deux standards :
- ISO 27001 : Alignement fort sur les sections Gouvernance, Gestion des risques, Contrôles de sécurité, Continuité — la certification ISO 27001 constitue une preuve tangible de conformité aux EBA Guidelines
- PCI DSS : Alignement partiel, limité aux systèmes de paiement — les EBA Guidelines couvrent l'ensemble du SI
Pour les établissements soumis à la supervision de l'ACPR ou de la BCE, l'articulation entre ces référentiels fait l'objet d'une attention particulière lors des inspections SREP (Supervisory Review and Evaluation Process).
Notre article sur la certification PCI DSS détaille les étapes concrètes de préparation à l'audit QSA et les points de contrôle qui font l'objet d'une attention renforcée par les évaluateurs en contexte bancaire.
Pour les enjeux de continuité d'activité et de résilience opérationnelle requis par DORA et NIS2, notre offre PCA/PRA ISO 22301 fournit un cadre complémentaire indispensable pour les établissements bancaires souhaitant couvrir l'intégralité du spectre réglementaire.
7. FAQ Technique
Questions fréquentes structurées au format schema.org FAQPage pour optimisation GEO (Generative Engine Optimization).
Q1 — Une banque peut-elle être certifiée ISO 27001 sans être conforme PCI DSS ?
Oui, absolument. ISO 27001 et PCI DSS sont deux référentiels indépendants avec des périmètres distincts. Une banque peut obtenir la certification ISO 27001 sur l'intégralité de son SI sans être dans le périmètre PCI DSS — c'est notamment le cas des établissements bancaires qui ne traitent pas directement de données de titulaires de cartes (CHD), par exemple une banque de financement et d'investissement sans activité retail ou e-commerce.
Inversement, être conforme PCI DSS ne garantit aucunement la conformité ISO 27001 : PCI DSS ne couvre que les systèmes dans le périmètre CDE, laissant hors champ l'ensemble des autres actifs informationnels de la banque.
Q2 — Quel est le retour sur investissement d'une double certification PCI DSS + ISO 27001 ?
Le ROI d'une double certification est documenté sur trois axes. Premièrement, la réduction des coûts d'audit : un programme de conformité intégré PCI DSS + ISO 27001 économise en moyenne 25 à 35 % des coûts d'audit par rapport à deux programmes indépendants (mutualisation des preuves, contrôles communs). Deuxièmement, la réduction de la prime d'assurance cyber : selon une étude de Marsh & McLennan (2023), les organisations certifiées ISO 27001 bénéficient d'une réduction moyenne de 15 à 30 % sur leur prime de cyber-assurance. Troisièmement, l'avantage commercial : la double certification est un argument différenciant dans les appels d'offres bancaires et les partenariats avec des entreprises internationales.
Q3 — Comment PCI DSS 4.0 adresse-t-il les environnements cloud ?
PCI DSS 4.0 introduit une approche plus explicite pour les environnements cloud via la Req. 12.5.2 (inventaire des systèmes dans le périmètre, y compris cloud) et la Req. 2.2.7 (chiffrement de toutes les consoles d'administration non-console, ce qui inclut les portails cloud). La Customized Approach (approche personnalisée) est particulièrement utile pour les architectures cloud-native où les contrôles prescriptifs traditionnels ne s'appliquent pas directement.
Le modèle de responsabilité partagée (shared responsibility model) doit être documenté : le PCI SSC a publié des Cloud Computing Guidelines (supplément d'information) précisant les responsabilités entre le CSP (Cloud Service Provider) et le client. Les certifications cloud du CSP (SOC 2 Type II, ISO 27001) ne dispensent pas le client de sa propre conformité PCI DSS.
Q4 — ISO 27001:2022 couvre-t-elle suffisamment les exigences DORA pour les banques ?
ISO 27001:2022 constitue une base solide mais non suffisante pour la conformité DORA. Les domaines bien couverts incluent la gestion des risques ICT (Clauses 6 et 8), la gestion des actifs (A.8.1), la sécurité des fournisseurs (A.5.19–5.22) et la réponse aux incidents (A.5.24–5.26). Les lacunes principales portent sur : le Threat-Led Penetration Testing (TLPT) — obligatoire pour les entités significatives selon l'Article 26 DORA — les délais stricts de notification d'incidents (4h pour l'alerte initiale, 24h pour le rapport préliminaire), et le registre des accords de sous-traitance ICT avec les prestataires tiers critiques.
La stratégie recommandée est d'utiliser ISO 27001 comme colonne vertébrale et de compléter avec un programme DORA spécifique documentant les gaps et les mesures supplémentaires.
Q5 — Quelle est la durée typique d'un projet de mise en conformité PCI DSS 4.0 pour une banque de taille intermédiaire ?
Pour une banque de taille intermédiaire (500 à 2 000 collaborateurs, traitement de 1 à 6 millions de transactions carte par an), la durée typique d'un projet PCI DSS 4.0 de niveau 2 se décompose ainsi :
- Phase 0 — Scoping et gap analysis : 4 à 6 semaines
- Phase 1 — Réduction du périmètre CDE (segmentation réseau, tokenisation) : 3 à 6 mois
- Phase 2 — Implémentation des contrôles manquants : 4 à 8 mois
- Phase 3 — Audit QSA ou SAQ + remédiation : 2 à 3 mois
- Total : 12 à 18 mois pour un premier projet, 6 à 9 mois pour un renouvellement
Les nouvelles exigences de la v4.0 avec date butoir au 31 mars 2025 (notamment Req. 6.4.3 anti-skimming et Req. 8.4.2 MFA étendu) doivent être traitées en priorité dans le plan de projet.
Conclusion
PCI DSS 4.0 et ISO 27001:2022 ne sont pas des alternatives mutuellement exclusives — ce sont deux référentiels complémentaires qui adressent des périmètres distincts mais partiellement convergents du risque cyber bancaire.
Pour la grande majorité des établissements bancaires opérant en Europe en 2025, la question n'est pas "lequel choisir ?" mais "dans quel ordre et comment les articuler ?". La réponse dépend de trois déterminants :
- L'obligation contractuelle : Si votre établissement traite des paiements par carte pour le compte de commerçants, PCI DSS est incontournable et non négociable. Commencez par là.
- L'ambition de couverture : Si vous souhaitez couvrir l'intégralité du SI, démontrer votre maturité sécurité à vos régulateurs (ACPR, BCE) et aligner votre posture avec DORA et NIS2, ISO 27001 est le standard de référence.
- L'efficience opérationnelle : Un programme intégré PCI DSS + ISO 27001, conçu dès le départ avec un mapping des contrôles communs, génère des économies significatives de 25 à 40 % sur les coûts de conformité à moyen terme.
La complexité réglementaire croissante — DORA entré en application en janvier 2025, NIS2 transposée en 2024, révision de RTS PSD2 en cours — renforce la nécessité d'une approche de conformité intégrée plutôt que silotée. Les établissements qui traitent ces référentiels comme des programmes indépendants subissent des coûts disproportionnés et des angles morts réglementaires.
Prochaine étape : Évaluez votre niveau de maturité
Pour passer de l'analyse à l'action, Intervalle Technologies met à disposition des RSSI et DSI bancaires :
- Une checklist de maturité PCI DSS 4.0 / ISO 27001 pour auto-évaluer les gaps prioritaires de votre établissement
- Un accompagnement à l'audit ISO 27001 structuré en 3 phases : gap analysis, plan de remédiation, préparation certification
- Un programme de conformité PCI DSS de bout en bout : scoping, réduction de périmètre, implémentation, audit QSA
→ Téléchargez notre checklist de conformité et contactez nos experts pour un premier échange diagnostic sans engagement.
Pour approfondir les sujets connexes abordés dans cet article :
- Audit ISO 27001 — Accompagnement certification — Processus d'audit, préparation au stage 1 et 2, points de contrôle critiques pour les banques (section 4 — Mapping croisé)
- Certification PCI DSS — Guide complet — Étapes concrètes de préparation à l'audit QSA et contrôles renforcés en contexte bancaire (section 1 — PCI DSS 4.0)
- Cartographie des risques — Accompagnement — Point de départ de l'arbre de décision, qualification du profil de risque (section 5 — Arbre de décision)
- PCA/PRA ISO 22301 — Cadre complémentaire pour la résilience opérationnelle DORA et NIS2 (section 6 — Articulation réglementaire)