Magic Quadrant™ pour la gestion des accès privilégiés 2025 : Netwrix reconnue pour la quatrième année consécutive. Téléchargez le rapport.

Contactez-nousSupportCommunauté
EnglishEspañolItalianoFrançaisDeutschPortuguês
Sécurité des Données
Gouvernance d'AlGestion de la Posture de Sécurité des DonnéesGouvernance de l'Accès aux DonnéesPrévention de la Perte de DonnéesDécouverte et Classification des Données
Sécurité de l'Identité
Détection et Réponse aux Menaces d'IdentitéGouvernance et Administration des IdentitésGestion de la Posture de Sécurité d'IdentitéGestion des Accès PrivilégiésSécurité du Répertoire

L'avenir de la sécurité des données

La Plateforme Netwrix 1Secure™

Explorer
Solutions
Cas d'Utilisation Présentés Voir tous les cas d'utilisation
Sécurité d'Active DirectoryDéfense de l'Identité Non HumainePréparation de CopilotDéploiement sur siteDétection et Analyse des Risques d'IdentitéFournisseurs de Services GérésFusions, Acquisitions et DésinvestissementsConformité RéglementaireSécurité Microsoft 365Zero Trust
Produits vedettes Voir tous les produits
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint ProtectorNetwrix Privilege SecureGestionnaire d'identité Netwrix

Le paiement en libre-service est disponible pour les organisations comptant jusqu'à 150 employés

La plateforme Netwrix 1Secure™

Explorez
Netwrix AI Environnements que nous protégeons Intégrations MSPs Risques de sécurité Active Directory Conformité Acheter Maintenant Tarification
Centre de ressources Voir tout
BlogAttack CatalogConformitéTémoignages de clientsCadres de cybersécuritéGlossaire de la cybersécuritéÉvénementsFreewareGuidesIdeas PortalActualitésPodcastsPublicationsAnnonces de produitsRechercheWebinars
Asset not found

Témoignage client à la une

DXC Technology permet aux clients d'atteindre la conformité PCI DSS et de se concentrer sur des initiatives stratégiques
Partenaires
Programme PartenaireDevenez partenaireMSPsLocalisateur de partenairesWebinarsMicrosoft Alliance
Asset not found

Histoire à la une d'un client

AppRiver améliore le contrôle sur Active Directory tout en réduisant considérablement le temps d'audit
Asset not found

Témoignage client à la une

Un MSP aide un client à se remettre d'un rançongiciel en 6 heures
Pourquoi Netwrix
À propos de nousLeadershipNetwrix AITémoignages clientsReconnaissanceActualitésCarrières
Asset not found

Histoire à la une d'un client

Horizon Leisure Centres accélère la classification des données pour se conformer au RGPD et économise 80 000 £ par an
Asset not found

Témoignage client à la une

L'Institut de R&D Samsung sécurise les données avec une utilisation multiplateforme et un déploiement rapide sur macOS grâce à Netwrix Endpoint Protector
Centre de ressourcesBlog
Niveaux de conformité PCI DSS : ce qu'ils signifient et comment se qualifier

Niveaux de conformité PCI DSS : ce qu'ils signifient et comment se qualifier

Apr 20, 2026

Les niveaux de conformité PCI DSS classent les commerçants et les prestataires de services en fonction du volume annuel des transactions par carte, déterminant ainsi leurs exigences de validation. Les commerçants sont répartis en quatre niveaux, le Niveau 1 nécessitant l’évaluation la plus rigoureuse par un Qualified Security Assessor, tandis que les Niveaux 2 à 4 remplissent généralement des questionnaires d’auto-évaluation. Les prestataires de services suivent un système distinct à deux niveaux. Comprendre votre niveau de conformité est essentiel pour respecter les exigences des marques de cartes et protéger les données des titulaires de carte.

Niveaux de conformité PCI DSS en un coup d'œil

Aperçu des niveaux de commerçant 1-4

La norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) classe les organisations en quatre niveaux de commerçants en fonction du volume annuel des transactions par carte et de l'exposition globale au risque afin de déterminer les exigences de validation appropriées. Comprendre votre niveau de conformité est essentiel pour respecter vos obligations et maintenir des mesures de sécurité adéquates afin de conserver la capacité de traiter les paiements par carte.

Les commerçants de niveau 1 traitent le volume de transactions le plus élevé, généralement plus de 6 millions de transactions par an, et sont soumis aux exigences de validation les plus strictes. Les commerçants de niveau 2 gèrent un volume élevé de transactions mais inférieur à celui du niveau 1, généralement entre 1 et 6 millions de transactions par carte par an, et sont validés par auto-évaluation avec une surveillance supplémentaire. Les commerçants de niveau 3 sont généralement des entreprises de commerce électronique de taille moyenne qui traitent habituellement entre 20 000 et 1 million de transactions par carte et sont validés par auto-évaluation. Les commerçants de niveau 4 sont de petites entreprises avec les volumes de transactions les plus faibles, moins de 20 000 transactions de commerce électronique ou jusqu'à 1 million de transactions totales par an, et sont validés par auto-évaluation avec les obligations de conformité les plus simples.

Il est important de noter que les organisations qui traitent ou stockent des données de carte pour le compte d'autres organisations (prestataires de services) suivent un système distinct à deux niveaux pour les exigences de validation, différent de la validation des commerçants et dépendant du volume annuel de transactions par carte. Les prestataires de services de niveau 1 traitent plus de 300 000 transactions par an ou stockent des données de titulaires de carte pour des tiers. Les prestataires de services de niveau 2 traitent moins de 300 000 transactions par an.

Pourquoi votre niveau est important

Votre niveau de conformité détermine directement comment votre organisation doit valider la conformité et l'effort nécessaire pour la maintenir. Le niveau commerçant définit si une organisation doit compléter un Rapport de Conformité (ROC) via un Évaluateur de Sécurité Qualifié ou un Questionnaire d'Auto-évaluation (SAQ), ainsi que la profondeur et le type de preuves de conformité qu'elle doit conserver.

Les niveaux de commerçants supérieurs nécessitent davantage de preuves documentées et des tests réguliers des contrôles de sécurité. Par exemple, les commerçants de niveau 1 doivent fournir une Attestation de Conformité (AOC) formelle signée par un Qualified Security Assessor (QSA). Bien que la conformité soit une obligation continue, le niveau du commerçant influence également la fréquence des évaluations nécessaires, comme les analyses trimestrielles du réseau par un Approved Scanning Vendor. Les marques de cartes et les banques acquéreuses peuvent imposer des exigences supplémentaires en fonction du niveau de conformité. Il est essentiel d'identifier et de maintenir correctement votre niveau de conformité pour répondre aux attentes réglementaires, éviter les pénalités et démontrer efficacement la diligence requise pour protéger les données des titulaires de carte.

Découvrez comment Netwrix vous aide à simplifier la conformité, réduire les efforts d'audit et renforcer le contrôle sur les données sensibles et les accès. Demandez une démo.

Comment les marques de cartes déterminent votre niveau de conformité PCI DSS

Seuils de volume de transactions

Les marques de cartes utilisent principalement le volume annuel des transactions par carte pour établir le niveau de conformité d'une organisation. Ces seuils aident à déterminer quel type de validation et de structure de rapport une organisation doit suivre pour maintenir la conformité PCI DSS :

  • Niveau 1 : Commerçants traitant plus de 6 millions de transactions par an sur tous les canaux (en magasin et en ligne)
  • Niveau 2 : Commerçants traitant entre 1 et 6 millions de transactions par an
  • Niveau 3 : Commerçants traitant entre 20 000 et 1 million de transactions e-commerce par an
  • Niveau 4 : Commerçants traitant moins de 20 000 transactions e-commerce par an ou jusqu'à 1 million de transactions totales sur tous les canaux

Les commerçants de niveau 1 ont généralement besoin d’évaluations annuelles sur site par un Qualified Security Assessor (QSA), tandis que les niveaux inférieurs nécessitent des auto-évaluations à l’aide de questionnaires (SAQ) et des exigences supplémentaires telles que des analyses réseau trimestrielles.

Escalade des violations et des incidents

Le volume annuel des transactions est le facteur principal pour établir le niveau de conformité, mais ce n’est pas le seul. Les marques de cartes se réservent le droit de faire passer manuellement tout commerçant au Niveau 1 s’ils estiment qu’il existe un risque élevé pour l’écosystème de paiement. Si un commerçant a subi une violation de données ou un incident de sécurité ayant compromis les données des titulaires de carte, les marques de cartes peuvent faire passer le commerçant au Niveau 1 indépendamment du volume des transactions. De plus, si la marque de carte identifie des vulnérabilités systémiques telles que des contrôles de sécurité inadéquats, un manque de preuves de conformité ou un profil à haut risque basé sur les modèles de transaction, le type d’industrie ou l’historique de fraude, elle peut imposer les exigences de validation du Niveau 1.

Rôle de la banque acquéreuse

Bien que les marques de cartes établissent des normes de sécurité mondiales, les banques acquéreuses ont l'autorité ultime pour attribuer le niveau PCI DSS. La banque acquéreuse est responsable de s'assurer que le niveau marchand d'une organisation est approprié et examine les données réelles des transactions ainsi que tout critère spécifique à une marque de carte pour confirmer le niveau de conformité. L'acquéreur collecte et examine les documents de validation de conformité tels que l'Attestation de Conformité, le SAQ ou les Rapports de Conformité, et peut imposer des exigences supplémentaires au-delà des normes minimales des marques de cartes. Différentes marques de cartes telles que Visa, Mastercard, Discover et American Express ont des seuils légèrement différents pour les niveaux de conformité PCI. Les commerçants traitant avec plusieurs marques doivent respecter tous les niveaux de conformité des marques de cartes, et la banque acquéreuse médie et applique ces exigences.

Les quatre niveaux de commerçant : exigences et preuves

Niveau 1 : assurance la plus élevée

Qui est concerné : Commerçants traitant plus de 6 millions de transactions par carte par an sur l’ensemble des canaux combinés (carte présente, e-commerce, commandes par courrier ou téléphone), incluant tous les types de transactions telles que les achats, remboursements, crédits et autorisations. De plus, tout commerçant ayant subi une violation de données impliquant une compromission des données ou ayant été désigné comme Niveau 1 par les marques de cartes sur la base d’évaluations de risque, de violations de conformité antérieures ou d’un modèle commercial présentant un risque substantiel, quel que soit le volume des transactions.

Exigences de validation : La conformité PCI DSS Niveau 1 représente l'exposition au risque la plus élevée et nécessite donc la validation la plus rigoureuse :

Rapport annuel de conformité (ROC)

Un audit complet sur site de tous les 12 domaines d'exigences PCI DSS réalisé par un Qualified Security Assessor (QSA) certifié par PCI SSC

Attestation de conformité (AOC)

Une déclaration formelle du statut de conformité du commerçant, signée par l'évaluateur et un cadre de l'entreprise, soumise avec le ROC

Analyses réseau trimestrielles

Doivent être effectuées par un Approved Scanning Vendor (ASV) sur toutes les adresses IP exposées dans l'environnement des données des titulaires de carte (CDE). Les analyses doivent obtenir un statut de réussite sans vulnérabilités notées 4.0 ou plus selon le score CVSS

Tests d'intrusion annuels

Effectués par des ressources internes qualifiées ou des testeurs d'intrusion tiers, incluant des tests de sécurité au niveau réseau et applicatif. Doivent inclure une validation de la segmentation réseau, prouvant que les systèmes hors du CDE ne peuvent pas accéder aux données des titulaires de carte

Niveau 2 : volume élevé sans QSA par défaut

Qui est éligible : Les commerçants de niveau 2, tels que les détaillants de commerce électronique moyens à grands, les chaînes de magasins régionales et les hôtels et restaurants multi-sites, représentent un risque important mais sont autorisés à s’auto-valider sauf indication contraire de leur banque acquéreuse.

Exigences de validation :

Questionnaire annuel d'auto-évaluation (SAQ)

Un questionnaire structuré couvrant les exigences PCI DSS applicables à l'environnement du commerçant, spécifiquement SAQ D, sauf si le commerçant remplit les critères pour un SAQ à portée réduite tel que SAQ A, A-EP, B ou C. Ces SAQ vont de 13 à 329 questions, et le commerçant doit compléter l'évaluation en interne avec une documentation appropriée

Attestation de conformité (AOC)

Une déclaration formelle de conformité signée par le dirigeant du commerçant confirmant la complétion du SAQ pour chaque exigence, soumise à la banque acquéreuse et aux marques de cartes

Analyses trimestrielles ASV

S'il existe des adresses IP accessibles depuis l'extérieur, les analyses doivent obtenir un statut de réussite sans vulnérabilités notées 4.0 ou plus selon le score CVSS

Remarque : Les banques acquéreuses ou les marques de cartes peuvent exiger une évaluation complète ROC dirigée par un QSA pour les commerçants de niveau 2 en fonction du profil de risque, de l'historique des violations de sécurité, de l'infrastructure complexe ou d'une posture de conformité insuffisante.

Niveau 3 : focus sur le commerce électronique pour le marché intermédiaire

Qui est éligible : Commerçants traitant entre 20 000 et 1 million de transactions e-commerce par an, en particulier ceux ayant une présence en ligne importante dans des scénarios Card-Not-Present (CNP).

Exigences de validation : Les commerçants de niveau 3 incluent généralement des entreprises de commerce électronique en croissance, des sociétés SaaS avec des intégrations de paiement, des places de marché numériques et des entreprises par abonnement. Ils doivent fournir les validations suivantes :

SAQ annuel

La sélection du type de SAQ est cruciale dans cette catégorie en fonction de l'architecture d'acceptation des paiements et de la manière dont les commerçants gèrent les données des titulaires de carte. Le type de SAQ (SAQ A, SAQ A-EP ou SAQ D) dépend strictement de la façon dont les données de paiement transitent par les systèmes du commerçant, qu'il s'agisse d'une redirection, d'un iframe ou d'un traitement direct.

Attestation de conformité (AOC)

Une déclaration formelle de conformité signée par le dirigeant du commerçant confirmant l'achèvement du SAQ pour chaque exigence, soumise à la banque acquéreuse et aux marques de cartes.

Analyses ASV trimestrielles

S'il existe des adresses IP accessibles depuis l'extérieur, les analyses doivent obtenir un statut de réussite sans vulnérabilités notées 4.0 ou plus selon le score CVSS.

Niveau 4 : référence pour les petits commerçants

Qui est éligible : Les commerçants traitant moins de 20 000 transactions e-commerce ou jusqu’à 1 million de transactions totales pour tous les canaux par an sont éligibles à la conformité de niveau 4.

Exigences de validation : Les commerçants de niveau 4 comprennent généralement les petites entreprises, les magasins de détail locaux, les hôtels et restaurants à emplacement unique, ainsi que les petits détaillants en ligne. Ils doivent effectuer les validations suivantes :

SAQ annuel

Généralement réalisé via des programmes d’évaluation simplifiés fournis par les banques acquéreuses, tels que des applications guidées pour la complétion du SAQ. Les types de SAQ B-IP, C-VT, A et SAQ P2PE s’appliquent généralement aux commerçants de niveau 4

Attestation de conformité (AOC)

Nécessaire en général également pour les commerçants de niveau 4 ; cependant, les exigences de soumission sont déterminées par la banque acquéreuse

Analyses ASV trimestrielles

Souvent requises par la banque acquéreuse, en particulier si le commerçant possède une présence web ou s’il existe des systèmes exposés à Internet dans l’environnement de paiement

Idée fausse courante : Les commerçants de niveau 4 sont tenus de respecter toutes les exigences applicables de PCI DSS, telles que le maintien d'un réseau sécurisé avec des pare-feu et des technologies de chiffrement, la protection des données des titulaires de carte, la gestion des vulnérabilités, les contrôles d'accès, la surveillance continue et les tests réseau. Le niveau n'affecte que la méthode de validation, pas les obligations de sécurité.

Niveaux PCI DSS pour les fournisseurs de services

Modèle de fournisseur de services à deux niveaux

Les prestataires de services jouent un rôle important dans l'écosystème de traitement des paiements car ils stockent, traitent ou transmettent les données des titulaires de carte au nom des commerçants et peuvent affecter la sécurité des données des titulaires de carte. Alors que les commerçants sont classés en quatre niveaux de conformité, les prestataires de services suivent un modèle de classification à deux niveaux avec des exigences strictes de validation en raison de leur rôle de responsabilité partagée auprès de plusieurs clients.

Fournisseurs de services de niveau 1 : Toute organisation qui traite, stocke ou transmet plus de 300 000 transactions par carte par an pour le compte de commerçants, ou toute organisation spécifiquement désignée par une marque de carte de paiement quel que soit le volume des transactions. Elles doivent subir un audit sur site réalisé par un Qualified Security Assessor (QSA) pour le ROC, soumettre le AOC, effectuer des analyses ASV trimestrielles et réaliser des tests de pénétration annuels obligatoires. Cette catégorie de fournisseurs de services comprend généralement les passerelles de paiement, les fournisseurs de services gérés et les fournisseurs de cloud et d’hébergement.

Fournisseurs de services de niveau 2 : Toute organisation qui traite, stocke ou transmet moins de 300 000 transactions totales par an et qui n'est pas désignée comme fournisseur de services de niveau 1 par les marques de cartes. Les fournisseurs de services de niveau 2 doivent satisfaire aux exigences de validation via le SAQ D annuel pour les fournisseurs de services afin de répondre à toutes les exigences PCI DSS, soumettre l'AOC, fournir des rapports trimestriels de scan ASV et réaliser des tests d'intrusion annuels.

Qui valide les fournisseurs de services

La conformité des fournisseurs de services peut être validée par plusieurs mécanismes, en fonction des obligations contractuelles et des considérations de risque :

  • Auto-validation vs. QSA : Les fournisseurs de niveau 1 doivent être validés par un QSA externe, tandis que les fournisseurs de niveau 2 peuvent s'auto-valider en utilisant SAQ D. Cependant, leurs clients, commerçants ou les marques de cartes peuvent toujours exiger un ROC signé par un QSA en fonction de la sensibilité du service fourni. Dans certains cas, les QSAs des commerçants examineront les contrôles des fournisseurs de services lors des propres évaluations PCI du commerçant en raison de la nature de la responsabilité partagée.
  • Registres de conformité des marques de cartes : Des marques de cartes renommées telles que Visa et Mastercard tiennent des listes officielles des prestataires de services conformes. Les commerçants sont encouragés et souvent tenus d'utiliser uniquement ces prestataires de services
  • Responsabilité du commerçant : Les commerçants doivent tenir une liste de leurs prestataires de services, avoir des accords écrits avec eux et sont responsables de la vérification du statut de conformité de leurs prestataires au moins une fois par an. Le fait de ne pas utiliser un prestataire conforme ne transfère pas l'obligation PCI ; les commerçants restent responsables de la protection des données des titulaires de carte.

Choisir le SAQ adapté à votre environnement

Matrice de sélection SAQ

Les questionnaires d'auto-évaluation sont des outils de validation définis par le PCI Security Standards Council (PCI SSC) pour aider les commerçants et les prestataires de services à auto-évaluer leur conformité au PCI DSS. Le questionnaire d'auto-évaluation approprié dépend de la manière dont les commerçants acceptent, traitent, transmettent et stockent les données des titulaires de carte.

Type de SAQ

Description

SAQ A

Commerçants qui n’acceptent que les paiements Card-Not-Present, externalisent entièrement toutes les fonctions liées aux données de carte (traitement des paiements redirigé vers des fournisseurs tiers) et ne stockent, ne traitent ni ne transmettent les données des titulaires de carte sur leurs systèmes

SAQ A-EP

Commerçants e-commerce qui externalisent partiellement le traitement des paiements par carte, où leur site web contrôle la manière dont les données sont capturées (utilisation d’iframes de paiement ou de JavaScript qui gère directement les données des titulaires de carte). Les sites web doivent utiliser HTTPS avec des certificats valides, scanner régulièrement les scripts vulnérables et empêcher le code non autorisé

SAQ B

Commerçants utilisant uniquement des machines à imprimer ou des terminaux non IP avec composition téléphonique sans stockage électronique des données des titulaires de carte et sans connectivité réseau. La sécurité physique des terminaux et des machines à imprimer est importante, avec une gestion sécurisée des données des titulaires de carte sur papier

SAQ B-IP

Commerçants utilisant uniquement des terminaux de paiement autonomes approuvés PTS avec connexion IP au processeur de paiement et sans stockage électronique des données des titulaires de carte. Les terminaux doivent être configurés et gérés de manière sécurisée avec une segmentation réseau par rapport aux autres systèmes d’entreprise

SAQ C

Commerçants avec des systèmes d’application de paiement (POS) connectés à Internet, sans stockage des données des titulaires de carte. Les systèmes de paiement et la connectivité Internet sont protégés par des pare-feu et des contrôles d’accès réseau stricts

SAQ C-VT

Commerçants qui saisissent manuellement les données de paiement dans des terminaux virtuels basés sur le web fournis par un fournisseur tiers conforme et ne stockent pas les données des titulaires de carte. Le dispositif de paiement doit être un ordinateur isolé protégé par un logiciel antivirus, des mécanismes d’accès stricts et une protection par pare-feu

SAQ P2PE

Commerçants utilisant des terminaux matériels Point-to-Point Encryption (P2PE) listés par PCI SSC, sans stockage électronique des données des titulaires de carte. Les terminaux doivent être gérés conformément aux exigences de la solution P2PE avec une sécurité physique appropriée des dispositifs P2PE

SAQ D

Tous les commerçants et prestataires de services non couverts par d’autres types de SAQ, ou toute organisation qui stocke, traite ou transmet des données de titulaires de carte et ne peut pas satisfaire aux critères des autres types de SAQ. Ils nécessitent une conformité complète PCI DSS sur les 12 domaines d’exigences et requièrent souvent l’intervention d’un Qualified Security Assessor (QSA) lors des évaluations

Conseils pour éviter l'élargissement du périmètre

Choisir le mauvais type de SAQ peut augmenter la charge de conformité, créer des failles de sécurité et entraîner des rejets d’audit.

Cartographiez vos flux de paiement : Documentez chaque point où les données des titulaires de carte entrent dans votre organisation, comment elles sont traitées et stockées, et où elles quittent votre environnement. Identifiez tous les systèmes et services impliqués dans la capture et le traitement des données, y compris les systèmes de sauvegarde, les journaux ou les archives.

Comprendre les points de contact des données des titulaires de carte : Si une partie de votre infrastructure touche les données des titulaires de carte, cela peut faire passer le type de SAQ d’un SAQ plus léger à un SAQ D. Si un système stocke, traite ou transmet des données des titulaires de carte, cela peut influencer la sécurité des données des titulaires de carte. Prenez également en compte les systèmes qui peuvent accéder à l’environnement des données des titulaires de carte ainsi que les systèmes qui se trouvent sur le même segment réseau que le CDE.

Utilisez la segmentation : Une segmentation appropriée du réseau et du système peut réduire la portée de PCI DSS, diminuant ainsi l'effort nécessaire pour la conformité. Utilisez des pare-feu et des VLAN pour isoler les terminaux de paiement ou les systèmes POS du reste du réseau d'entreprise. Documentez toujours les modifications et validez régulièrement leur efficacité pour soutenir la conformité continue.

Consultez un QSA : Si un commerçant propose à la fois des services en magasin et en commerce électronique, il peut être nécessaire de remplir plusieurs SAQ ou un seul SAQ D. Il est toujours conseillé de faire appel à un QSA qui peut aider à éviter les efforts de conformité excessifs ou insuffisants.

De la portée aux preuves : ce que les auditeurs attendent à chaque niveau

Définition du périmètre et documentation

Les auditeurs évaluant la conformité PCI DSS se concentrent d'abord sur la validation du périmètre et la documentation fondamentale, car toutes les preuves pertinentes dépendent d'une définition exacte de l'environnement des données du titulaire de la carte (CDE).

Délimitation précise du CDE : Les auditeurs exigent une identification claire de tous les systèmes, réseaux et emplacements qui stockent, traitent ou transmettent des données de titulaires de carte. Les limites claires du CDE doivent être documentées. Les systèmes inclus dans le périmètre, tels que les terminaux de point de vente, les passerelles de paiement et les bases de données, ainsi que les systèmes exclus doivent disposer de preuves d’exclusion telles que la segmentation réseau et les règles de pare-feu. La délimitation du CDE doit être revue au moins une fois par an et après chaque changement significatif du CDE ou de l’infrastructure associée.

Diagrammes de flux de données : Les DFD doivent montrer le mouvement des données des titulaires de carte de bout en bout, depuis les points d'entrée jusqu'aux déplacements internes, au stockage et aux points de sortie. Les DFD doivent comporter des flux de données à haut niveau et détaillés avec de brèves descriptions, en indiquant les routes chiffrées et non chiffrées et en les associant aux appareils réels avec leurs adresses IP et noms d'hôtes.

Documentation de la segmentation réseau : Si certains serveurs et appareils sont déclarés hors périmètre, des preuves techniques doivent être incluses dans la documentation pour montrer que le CDE n'est pas affecté. Par exemple, des configurations de pare-feu qui restreignent le trafic réseau entre les réseaux CDE et non-CDE, des configurations VLAN qui séparent logiquement les réseaux, et les résultats des tests de pénétration annuels.

Inventaire du système : Un inventaire complet et à jour de tous les actifs informatiques, tels que les serveurs, postes de travail, dispositifs réseau et terminaux, avec les systèmes d'exploitation, applications, versions et niveaux de correctifs installés, doit être documenté pour tout ce qui pourrait affecter le CDE. Des mécanismes de gestion des changements doivent être mis en place pour afficher les journaux comme preuve des mises à jour du système, des correctifs et de la mise hors service du matériel.

Synchronisation de l'heure : Tous les systèmes doivent avoir une heure précise et synchronisée en utilisant le Network Time Protocol (NTP), car la synchronisation de l'heure est essentielle pour la corrélation des journaux et l'analyse judiciaire. La documentation doit contenir la configuration du serveur NTP, la source de l'heure et les paramètres de fréquence de synchronisation avec des journaux justificatifs montrant la réussite de la synchronisation de l'heure.

Principaux artefacts par niveau

Les différents niveaux de rapport exigent différents types et degrés de preuves, mais les artefacts principaux restent constants ; seules les méthodes de validation varient en fonction du niveau du commerçant. Voici les artefacts courants que les auditeurs attendent à tous les niveaux :

  • Politiques de sécurité de l'information : Politiques de sécurité documentées complètes couvrant toutes les exigences PCI DSS applicables, y compris la politique d'utilisation acceptable, la politique de conservation des données, les mécanismes de gestion des clés de chiffrement, la politique d'accès à distance, la politique de gestion des changements, la sécurité physique et les procédures de réponse aux incidents
  • Documentation du contrôle d'accès : Politiques d'accès utilisateur et rapports montrant qui a accès à quels systèmes et données, mise en œuvre du contrôle d'accès basé sur les rôles (RBAC), et vérification que les rôles et permissions respectent le principe du moindre privilège. Authentification multifactorielle (MFA) appliquée sur tous les chemins d'accès dans le CDE, and reports showing who has access to what systems and data, role-based access control (RBAC) implementation, and whether roles and permissions follow the principle of least privilege. Multi-factor authentication (MFA) enforced on all access paths in the CDE, Privileged Access Management avec enregistrement des sessions, et piste d'audit complète des accès administratifs au CDE
  • Journaux de surveillance de l'intégrité des fichiers (FIM) : Preuve que les fichiers système critiques et les configurations sont surveillés pour détecter les modifications non autorisées, y compris les alertes et rapports FIM, les définitions de configuration de référence et les dossiers d'enquête pour les modifications légitimes
  • Examens des accès utilisateurs : Examens périodiques des comptes utilisateurs et des comptes administratifs, y compris les rapports approuvés par les chefs de département, les preuves de remédiation pour les privilèges excessifs, et la suppression des accès des utilisateurs terminés
  • Résultats de l'analyse des vulnérabilités : Rapports trimestriels des outils d'analyse internes et des fournisseurs d'analyse approuvés externes (ASV) montrant qu'aucune vulnérabilité à haut risque n'a été détectée, ou que les vulnérabilités ont été corrigées et que les nouvelles analyses montrent que les vulnérabilités ont été résolues
  • Rapports de tests de pénétration : Rapports formels des résultats des tests de pénétration internes ou externes, y compris les tests au niveau du réseau, les tests au niveau des applications et la validation de la segmentation. Les résultats doivent clairement identifier les vulnérabilités avec des évaluations de gravité et des validations de remédiation après retests.
  • Procédures de réponse aux incidents : Un plan documenté pour gérer les incidents de sécurité, incluant la classification des incidents, les voies d'escalade, les rôles et responsabilités de l'équipe de réponse, les protocoles de communication, les procédures de collecte des preuves médico-légales et les mesures de continuité des activités
  • Enregistrements de la gestion des changements : Trace d’audit complète des modifications apportées aux systèmes et applications, y compris les formulaires de demande de changement, les formulaires d’évaluation des risques, les enregistrements d’approbation, la validation post-implémentation et les justifications d’exécution des procédures d’urgence

Les capacités d'audit et de conformité de Netwrix aident les organisations à générer des preuves pour toutes les exigences PCI DSS, depuis la définition précise du périmètre et la découverte des données jusqu'au contrôle d'accès et à l'authentification multifactorielle, Privileged Access Management, ainsi qu'à la journalisation étendue et à la surveillance continue. Les capacités automatisées de découverte des données permettent de trouver et de classer les numéros de compte principaux (PAN) et autres données sensibles des titulaires de carte. La minimisation des données aide à identifier les données obsolètes ou conservées excessivement pour soutenir les processus de suppression sécurisée. Les campagnes régulières de révision des accès utilisateurs automatisent l'attestation des accès afin de limiter l'accès au CDE en appliquant le principe du moindre privilège. Les solutions Netwrix capturent des traces d'audit complètes des activités des utilisateurs, des modifications système et des événements d'accès avec la possibilité d'exporter ces journaux et rapports de conformité pour répondre aux exigences PCI DSS.

Comment les niveaux changent : déclencheurs pour monter ou descendre

Déclencheurs pour les changements de niveau

Les niveaux de conformité PCI DSS ne sont pas statiques ; ils peuvent augmenter ou diminuer en fonction des activités commerciales, des événements de risque ou des décisions prises par les marques de cartes ou la banque acquéreuse. Les niveaux de conformité des commerçants et des prestataires de services sont principalement déterminés par le volume de transactions par an. Si une campagne marketing pendant la période des fêtes augmente considérablement le volume des transactions et dépasse la barre des 6 millions de transactions, la banque acquéreuse informera le commerçant qu'il doit désormais respecter les exigences de conformité du niveau 1 PCI DSS.

De même, si le volume de transactions d'un commerçant diminue de manière significative, il pourrait être éligible à une rétrogradation de son niveau de conformité, réduisant ainsi la complexité et le coût de l'audit. Les fusions et acquisitions peuvent combiner les volumes de transactions de plusieurs commerçants, et les nouveaux canaux de paiement ou marques hérités par acquisition peuvent affecter le nombre total de transactions.

Tout incident de sécurité ou violation de données peut déclencher des mesures strictes de conformité de la part des marques de cartes ou de la banque acquéreuse, augmentant le niveau et pouvant nécessiter une enquête médico-légale avec des efforts de remédiation avant que le niveau de conformité puisse être rétabli à la normale. Si un commerçant commence à utiliser un nouveau prestataire de services tiers ou modifie le traitement des paiements externalisé, cela peut affecter le niveau de conformité. Par exemple, passer d'une page de paiement externalisée à un modèle partiellement hébergé peut augmenter les obligations de conformité, tandis que passer d'un service de gestion des paiements interne à un traitement des paiements externalisé peut simplifier les obligations de conformité. Les marques de cartes se réservent le droit de reclasser tout commerçant ou prestataire de services en fonction de taux de fraude élevés, de non-conformité répétée ou d'un modèle commercial à haut risque.

Meilleure pratique de gouvernance

La conformité n'est pas un événement ponctuel ; c'est un processus continu. Pour éviter des défaillances soudaines, les organisations doivent intégrer les contrôles et politiques requis au niveau de conformité PCI dans leur modèle de gouvernance d'entreprise.

Évitez les surprises : En suivant le volume des transactions chaque trimestre ou chaque mois, les commerçants peuvent prévoir quand ils atteindront le niveau suivant avant que cela ne se produise. Conservez des preuves des transactions pour la reclassification, telles que des diagrammes de flux de données des nouvelles additions de canaux, des journaux d’incidents et des registres de remédiation en cas d’incident de sécurité.

Planification de la validation : Passer du Niveau 2 au Niveau 1 nécessite l'embauche d'un Qualified Security Assessor (QSA) et entraîne des coûts techniques pour sécuriser le CDE. Ces changements exigent une planification importante et efficace afin d'assurer un budget adéquat et une répartition correcte des ressources, telles que le personnel et l'équipement.

Communication proactive : Maintenez une relation transparente avec votre banque acquéreuse, ce qui aide à négocier les délais de mise en œuvre des contrôles de sécurité en cas de changement inattendu du niveau de conformité. Informez toujours l'acquéreur avant de lancer de nouvelles plateformes e-commerce, des modifications de tokenisation ou des remplacements de passerelle de paiement.

Pièges courants par niveau et comment les éviter

Pièges de niveau 1

Gestion des accès privilégiés faible : Les environnements de niveau 1 pour les titulaires de carte et l'infrastructure associée nécessitent un contrôle d'accès strict pour réduire la surface d'attaque. Une gestion complète des access management est un facteur clé dans la sécurité des données des titulaires de carte. Les problèmes courants incluent l'utilisation de comptes administrateurs partagés, l'absence de MFA pour les comptes administratifs ou de service et l'accès à distance, des privilèges permanents excessifs, l'absence de campagnes de revue des accès utilisateurs, un contrôle d'accès basé sur les rôles (RBAC) qui ne suit pas le principe du moindre privilège, et un manque de surveillance des activités administratives.

Journalisation incomplète : Les journaux jouent un rôle crucial dans l'enquête judiciaire des incidents de violation de données et dans la validation de l'efficacité des contrôles de sécurité. Les problèmes courants incluent l'absence de traces d'authentification telles que des événements importants d'échec d'authentification, d'escalade de privilèges ou d'accès aux données. Les journaux sont collectés mais ne sont pas agrégés dans une plateforme centralisée pour une analyse et un stockage automatisés. Les journaux sont présents mais ne peuvent pas distinguer les traces d'événements basées sur des identifiants uniques liés à des comptes particuliers.

Efficacité de la segmentation : Les problèmes courants incluent des réseaux étiquetés comme hors périmètre sans preuve qu'ils ne peuvent pas accéder au CDE, l'absence de rapports annuels de tests d'intrusion, et des règles de pare-feu incorrectes pouvant permettre l'accès au réseau.

Preuves de gestion des changements : Les problèmes courants incluent des enregistrements de changements d'urgence mis en œuvre sans approbation appropriée, l'impact PCI non évalué après la mise en œuvre, des mises à niveau ou remplacements de matériel et logiciel sans sauvegarde adéquate, et l'absence de rapport d'évaluation de la posture de sécurité après des événements légitimes de gestion des changements.

Pièges des niveaux 2 à 4

Mauvaise sélection de SAQ : Les commerçants choisissent souvent le questionnaire d’auto-évaluation (SAQ) le plus simple ou le plus court sans réaliser que leur environnement nécessite en réalité des évaluations techniques plus détaillées et pertinentes. Choisir un type de SAQ incorrect conduit à une évaluation de conformité incomplète, surtout lorsque les flux de paiement sont mal compris et mal représentés dans la documentation. Cartographiez toujours les flux complets de données de carte de paiement avant la sélection du SAQ, documentez où les PAN sont transmis, traités et stockés, et vérifiez les méthodes d’intégration des processeurs tiers. En cas de doute, consultez toujours le guide de sélection du SAQ ou engagez un QSA pour vous aider dans le processus de sélection du SAQ.

Analyses ASV trimestrielles manquées : Les analyses de vulnérabilités doivent être effectuées par un Approved Scanning Vendor (ASV) tous les 90 jours. Les commerçants supposent qu'il s'agit d'une tâche annuelle ou ne corrigent pas les vulnérabilités identifiées lors de l'analyse dans le délai requis pour maintenir le statut de conformité. Planifiez toujours les analyses pour le premier mois de chaque trimestre afin de disposer de suffisamment de temps pour corriger les vulnérabilités identifiées et refaire une analyse après les efforts de correction pour obtenir un rapport favorable avant la fin du même trimestre. Configurez des rappels dans le calendrier 2 à 3 semaines avant la date d'échéance, suivez les délais de correction (30 jours pour les vulnérabilités à haut risque), conservez des preuves documentées des résultats des analyses et des corrections, et utilisez uniquement des fournisseurs d'analyse approuvés par PCI SSC pour les analyses trimestrielles.

PAN dans les journaux et les exports : Les informations du Primary Account Number (PAN) peuvent se retrouver dans des endroits où elles ne devraient pas être stockées, tels que les journaux d'application, les transcriptions des chats du service client, les enregistrements d'appels audio, les exports CRM ou les exports CSV utilisés par le service comptable. Utilisez des outils de découverte de données automatisés pour analyser l'infrastructure à la recherche de PAN non chiffrés au moins une fois par an. Assurez-vous que les solutions logicielles masquent les numéros de carte, en affichant uniquement les 4 premiers ou derniers chiffres. Passez en revue les fonctions d'exportation et les outils de reporting pour tronquer le PAN, formez les développeurs aux pratiques de codage sécurisé afin d'éviter le stockage d'informations sensibles dans les journaux de débogage, et examinez régulièrement les journaux pour identifier toute information sensible non chiffrée.

Là où Netwrix accélère PCI DSS à tous les niveaux

Exigence 3 : protéger les données des titulaires de carte stockées

Netwrix Data Security Posture Management solutions aident les organisations à effectuer la découverte et la classification automatisées des données dans des environnements hybrides afin de trouver les Primary Account Numbers (PAN) et d'autres données sensibles des titulaires de carte. La classification des données est réalisée à l'aide du traitement de termes composés et d'analyses statistiques plutôt que par simple correspondance de mots-clés. Les capacités d'occultation automatisée masquent les chiffres des cartes lorsqu'il n'est pas nécessaire de les afficher pour des raisons professionnelles. La minimisation des données et le suivi de la conservation démontrent que seules les données nécessaires des titulaires de carte sont stockées et que les données inutiles ne sont pas conservées. Les flux de travail automatisés permettent aux organisations de mettre en quarantaine les données sensibles dans des emplacements non sécurisés et aident à supprimer les autorisations des groupes d'accès globaux.

Exigences 7 et 8 : contrôle d'accès et authentification

Netwrix Identity Governance solutions offrent une visibilité sur les permissions des utilisateurs, des comptes de service et des comptes administrateurs à travers les environnements locaux et les plateformes cloud. Le reporting d'attestation des privilèges certifie les privilèges des utilisateurs pour appliquer le principe du moindre privilège et garantir que l'accès à l'environnement des détenteurs de carte est strictement basé sur les rôles et documenté. Les solutions d'Identity Governance automatisent le cycle de vie des identités des utilisateurs afin de s'assurer que chaque personne possède un ID unique, que toutes les activités sont suivies avec cet ID unique, et que l'accès peut être révoqué instantanément en cas d'activité suspecte ou de cessation d'emploi. Les capacités de surveillance des comptes privilégiés permettent aux organisations de surveiller et d'enregistrer les sessions privilégiées dans le CDE afin de détecter toute modification non autorisée ou tentative d'exfiltration de données.

Exigence 10 : journalisation et surveillance

Netwrix Auditor offre des capacités unifiées d’audit et de surveillance des activités sur une infrastructure hybride incluant les systèmes de fichiers, Active Directory et les services cloud. Les solutions de suivi des modifications intègrent des fonctionnalités de surveillance de l’intégrité des fichiers (FIM) pour détecter les modifications non autorisées des fichiers système critiques et des configurations de sécurité, et génèrent des alertes lorsque les données de journal sont modifiées. Les solutions Netwrix fournissent des journaux et rapports exportables, prêts pour l’audit, servant de preuves dans les attestations de conformité et les rapports de conformité, réduisant ainsi considérablement le temps de préparation aux audits.

Exigences 6 et 11 : systèmes sécurisés et tests

Netwrix Change Tracker continuously tracks system configuration, detects misconfigurations that deviate from security baselines, and ensures that servers, endpoints, and network devices always stay secure. Change tracking with before-and-after configuration values shows what changed, when, and by whom to provide a comprehensive evidence-based report on the CDE. These evidence-based reports support secure system maintenance, verification of consistent configuration, and continuous testing to satisfy PCI scanning and testing requirements.

Découvrez exactement comment les solutions Netwrix aident à garantir la conformité PCI DSS. Obtenez une démo.

Approfondissement du niveau 1 PCI DSS (pour les entreprises et les prestataires de services)

Rigueur supplémentaire pour le Niveau 1

Les commerçants et prestataires de services de niveau 1 font face à un niveau de contrôle plus élevé car ils représentent le risque le plus important pour l'écosystème de paiement. Au niveau 1, les organisations doivent aller au-delà des 12 exigences principales de conformité PCI ; elles doivent mettre en œuvre des contrôles renforcés, une discipline documentée et une surveillance continue pour remplir correctement les exigences de validation.

Considérations sur la stratégie d'échantillonnage : Lorsqu'une entreprise possède des centaines ou des milliers de composants d'infrastructure, un QSA ne peut pas évaluer chacun d'eux. PCI DSS n'impose pas une formule d'échantillonnage spécifique, mais les audits de niveau 1 exigent intrinsèquement un échantillonnage représentatif des systèmes les plus critiques, tels que le CDE, les contrôles de segmentation, le contrôle d'accès et la journalisation. Standardisez l'échantillonnage en regroupant les systèmes ayant une configuration identique. L'échantillonnage doit inclure chaque processus métier et chaque emplacement géographique traitant des données de titulaires de carte. Maintenez une documentation de la méthode d'échantillonnage incluant la définition de la population, les critères de sélection, la justification statistique et la traçabilité de l'échantillon aux exigences PCI spécifiques avec des preuves démontrant l'exhaustivité au QSA. Si l'échantillonnage révèle un échec, élargissez les tests ou évaluez l'ensemble de la classe de systèmes. Les entités de niveau 1 doivent éviter de supposer qu'un seul système représentatif couvre toute la classe.

Portée étendue des tests de pénétration : Les entités de niveau 1 doivent inclure les réseaux internes, les réseaux périmétriques, les VPN, l'infrastructure cloud, les API et les endpoints annuellement et en cas de tout changement significatif dans le réseau, tel que l'ajout de nouveau matériel, les mises à jour logicielles ou la migration vers une nouvelle plateforme cloud. Au minimum, un test de pénétration ciblé est à nouveau requis. Les organisations doivent prouver la segmentation du réseau avec des preuves telles que les règles de pare-feu et l'isolation VLAN. Les processus d'authentification et d'autorisation doivent être évalués à la fois du point de vue de l'utilisateur interne et de l'attaquant externe. Après la correction, un nouveau test ciblé est nécessaire pour confirmer que les vulnérabilités sont résolues.

Bonnes pratiques pour le référentiel de preuves : Un audit de niveau 1 peut nécessiter des milliers de preuves. Les organisations doivent abandonner les feuilles de calcul pour un véritable outil de Governance, Risk and Compliance (GRC) afin d'automatiser l'ensemble du processus avec un référentiel de données centralisé. Utilisez des outils automatisés pour générer des artefacts de référence pour chaque exigence, tels que les politiques, les fichiers de configuration, les journaux et les procédures. Organisez les preuves selon les 12 exigences et sous-exigences PCI DSS. Conservez des versions datées de toutes les configurations et politiques, les détails des permissions d'accès basées sur les rôles, les rapports de scans trimestriels, l'analyse des journaux, les alertes de surveillance de l'intégrité des fichiers, les règles de pare-feu et les mises en œuvre de chiffrement.

Conformité continue : Contrairement à la conformité ponctuelle plus ancienne, PCI DSS met l’accent sur la sécurité continue. Pour les organisations de niveau 1, la surveillance continue doit être intégrée dans chaque processus métier. En plus des analyses trimestrielles de vulnérabilités externes ASV et des analyses internes de vulnérabilités, les journaux doivent être examinés quotidiennement ou au moins deux fois par semaine avec la mise en œuvre d’outils SIEM pour une analyse agrégée. Des mécanismes de génération d’alertes en temps réel doivent être déployés pour la surveillance de l’intégrité des fichiers. Un processus formel de gestion des changements avec approbation documentée doit être en place pour chaque modification dans le CDE. Chaque mois, des campagnes de révision des accès utilisateurs doivent être lancées, les règles des pare-feu et des routeurs doivent être revues, et la conformité des fournisseurs de services doit être validée.

Maintenez une documentation organisée : Les organisations ne doivent pas attendre la saison des audits ; elles doivent créer et mettre à jour la documentation périodiquement pour les 12 exigences PCI DSS tout au long de l'année avec un contrôle de version approprié et des journaux de modifications résumés. La première tâche d'un QSA est souvent la découverte du périmètre. S'ils trouvent un système ou une exigence qui n'a pas été documenté, l'audit sera très probablement retardé ou échouera.

Travailler avec les QSAs

Les validations de niveau 1 nécessitent un évaluateur de sécurité qualifié externe (QSA). Cependant, le QSA ne doit pas être considéré comme un auditeur mais plutôt comme un partenaire dans la réduction des risques. Un engagement réussi nécessite une préparation préalable et une collaboration efficace pour maximiser les résultats de ce processus.

Préparez les preuves à l'avance : Les organisations doivent réaliser des évaluations internes en utilisant le modèle ROC pour identifier les lacunes. Créez une liste de contrôle associant chaque exigence aux preuves correspondantes. Préparez un inventaire complet et à jour des actifs avec des diagrammes de flux de données, et la documentation de cadrage doit inclure une segmentation réseau détaillée pour justifier le périmètre.

Établir des canaux de communication clairs : Désignez un point de contact unique pour la coordination QSA. Identifiez des spécialistes du domaine pour chaque exigence afin d’obtenir des détails. Mettez en place des canaux de communication privilégiés tels que le courrier électronique, la visioconférence et les portails de documentation. Organisez des sessions de pré-audit, définissez des voies d’escalade pour les litiges ou les retards dans les demandes de preuves, et établissez un délai de traitement pour les demandes de preuves, par exemple 48 ou 72 heures.

Traitez rapidement les constats : Si un QSA détecte une faille lors de l’audit, essayez de la corriger immédiatement pendant sa présence sur site. Cela peut souvent aboutir à une validation réussie dans le ROC final plutôt qu’à un statut de non-conformité. Le processus de correction doit être formel, incluant la confirmation de la réception que les constats sont compris, une analyse des causes profondes de la non-conformité, ainsi que des actions documentées prises pour remédier au problème avec des preuves telles que des captures d’écran, des détails de configuration et de nouvelles politiques.

Étapes suivantes : validez votre niveau de conformité PCI DSS

Plan d'action

Comprendre votre niveau de commerçant ou de service est essentiel pour la conformité PCI DSS. Une fois le niveau correctement évalué, la voie de conformité consiste en la validation, les preuves et la surveillance continue.

Prêt à simplifier la conformité PCI DSS à tous les niveaux ? Visitez la Netwrix PCI DSS solution page pour voir des exemples de rapports cartographiés et découvrir comment nos capacités de sécurité des données et d'audit accélèrent votre validation.

FAQ

Partager sur

En savoir plus

À propos de l'auteur

Asset Not Found

Istvan Molnar

Spécialiste de la conformité de la sécurité informatique et responsable marketing produit

Istvan Molnar est un spécialiste expérimenté de la conformité en sécurité informatique et un responsable marketing produit chez Netwrix, avec plus d'une décennie d'expertise dans les normes internationales, les réglementations et les cadres de cybersécurité. Il se spécialise dans le comblement de l'écart entre les exigences de conformité complexes et le portefeuille de produits Netwrix, offrant des conseils stratégiques, du contenu convaincant et un soutien pour les initiatives axées sur la conformité et les stratégies de mise sur le marché.

Derniers blogs

Gestion des sessions privilégiées (PSM) : définition, capacités et avantages en matière de sécurité

UEBA (User and Entity Behavior Analytics) : guide complète sur la détection, les cas d'utilisation et la mise en œuvre

Gérer le cycle de vie des identités non humaines dans les environnements modernes

Niveaux de conformité PCI DSS : ce qu'ils signifient et comment se qualifier

Qu'est-ce que le shadow data et comment le sécuriser

NIST CSF 2.0 : Quoi de neuf dans le Cybersecurity Framework

Netwrix obtient la certification OPSWAT Gold pour le chiffrement sur Windows, macOS et Linux

Logiciel de conformité SOX : automatisation des contrôles et des preuves d’audit

Tests NetSuite : meilleures pratiques, types et tendances pour 2026

Top 7 des solutions DSPM pour 2026

Nos articles les plus populaires

Variables d'environnement PowerShell

Commandes PowerShell essentielles : Une feuille de triche pour les débutants

Téléchargez et installez PowerShell 7

Un aperçu de l'attaque cybernétique MGM

Comment exécuter un script PowerShell

Comment exécuter un script PowerShell à partir du Planificateur de tâches

Supprimer le fichier avec Powershell s'il existe

Guide de gestion des erreurs avec PowerShell Try-Catch

Types courants d'appareils réseau et leurs fonctions

Comment installer et utiliser Active Directory Users and Computers (ADUC) ?