Chargement...

PCI DSS : Tout ce qu’il faut savoir !

11 février 2021

Business insight

La certification PCI DSS ou « Payment Card Industry Data Security Standard » désigne une norme de sécurité mondiale des données bancaires. Il s’agit d’un ensemble d’exigences minimales visant à améliorer la sécurité des données des consommateurs en ligne, afin de favoriser la confiance dans l’écosystème du paiement digital. Quels sont les critères à respecter pour bénéficier de la certification PCI DSS ? Est-ce suffisant pour se prémunir de tout cyber-piratage ? Explications.

Qu’est-ce que le PCI DSS ?

L’avènement du e-commerce et le récent essor des marketplaces s’est accompagné d’un risque croissant de violation des données bancaires. Pour faire face à cette menace, cinq sociétés de cartes de paiement (American Express, Discover, JBC, Mastercard et Visa) ont créé en 2006 le Conseil de sécurité des cartes de paiement : le PCI SSC. Cette démarche a permis d’homogénéiser les différents programmes normatifs de sécurité alors en vigueur, pour créer une norme commune : le PCI DSS. Cette certification est depuis devenue une référence en matière de protection des consommateurs. Du moment où un site implique la manipulation de cartes bancaires, il est crucial que la solution de paiement soit certifiée PCI DSS. En France, le standard PCI DSS n’est pas encore une obligation légale, mais étant donné qu’il est imposé contractuellement par les principaux acteurs du marché, il est vivement conseillé de s’y conformer.

Comment faire pour respecter le PCI DSS ?

La documentation officielle, publiée par le Conseil PCI SSC, comporte quelques 1800 pages qui pourraient se résumer en trois grandes règles :

  1. Collecter et transmettre en toute sécurité les données relatives aux cartes bancaires des utilisateurs (nom du porteur, numéro de carte, date d’expiration, code de sécurité CVV)
  2. Sauvegarder l’ensemble des données de façon sécurisée, notamment grâce aux technologies de chiffrement
  3. Pouvoir garantir que les centaines de contrôles de sécurité décrits dans le PCI DSS sont bien effectués chaque année.

Dans le détail, ces mesures impliquent par exemple de :

  • Disposer d’un pare-feu dans toutes les couches du réseau,
  • Ne pas se contenter d’utiliser les configurations et mots de passe par défaut des fabricants et prestataires, car c’est bien souvent par cette porte qu’un réseau peut être pénétré
  • Rendre illisible ou partiellement masqué le numéro de carte pour protéger les données stockées
  • Chiffrer la transmission des données pour empêcher toute lisibilité par des cybercriminels
  • Se prémunir des logiciels malveillants et des virus en mettant à jour régulièrement les logiciels
  • Maintenir un haut niveau de sécurité de l’infrastructure et des applications associées pour éviter toute faille de sécurité
  • Faire en sorte que chaque strate opérationnelle ait seulement accès aux informations dont elle a besoin pour réaliser sa tâche, afin de restreindre l’accès aux données des porteurs de carte
  • Assurer une forte traçabilité, en attribuant un identifiant unique à chaque acteur de la chaîne de paiement
  • Restreindre l’accès physique aux systèmes d’hébergement des données relatives aux porteurs de cartes
  • Tester et monitorer régulièrement les procédures de sécurité mises en place pour empêcher l’apparition d’une faille de sécurité
  • Former régulièrement ses équipes, afin de garantir le respect d’une politique en matière de sécurité de l’information

En pratique, cela implique pour un site e-commerce ou une marketplace d’investir massivement dans des systèmes de sécurité et d’en assurer la maintenance. Et ce, même si les données bancaires ne transitent que très brièvement sur les serveurs de l’entreprise…

Le PSP, garant du respect de la PCI DSS

Pour éviter d’avoir à traiter les données sensibles relatives aux cartes bancaires et de dépenser d’importantes ressources financières et matérielles, les entreprises ont la possibilité de recourir à un prestataire de services de paiement (PSP). Ce partenaire de confiance prend en charge tous les aspects relatifs à la sécurité des transactions, afin que l’entreprise n’ait plus qu’une poignée de contrôles simples à mettre en œuvre, tels que l’utilisation de mots de passe forts.

Grâce à une technologie robuste et innovante, Lemonway protège et cantonne les fonds de milliers de plateformes depuis 2012. L’hébergement de l’ensemble des données est localisé dans des centres de données répondant au standard PCI DSS, en France. Prestataire de services de paiement agréé, Lemonway garantit un niveau de sécurité maximal à ses utilisateurs. Une question ? Un projet ? Parlez-nous de vos besoins !

 

 

Président de Lemonway, Damien Guermonprez est également Business Angel dans une trentaine de start-ups. De la phase d’amorçage à la série B, ce passionné des services financiers livre dans cette tribune de précieux conseils aux start-ups pour réussir leurs différentes levées de fonds, au fil de leur croissance.

 

Love Money : lancez-vous de façon réaliste

Commencez par choisir vos associés pour former une équipe d’entrepreneurs complémentaires : un CEO, un CTO, un CCO, c’est le minimum. Assurez-vous que leurs personnalités sont compatibles avec l’aventure entrepreneuriale. Il faudra naviguer dans un environnement incertain. Obtenez un prêt d’honneur et levez des fonds auprès de vos « friends & family », la « Love Money », c’est l’assurance pour les prochains investisseurs que vos proches reconnaissent vos talents d’entrepreneur.

Même si vos priorités sont à court terme, ayez bien conscience que vous vous embarquez dans une aventure qui va durer une dizaine d’années. Signez un pacte d’actionnaires qui facilitera la résolution des conflits éventuels, comme le départ d’un associé.

Une valoration raisonnable en amorçage ou « seed » facilitera les tours suivants. Avec un chiffre d’affaires inférieur à 200K€mais en forte croissance, votre valorisation pre-money sera de l’ordre de 2M€, car tout reste à démontrer. À commencer par le Minimum Viable Product (MVP) à lancer au plus vite pour tester le marché.

Choisissez votre marché : se lancer dans le B2C réclame certainement dix fois plus de moyens financiers que dans le B2B. Cela ne doit pas vous freiner mais vous faire prendre les bonnes décisions. Chaque tour vous diluant de 25%, évitez de vous diluer de 10% dès le départ, – en échange d’un accompagnement par un incubateur -, sans l’assurance d’une levée en contrepartie.

 

Seed : Concentrez-vous sur votre produit et gagnez du temps

 

Démontrer une forte traction est la condition nécessaire pour lever le prochain tour. Préparez un pitch deck de vingt pages et envoyez-le aux investisseurs sans exiger un « Non Disclosure Agreeement » ou NDA, ce serait une perte de temps. Seule l’exécution de votre idée prime, n’ayez donc pas peur de la partager. À ce stade, prendre un avocat d’affaires qui joue aussi le rôle de négociateur avec les fonds, c’est économiser les frais du leveur ou de la banque d’affaires (3% à 5% de la levée).

Votre temps est précieux. Adressez-vous aux investisseurs qui vous conviennent. Ne perdez pas de temps à rencontrer des fonds de capital risque (VC) dont le ticket moyen est de 3M€ si vous levez 500K€. Ils ne vous refuseront jamais un rendez-vous, mais vous aurez perdu une demi-journée. Adressez-vous plutôt à des réseaux de Business Angels ou des fonds en amorçage. Évitez de trop nombreux actionnaires, fixez la barre à 20K€ minimum.

Descendez dans l’arène le plus tôt possible pour vous confronter au marché et pivotez tant que vous le pouvez encore si le succès n’est pas au rendez-vous. « Speed is more important than quality ». On peut toujours améliorer un produit au contact des clients, mais il est difficile de rattraper son retard. Une équipe qui voudrait lever pour développer une deuxième version de sa solution, – sans avoir démontré de traction sur sa première version -, risque de ne pas lever.

A propos d’IT, ne développez que votre produit et pour le reste, optez pour les autres outils disponibles sur le marché (CRM, gestion de la paie, …).

Suivez votre cash burn mensuel et n’attendez pas qu’il soit trop tard pour lever votre prochain tour qui prendra six mois. Allez chercher des fonds auprès de BPI France le plus tôt possible, avant d’avoir épuisé vos fonds propres.

 

Série A : Soyez optimiste et adaptez votre organisation aux nouveaux enjeux

Affichez un optimisme à toute épreuve. On reconnaît un entrepreneur à son enthousiasme communicatif qui emmène les équipes, les clients et les investisseurs. Faites grandir la notoriété de votre marque à moindre coût sur les réseaux sociaux « Branding is less expensive than marketing ». Communiquez auprès de votre réseau et faites de vos clients des ambassadeurs.

Démarrez l’international avec des collaborateurs natifs des pays visés, parfois des stagiaires.

La taille et la nationalité de vos clients évoluent. Il vous faut de nouveaux talents immédiatement opérationnels qui répondent aux nouveaux enjeux. Vos premiers managers, s’ils ne grandissent pas aussi vite que votre scale-up, se verront « coiffés » par de nouveaux directeurs qu’il faudra attirer avec des BSPCE (6 à 10% du capital). Évitez de servir des BSPCE aux dirigeants fondateurs afin de privilégier les personnes clés qui ont peu, voire pas d’actions.

Pour éviter les silos dans l’entreprise, appuyez-vous sur un système d’information transverse (ERP) et sur un vrai Comité de Direction. C’est le moment de vous assurer que votre organisation et votre IT sont « scalable » et pourront absorber la croissance à venir. N’oubliez pas de fêter vos victoires.

Le succès amène le succès. Affichez-vous avec vos trophées et les investisseurs vous contacteront. Attention, ce n’est pas gagné pour autant.. Ils restent très sélectifs et ne réalisent qu’une demi-douzaine d’opérations par an. Assurez-vous quand vous leur parlez qu’ils n’ont pas déjà investi chez votre concurrent. À ce stade, vous lèverez 10M€ qui seront entièrement investis dans l’entreprise (cash-in) à travers une augmentation de capital. Pas un euro de cette levée ne servira à racheter des actions détenues par les premiers investisseurs (cash-out).

 

Série B : Maximisez votre croissance et visez le podium

 

Alors que vous étiez « orienté produit » au lancement de la start-up et que vous vous étiez transformé en développeur manageur avec l’arrivée des équipes, vous voilà contraint de devenir aussi  gestionnaire. Mesurez vos progrès à travers vos KPIs (Key Performance Indicators), NPS (Net Promoter Score) et OKR (Objectives and Key Results). Concentrez-vous sur vos succès et stoppez vos initiatives qui ont échoué, choisissez vos priorités. L’enjeu est de devenir un leader reconnu sur votre marché. Cela ne sert donc à rien de viser une part de marché trop faible sur un marché trop large. Vos investisseurs attendent une exécution parfaite, la garantie pour eux de voir leur investissement porter ses fruits dans le temps qui leur est imparti (5 à 7 ans maximum selon la maturité de leur fonds).

 

Si tout va bien, vous lèverez donc au moins le double de votre levée précédente pour financer la croissance et atteindre le podium européen. Cette deuxième levée vous semblera plus facile. Les Business Angels comme les co-fondateurs auront sans doute l’occasion de vendre un peu d’actions (cash-out). Les investisseurs seront désormais majoritaires et ce sera le moment de délivrer vos promesses en déroulant une stratégie maintes fois répétée lors de séances de « pitch» bien rodées.

 

Exit : Pilotez votre sortie

La croissance ralentit mais les résultats s’envolent. C’est le moment d’être la cible ou de trouver des cibles à racheter pour grossir plus vite.

Restez concentré, ce n’est pas l’exercice le plus facile. Selon Avolta Partners, il n’y a que 200 cessions de start-ups françaises par an et leur valeur moyenne se situe entre 11M€ et 50M€ selon les trimestres. Nous sommes loin de la valorisation minimum pour accéder au rang de licorne (1 milliard$) … Par ailleurs, le taux de survie de 22 cohortes de start-ups suivies par l’administration américaine est identique, quelles que soient les crises. Il est de 35% au bout de 10 ans et de 20% au bout de 20 ans, soit le double du ratio largement répandu de 10%. Cela reste très faible.

Enfin, contrairement à leurs homologues américains, le TRI (taux de rendement interne) des fonds de capital risque (VC) en Europe est proche de zéro et les Business Angels perdent souvent de l’argent. Autant de raisons qui expliquent pourquoi les VC exigent des actions de préférence. Lors de la cession, les investisseurs qui en bénéficient seront servis avant vous et votre part sera nulle, tant que leur multiple minimum ne sera pas atteint (1 à 3).

Autant de raisons qui expliquent pourquoi à ce stade, ce n’est pas encore gagné.

Identifiez et frottez-vous aux acquéreurs potentiels. Un partenariat qui fonctionne peut aiguiser l’appétit de votre partenaire. Mandatez une banque d’affaires de renom et confiez-lui la cession. Elle saura créer les conditions pour faire monter les prix en créant une tension concurrentielle entre plusieurs offres.

Après la cession qui pourrait intervenir au bout de 7 ans en moyenne (15 ans selon Avolta Partners pour les start-ups qui n’ont pas levé), il faudra sans doute accompagner l’acquéreur un à deux ans en contrepartie d’un versement d’un complément de prix si les objectifs sont atteints (earn-out).

Vous pourrez alors souffler ! Mais rassurez-vous, ce n’est pas la destination qui importe, c’est le chemin.

Damien Guermonprez
Président de Lemonway
Business Angel dans une trentaine de start-ups
Membre des Conseils d’Administration de l’ACSEL, Association de l’économie numérique et de Financement Participatif France
Membre du Comex de Finance Innovation