La sécurité des paiements, une lutte globale
Publié par Stéphanie Marius le - mis à jour à
Les mesures de sécurité prises par les e-commerçants et les banques concernant les paiements en ligne commencent à porter leurs fruits, en témoigne la légère baisse du taux de fraude en France. De nouvelles solutions viennent compléter les dispositifs existants, car le recours au 3D Secure ou le scoring seuls demeurent insuffisants, quoique efficaces.
Alors que le piratage des données devient un sujet d'épouvante pour les acteurs du Web, suite aux affaires Yahoo !, Sony, Samsung, Ashley Madison..., la fraude au paiement n'a pas connu l'explosion que les e-marchands pouvaient craindre. Certes, les professionnels présents aux Assises de la sécurité et des systèmes d'information, qui se tenaient à Monaco du 5 au 8 octobre, ont souligné la multiplication des attaques informatiques. Mais la lutte porte ses fruits : "Si nous pouvons retarder les attaquants pendant 48 heures, nous constatons que 60 % d'entre eux se détournent de leur objectif" , se réjouissait à cette occasion Frank Mong, senior vice president, product, industry and solutions marketing de Palo Alto Networks, via le site www.lesassisesdelasecurite.com.
D'ailleurs, les chiffres relevés annuellement par l'Observatoire de la sécurité des cartes de paiement (organe dépendant de la Banque de France) montrent une "poursuite du repli de la fraude domestique sur les paiements par carte [en 2015], y compris sur les paiements à distance, qui restent toutefois significativement plus exposés à la fraude". Ainsi, la fraude sur les paiements à distance a baissé pour la quatrième année consécutive mais demeure à plus de 1 % dans le monde, un seuil insatisfaisant (mais seulement 0,23 % dans l'Hexagone). Les paiements en ligne, qui ne représentent que 11,6 % des transactions domestiques, constituent toujours 66,5 % de la fraude totale, soit une fraude 20 fois plus importante que celle relative aux paiements de proximité.
La fraude sur les paiements à distance a baissé pour la quatrième année consécutive.
Nabil Naimy, chief operating officer de HiPay, spécialisé dans les paiements sécurisés, évalue le taux de fraude à "une fourchette allant de 0,2 à 4 % de clients fraudeurs" . Selon l'expert, "le taux de 0,25 % fourni par l'Observatoire de la sécurité des paiements tient compte de toutes les attaques avortées ou bloquées par les solutions de sécurité et touche tous les secteurs".
La fraude domestique baisse, la fraude transfrontalière explose
Certes, la fraude domestique baisse mais la fraude transfrontalière, en revanche, n'en finit pas de se développer. "Si les hackers se découragent devant la sécurisation du système français, ils se retourneront vers les sites étrangers moins sécurisés" , explique Me Marc-Antoine Ledieu, avocat à la Cour et spécialiste de la protection des données. Même si la zone Sepa constitue toujours une barrière de protection efficace.
De fait, le taux de fraude lié aux porteurs de cartes issues de l'espace Sepa pour des achats chez des e-marchands français s'établit à 0,53 %. La lutte contre la fraude est facilitée par l'adoption de moyens de paiements communs (Visa, MasterCard) au sein des États. Les consommateurs français payent majoritairement via une carte Visa (56 % des transactions, selon le "Global e-commerce payments guide" publié par l'éditeur de solutions de paiement Adyen), suivie par MasterCard (24 %). Mais des disparités demeurent, notamment en Allemagne, où le débit Sepa arrive en tête (35 % des transactions), ainsi qu'aux Pays-Bas, où iDeal, solution de paiement en ligne du groupe PayZen, se taille la part du roi (60 %). La prise de conscience des e-commerçants français en matière de sécurité est notable, et les mises en garde et dispositifs d'information de la Fevad n'y sont pas étrangères. Certes, les craintes en matière de baisse du taux de conversion perdurent : "L'idéal n'est pas de parvenir à un taux de fraude de 0 %, assène Philippe de Passorio, country manager France d'Adyen. Cela signifierait en parallèle que les mesures de sécurité, trop hautes, empêchent de nombreuses transactions non frauduleuses d'aboutir et créent de "faux positifs"."
Zoom - L'Europe renforce la sécurisation des paiements avec la DSP2
Les réglementations européennes évoluent : la Directive européenne révisée sur les services de paiement (la DSP2, adoptée par le Parlement européen octobre 2015) vise, entre autres, à encadrer les "services d'initiation de paiement", qui permettent d'exécuter des transactions en son nom via une application tierce et à les interconnecter avec les banques.
La DSP2 recommande de recourir de façon systématique à l'authentification forte (double authentification) du porteur pour les paiements à distance. Ainsi, l'Autorité bancaire européenne recommande de choisir deux critères parmi les suivants : une chose que l'utilisateur possède (son smartphone, un jeton...), une chose qu'il connaît (un mot de passe, par exemple) et une chose qui caractérise ce qu'il est (données biométriques). De plus, "elle crée des obligations en matière de gestion des risques opérationnels et de sécurité, elle met en place une procédure de notification des incidents" , selon la revue de l'Autorité de contrôle prudentiel et de résolution (ACPR). La directive devrait être transposée en droit national français au printemps 2017, pour une mise en application fin 2018.