Gestion de la fraude en ligne, vers une déresponsabilisation des e-commerçants?
Alors que l'authentification forte des payeurs est au centre des débats, les e-marchands craignent d'être dépossédés de la sécurisation de leurs paiements. La diversité des moyens de paiement et l'apparition du 3D Secure 2.0 constituent des réponses partielles à ces questions.
Je m'abonnePour la cinquième année consécutive, le taux de fraude sur les paiements en ligne s'inscrit à la baisse, selon le rapport de l'Observatoire de la sécurité des moyens de paiement, publié en juin 2017 et concernant les données relatives à l'exercice de 2016. Le chiffre s'élève à 0,1999 %, contre 0,229 % en 2015, notamment grâce à l'adoption massive du 3D Secure (appliqué à 30% des transactions) et des outils de scoring par les e-marchands et les banques. "Cependant, ce taux demeure plus de 20 fois plus élevé que le taux de fraude sur les paiements de proximité", souligne l'étude.
Ainsi, la deuxième directive européenne sur les services de paiement (DSP2), en vigueur depuis le 13 janvier 2018, exhorte les acteurs à passer à une authentification forte, ou double authentification.
La fin de l'approche par les risques?
Les nouvelles normes techniques réglementaires (RTS) seront quant à elles effectives dans 18 mois. "L'approche par les risques, qui prévalait jusqu'à présent, est remplacée par un recours systématique à l'authentification forte, de type 3D Secure", déplore Bertrand Pineau, responsable veille, innovation et développement de la Fevad. La gestion de la sécurité est donc déplacée des e-commerçants vers les banques. "Or, les acteurs ont fortement investi, ces dernières années, dans des outils de sécurisation, notamment de scoring", avertit Bertrand Pineau.
Afin de ne pas nuire trop fortement à la fluidité du canal d'achat, un système d'exemption est prévu. Il concerne les achats d'un montant inférieur à 30 euros, les paiements récurrents de même montant auprès d'un même bénéficiaire, les bénéficiaires de confiance [ce point demeure pour l'heure en discussion pour les membres de GIE Carte Bancaire, Visa et MasterCard, NDLR]. Une exemption est également permise en fonction du taux de fraude par tranche du chiffre d'affaires de la banque émettrice.
"Cela doit pousser les e-marchands à réfléchir à des moyens de paiement innovants", indique Bertrand Pineau. Ainsi, le protocole 3D Secure 2.0 peut véhiculer beaucoup plus d'informations que son prédécesseur (adresse IP, lieu de livraison, habitudes de consommation du client)... "C'est pourquoi les webmarchands doivent continuer à maintenir leurs outils antifraude", note Bertrand Pineau. En effet, si le fournisseur du service de 3D Secure considère que la transaction n'est pas à risque, il pourra indiquer à la banque du client que le 3D Secure est inutile. Ce système permettrait de rester à un niveau d'authentification forte, identique à celui d'aujourd'hui, voire légèrement inférieur, au grand soulagement des e-marchands soucieux de leur taux de conversion.
L'évaluation des risques, un enjeu-clé
Les coûts et les enjeux associés à la lutte contre la fraude en ligne augmentent sur un marché de l'e-commerce qui continue de croître. Alors que l'e-commerce mondial devrait franchir le cap des 4 billiards de dollars d'ici à 2020, en 2016, les marchands ont fait face à 33 % de plus d'attaques qu'en 2015 et le coût de la fraude représente jusqu'à environ 1,5 % du chiffre d'affaires total des marchands selon le rapport LexisNexis. Pour lutter contre la fraude, la DSP2 prévoit le principe de l'obligation d'authentification forte pour tous les paiements en ligne supérieurs à 30 euros. Toutefois, ce volet de la nouvelle directive européenne pourrait n'être appliqué qu'à compter de septembre 2019. En parallèle, voici quatre axes de réflexion que les e-commerçants doivent avoir à l'esprit pour mettre en place un dispositif efficace de lutte contre la fraude en ligne.
1. Mettre en place une approche métier
Il convient de mesurer le niveau d'exposition à la fraude en fonction du secteur d'activité et des marchés adressés mais aussi d'analyser les comportements d'achat des consommateurs. Aujourd'hui, les services aux particuliers et aux professionnels représentent plus d'un quart des fraudes à distance. Le luxe, le voyage ou l'électronique grand public sont aussi des secteurs exposés car ils ont un potentiel d'attractivité de revente et/ou de consommation immédiate sur le marché. Dans l'industrie du luxe, les coûts associés à la fraude sont d'autant plus élevés que la valeur des produits est élevée et que la circulation de ces produits sur des marchés parallèles nuirait à l'image de la marque. De même, les marchands internationaux sont plus exposés car les paiements transfrontaliers présentent un risque de fraude dix fois plus élevé que les paiements domestiques. Les cybercriminels profitent du passage aux paiements mobiles.
2. Trouver le bon équilibre entre sécurité et expérience utilisateur
L'équilibre est délicat à trouver : un processus perçu comme très sécurisé du point de vue du marchand peut sembler trop contraignant à l'acheteur. Recourir au 3D Secure peut sembler pertinent pour s'abonner à un service pour une année complète mais beaucoup moins pour un achat ponctuel de moindre valeur. Même si on constate une belle adoption du 3D S par les consommateurs, il est recommandé de l'utiliser en complémentarité d'autres outils de prévention de la fraude, comme l'analyse en temps réel, et avant la demande d'autorisation auprès de l'acquéreur, des caractéristiques de la transaction par scoring de chaque transaction. Cette combinaison d'outils permet à certains marchands de mettre en place du Flex 3DS ou solution 3DSflexible, qui permet d'optimiser la conversion en activant ou en désactivant le 3D Secure selon des critères tels que le montant de la transaction, le montant cumulé sur une carte, le produit mis au panier...
3. Connaître son consommateur
Au-delà de l'approche métier et de la mise en place des bons outils, une politique efficace de prévention de la fraude passe par la prise en compte du comportement des consommateurs qui permettra d'avoir une approche davantage orientée sur la singularité plutôt que sur la masse. La perte de chiffre d'affaires liée à des mesures trop restrictives serait supérieure au coût de la fraude. En effet, selon l'étude "Overcoming False positive : saving the sale and the customer relationship"(Javelin), six consommateurs sur dix auront tendance à moins acheter voire à ne plus revenir sur un site qui les aura bloqués. Le data mining permet de connaître son consommateur pour se concentrer sur la vérification de comportements inhabituels. Ainsi, il est possible d'analyser le risque et de moduler la sécurité selon l'enjeu ou la sensibilité du contexte à partir de critères fondés sur la connaissance des habitudes d'achat de ses clients.
4. Associer expertises interne et externe
La lutte contre la fraude nécessite une gestion dynamique et permanente. Les comportements d'achat et les moyens de paiement évoluent mais l'ingéniosité et l'audace des fraudeurs également. Cette prévention du risque implique nécessairement les équipes internes, à différents degrés, en fonction de la taille et du secteur de l'e-commerçant, mais il est essentiel de pouvoir s'adosser à des experts externes qui prennent en charge une part importante de cette gestion du risque.
Aujourd'hui, le machine learning et l'intelligence artificielle ouvrent de nouvelles perspectives notamment pour détecter de nouveaux types de fraudes ou des comportements qui pris isolément laissent indifférent, alors que combinés collectivement, ils permettent de conforter l'analyse pour valider ou bloquer une transaction. Toutefois, aussi performantes et pertinentes que puissent être ces innovations, elles ne se substitueront pas à cette approche de fond que doivent avoir les e-commerçants.
Les acteurs principaux
Scoring, 3D Secure paramétrable... Le rapport annuel de l'Observatoire de la?sécurité des moyens de paiement salue les "efforts entrepris par les acteurs du marché des paiements en?termes de sécurisation des?transactions". Cependant, les?bouleversements concernant l'authentification du payeur peuvent amener les e-marchands à réfléchir sur les moyens de paiement alternatifs à la carte bancaire.
Ainsi, les solutions de paiement mobile telles qu'Apple Pay et Paylib constituent une alternative intéressante. De même, l'"instant payment", un système de virement embarquable sur un wallet mobile, disponible aux Pays-Bas (via Ideal), pourrait être envisagé. Son modèle financier demeure à construire par les banques en raison de la gratuité du virement en France.
Pour l'heure, les montants unitaires des fraudes par carte bancaire demeurent assez faibles (75 euros), tandis qu'ils flambent lorsqu'il s'agit de virement (12?000 euros en moyenne).