Recherche
Magazine E-commerce
S'abonner à la newsletter S'abonner au magazine

Sécurité des paiements : trouver le bon équilibre

Publié par le | Mis à jour le
Sécurité des paiements : trouver le bon équilibre

Sécuriser les paiements sur un site marchand rassure le consommateur et limite l'impact de la fraude sur la marge. Si verrouiller sans discernement constitue un frein au développement de l'activité, le laxisme a des conséquences dramatiques. L'intelligence et le bon sens marchand restent de mise.

Je m'abonne
  • Imprimer

Dans son rapport d'activité publié durant l'été 2014, l'Observatoire de la sécurité des cartes de paiement indique que, pour l'ensemble des paiements par carte, le taux de fraude est de 0,080% pour la seconde année consécutive, pour un montant total de fraude de 469,9 M€ (contre 450,7 M€ en 2012). Sur les paiements par carte sur Internet, il baisserait significativement (0,229% contre 0,290% en 2012 et 0,341% en 2011), notamment grâce de l'authentification renforcée. Pour autant, avec la forte croissance des paiements en ligne, le montant de fraude continue de croître sur Internet (64,6% du montant total de la fraude domestique alors que ces transactions ne représentent encore que 11% du montant total des paiements).

Et, compte tenu du développement exponentiel des transactions sur Internet (tous les prévisionnistes tablent sur une croissance forte), les montants en valeur absolue restent très significatifs. Pour les vendeurs en ligne, si lutter contre la fraude et sécuriser les paiements sont donc une priorité absolue, celle-ci ne doit pas prendre le pas sur l'efficacité commerciale. Comme l'indique Didier Brouat, directeur e-commerce chez Payline, "le processus de paiement est stratégique, dans la relation client; tout commence et tout s'achève avec lui. Il faut faciliter l'achat jusqu'au bout, sans rien lâcher sur la sécurité, et le curseur est loin d'être facile à positionner!" Un défi d'autant plus difficile à relever que, selon Bertrand Lathoud, responsable de la sécurité pour Paypal Europe, "les cybercriminels sont vraiment devenus des professionnels". Les acteurs - banques, PSP, fournisseurs de portefeuilles électroniques ou de solutions antifraude - se livrent une concurrence acharnée sur le conseil et les garanties apportées au marchand comme à l'internaute...

Pour aller plus loin, vous pouvez consulter l'article suivant: Le fléau de la fraude en ligne.

Renaud Bidou, directeur technique de DenyAll

C'est en s'appuyant sur l'analyse statistique de la fraude qu'il est possible d'agir efficacement sur la sécurisation des paiements. Un travail d'expert.

Spécialiste de la sécurité informatique, Renaud Bidou suit avec attention les évolutions technologiques depuis près de 15 ans. Et concernant la sécurisation des paiements, les solutions ont fait des progrès, notamment sur le plan de l'ergonomie. "Ce n'est pas tant sur les protocoles ou les standards qu'a lieu de débat, indique l'expert, mais sur les dispositifs antifraude, l'analyse des profils des consommateurs et les garanties offertes." Parce que la priorité des sites de vente en ligne reste au développement du CA, il faut néanmoins prendre un minimum de risques. Renaud Bidou admet que le risque zéro n'existe pas et qu'il est impossible de réduire la fraude à néant, il existe néanmoins un écosystème pour en limiter l'impact. "Pour le reste, confie Renaud Bidou, il existe des assurances... Ce n'est pas idéal sur le plan de la sécurité, mais pour l'activité et la préservation de la marge, c'est une voie à ne pas négliger!"

1. Des standards incontournables

"Aujourd'hui, la question de la sécurisation des transactions ne se pose plus sur le plan des standards", indique Didier Brouat (Payline). PCIDSS, 3D Secure, l'écosystème est parfaitement normalisé, et les certifications sont assez matures pour que la sécurité soit, pour ainsi dire, totale, le consommateur rassuré et le marchand confiant. Ce n'est donc plus sur cet axe que s'articule la problématique de la sécurisation des paiements, mais bien sûr la façon et le moment auquel on décide de faire appel à ces dispositifs de sécurité. Reconnaissance du client, paiement en un clic, ou m-commerce compliquent l'application de scénarios prédéfinis. "Dans le cas du paiement en un clic, un certain nombre de verrous doivent être intégrés, indique Emmanuel Vasseur Directeur Développements en Europe chez Worldline, notamment l'impossibilité de modifier l'adresse de livraison quand le client est connecté..."

2. Des dispositifs antifraude adaptés

"Accompagner les e-commerçants dans leur développement, tant volumétrique qu'à l'international, est le rôle des PSP, des banques,?etc., explique David Cohen Solal, directeur commercial en Europe chez Worldline. Chez Sips, nous conseillons nos clients sur le choix des moyens de paiement mais aussi sur la façon dont les protections et dispositifs antifraude doivent être déployés et utilisés." Différentes variables sont à prendre en compte: nature des produits commercialisés, nombre de commandes, taux de fraude auquel le marchand et ses concurrents sont confrontés. "La lutte contre la fraude est un processus itératif, précise Patrick Flamant, directeur France de CyberSource (filiale à 100% de Visa inc.). Tous les outils antifraude que nous développons sont associés à des indicateurs de performance. Ainsi, l'e-commerçant peut adapter sans cesse sa stratégie et ses réactions aux menaces qu'il rencontre."

3. Profiling et alertes de détection

Tout l'enjeu consiste à détecter les?comportements anormaux afin, dans ce cas de figure, d'activer 3D Secure et, dans d'autres cas, procéder à des vérifications humaines des commandes. Ces dernières devant, bien sûr, demeurer marginales pour ne pas entamer la productivité du site. "Notre module Decision Manager dispose d'un certain nombre de règles préétablies (250), créées à partir de différents algorithmes fondés sur les quelque 60 milliards de transactions traitées chaque année par Visa", indique Patrick Flamant. Les moteurs et générateurs de règles doivent avant tout être simples et ergonomiques. Ils doivent, par ailleurs, permettre des tests "à blanc". "Le pire des scénarios, précise Emmanuel Vasseur pour Worldline, c'est qu'une règle soit inadaptée et fasse s'effondrer le taux de transformation, c'est pourquoi, nous avons intégré un simulateur qui permet d'effectuer des ajustements sans risque."

4. Une intégration aisée

C'est un fait acquis: la sécurisation des paiements ne doit jamais constituer, pour le consommateur, un frein à l'achat. Mais du côté de l'e-commerçant, il est capital que les dispositifs déployés soient aisés non seulement à intégrer dans le tunnel d'achat, mais aussi simples à faire vivre. La lutte contre la fraude et la sécurité des paiements étant des activités au long cours, les prestataires ont globalement consenti des efforts considérables pour simplifier l'intégration et la configuration de ces outils. "Payer n'est jamais simple ni agréable, ironise Pauline Roche, directrice omnicanal de Paypal France, il est donc primordial d'éliminer toutes les frictions sur le paiement, c'est pourquoi les solutions doivent être simplifiées au maximum, y compris dans leur intégration." Paypal, comme ses concurrents, dispose ainsi des modules Magento et Prestashop, prêts à l'emploi.

Les acteurs principaux

En matière de sécurité des paiements, il existe trois grands types d'acteurs, dont l'action se recoupe bien souvent. D'un côté, il y a la banque elle-même, qui veille au quotidien sur les flux et assure la régularité des paiements. Pour ce faire, elle s'en remet à des PSP (Payment Service Providers). Ces derniers se chargent non seulement de la conformité des protocoles de paiement (PCIDSS, SSL, 3D Secure, etc.), mais proposent également des dispositifs de lutte contre la fraude via le scoring et le profilage des consommateurs. Enfin, viennent les solutions de paiement alternatives et la kyrielle de portefeuilles électroniques qui agissent, en quelque sorte, comme des tiers de confiance. Nous avons rassemblé dans le tableau ci-dessous un échantillon représentatif de l'écosystème qui contribue au quotidien à sécuriser les paiements en ligne. Des acteurs de taille modeste y côtoient des opérateurs au rayonnement mondial, traitant plusieurs dizaines de milliards d'opérations chaque année.

Cliquez sur le tableau pour qu'il s'affiche en entier.

[Cas pratique] Made.com met en place un dispositif anti-fraude

Le site connaît depuis quatre ans une très forte croissance. Pour que les problèmes de sécurisation des paiements ne la freinent pas, il déploie différentes stratégies pour limiter la fraude.

Made.com est né en 2010, à Londres, de la rencontre de trois passionnés de design. Ils se sont installés sur les hauteurs de Notting Hill, quartier alternatif par excellence, coeur créatif et fantasque de la capitale britannique. C'est de la tradition et du savoir-faire anglais que Made.com s'inspire pour créer ses propres règles du design et de l'aménagement d'intérieur. Optant, au lancement du site, pour un rayonnement limité au Royaume-Uni, la seule solution de paiement proposée, alors, est Paypal. "C'était à la fois le plus sûr et le plus simple, confie Julien Callede, fondateur de Made.com. Mais, très vite, le volume de commandes augmentant, nous avons signé un partenariat avec Be2Bill. Depuis lors, ce partenaire nous accompagne dans notre croissance."

Et celle-ci est rapide: en septembre?2013, Made.com partait à l'assaut du marché français et lançait la version italienne du site. En 2014, c'est au tour des Pays-Bas. Ce développement international n'est pas sans poser des problèmes sur le plan des stratégies de sécurisation. "Les habitudes de paiement sont très différentes suivant les pays, et l'acceptation de 3D Secure diffère également. Au Royaume-Uni, nous n'avons ressenti aucun impact sur notre taux de transformation lorsque 3D Secure a été mis en place dans notre arsenal antifraude. L'impact a été plus fort en France, où 3D Secure est moins toléré, mais la fraude y est beaucoup moins forte qu'en Angleterre", confie Julien Callede.

Trois questions à Julien Callede, fondateur de Made.com

Quelle est votre approche de la sécurisation des paiements?

Dès le début, la question s'est posée, mais nous ne l'avions pas réellement anticipée. On croit que seuls les sites à forte volumétrie sont impactés, mais l'effet sur la trésorerie est encore plus fort lorsque les volumes sont limités. Nous avons donc vite appris !

Certains de vos prix de vente sont élevés. Cela nécessite-t-il des précautions particulières?

La fraude ne porte pas que sur les gros montants, même si 3D Secure est activé pour toute commande supérieure à 1 000 €. Nous veillons aussi à l'usage de cartes internationales, aux adresses de livraison hors du pays de la carte bancaire, à la multiplication de petites commandes dans des intervalles très courts, et nous affinons en permanence notre dispositif, avec notre PSP, très impliqué à nos côtés. Nous sommes très vigilants sur certaines régions.

Le paiement entre-t-il dans votre politique de fidélisation?

C'est un domaine sensible. Certains clients de bonne foi activent tous nos signaux et voient la transaction refusée. Nous leur envoyons, alors, un message leur demandant de nous contacter pour valider manuellement la commande. Nous ne tenons pas à froisser les clients honnêtes. Nous sommes très prudents, car un refus trop catégorique peut faire perdre un client...

 
Je m'abonne

NEWSLETTER | Abonnez-vous pour recevoir nos meilleurs articles

E-commerce

Small Business

Event

E-commerce Offres Commerciales

Good News by Netmedia Group

La rédaction vous recommande

Retour haut de page