E-Commerce/Paiements

Sécurisation des paiements : la DSP2 prendra son temps

Le 12 septembre dernier la FEVAD se félicitait de l’adoption d’un plan de migration équilibré de la DSP 2, suite aux recommandations de la Banque de France. Les e-commerçants ont en effet besoin de plus de temps pour appliquer la directive européenne DSP 2 en matière de sécurité des opérations de paiement sur internet, dont l’entrée en vigueur était prévue le 14 septembre. La date butoir est désormais jusqu’à mars 2021 pour mettre en place les infrastructures qui renforceront la sécurité des commerçants et acheteurs en ligne.

La lutte contre la fraude a déjà été renforcée

Dans son rapport annuel 2018, « Observatoire de la sécurité des moyens de paiement », la Banque de France rappelait les mesures mises en place par les banques et les commerçants français ces dernières années. Les résultats sont déjà là : la fraude sur les paiements par carte effectués en ligne chez plus de 200 000 sites marchands français a reculé pour la septième année consécutive, alors que les transactions ont explosé et devraient dépasser 100 milliards d’Euros en 2019.

Le taux de fraude sur les paiements à distance a en effet baissé pour se stabiliser cette année à 0,173%. Les escroqueries représenteraient donc un euro de fraude pour 578 euros de paiement, ou 173 millions sur les 100 milliards d’euros de chiffre d’affaires des e-commerçants. Un manque à gagner le plus souvent pris en charge par les banques et assurances qui se devaient donc de réagir.

A noter que le taux de fraude sur les paiements par mobile est particulièrement maîtrisé en France avec un taux de 0,03%. La Banque de France rappelle que c’est la mise en place de l’authentification forte pour l’inscription des clients et la validation des transactions qui a permis d’atteindre ce résultat.

La fraude par secteurs du e-commerce et par techniques

Les commerce généralistes et semi-généralistes concentrent près d’un quart des fraudes sur les paiements à distance, un autre quart est réalisé dans les services aux particuliers et professionnels, suivis par 14,9% dans les transports et voyages et 14,1% dans la téléphonie et les communications. Ces quatre secteurs représentent ainsi 74% des fraudes aux moyens de paiement à distance.

(Source Observatoire de la sécurité des moyens de paiement, Banque de France, 2018)

La méthode de fraude la plus employée reste l’usurpation de numéros de cartes pour réaliser des paiements (66% en montant). Ces numéros de carte sont le plus souvent obtenus par l’hameçonnage (phishing), et des logiciels malveillants (malwares). La deuxième origine de fraude est la perte ou le vol de carte (31% des fraudes). La contrefaçon de cartes ne représente que 1% des paiements nationaux frauduleux.

Ce qu’apportera de plus DSP2 

Il reste du chemin à parcourir pour sécuriser commerçants et acheteurs, c’est bien la vocation de la DSP2 grâce à un meilleur échange de données entre les différents intervenants de la chaîne. Mais les e-commerçants doivent alors réussir le complexe équilibre entre offrir à leurs clients plus d’ergonomie et plus de sécurité. C’est ce que nous expliquait dans un précédent article Michael Benisti, Head of Payment chez Vestiaire Collective. Selon lui, la DSP2 se traduirait par une complexification des parcours utilisateurs sur mobile et la fin du paiement en un clic.

Car la DSP2 prévoit notamment la généralisation de l’authentification renforcée pour les paiements électroniques, mais aussi la mise en œuvre de dispositifs d’identification des transactions à risque (qui permettront de s’affranchir d’une authentification renforcée si les taux de fraude sont maintenus à des niveaux faibles pour les transactions à distance). La banque de France précise que ces nouveaux dispositifs, qui remplaceront la simple vérification par code SMS qui n’est plus suffisante, pourront être une application, pour smartphone ou carte SIM (compatible avec tous les mobiles), nécessitant la saisie d’un code secret ou la vérification d’une donnée biométrique.

Banque et ecommerçants ajoutent l'IA à leur arsenal

La riposte des banques face à la fraude s’est déjà organisée avec le renforcement des mesures pour sécuriser les paiements par carte. Nous avons déjà parlé de l’authentification renforcée des paiements en ligne, elles investissement aussi dans des systèmes d’analyse du risque et de scoring des transactions, alertes SMS aux porteurs, etc. Les cartes « compromises » sont donc détectées et désactivées plus vite. Les établissements bancaires continuent eux aussi leurs investissements technologiques notamment dans des solutions d’Intelligence Artificielle à base de Machine Learning pour détecter des fraudes y compris sur les petits montants de fraude qui permettent aux criminels de rester sous le radar de la détection.

Dans le cadre de la refonte de leurs infrastructures pour le DSP2, les e-commerçants peuvent eux aussi faire appel à l’intelligence artificielle pour bloquer les transactions frauduleuses et autres robots pilotés par les fraudeurs pour extraire des sites les informations de transactions. Au niveau mondial, d’après le cabinet Forrester, les trois leaders de ce marché en plein boom du « bot management » sont Distil Networks, Akamai Technologies, et ShieldSquare. D’autres acteurs majeurs sont le géant chinois du ecommerce Alibaba (qui a lancé sa propre solution de détection de robots, dans le cadre de son offre Alibaba Cloud), ainsi que Cloudflare (partenaire de Google Cloud), la startup française Datadome (partenaire d’AWS et qui protège déjà 70% des plateformes ecommerce françaises), Oracle Dyn, PerimeterX, Reblaze, Stealth Security, Unbotify, et White Ops.

Les prochaines étapes vers DSP2

En décembre, l’observatoire de la sécurité des moyens de paiement présentera un prochain rapport à l’issue de sa réunion plénière, et lancera en janvier 2020 un plan de communication destiné aux e-commerçants. A suivre…

SG

Plus d'articles E-Commerce/Paiements

+ TOUS LES ARTICLES E-Commerce/Paiements
  • Mobile wallets : des cartes de fidélité au cashback

    ...

  • Les néobanques cherchent encore leur business model

    La France compte plus de 500 startups fintech, un chiffre qui montre un bouillonnement de l’entrepreneuriat mais ne se traduit pas encore en r...

  • Trois startups françaises qui travaillent pour vos vacances…

    ...