22.2.12

La sécurisation des paiements en ligne : Etats des lieux, risques, innovations



Source : VAD et E-commerce

1 : La fraude aux paiements : Etat des lieux

Principal frein pour les consommateurs désireux d’acheter sur Internet, la fraude aux paiements en ligne, comme l’insécurité, n’est pas qu’un « sentiment ». En France, entre 2006 et 2010, le montant total des fraudes aux paiements (retrait, paiements à distance, paiements de proximité) est passé de 110 à 164 millions d’euros. Sur les paiements à distance (internet, courrier et téléphone), les montants de la fraude sur la même période sont passés de 33 à 101 millions d’euros. Concernant les paiements sur Internet, les montants des paiements frauduleux sont passés de 13 à 74 milliards d’euros. Telle est la vérité des chiffres issus du Rapport annuel 2010 (paru en juillet 2011) de l’Observatoire de la sécurité des Cartes de Paiement. Peut-on cependant se contenter de ce constat pour le moins alarmiste ? Selon nous, ces chiffres sont par trop réducteurs.

En effet, livrés ainsi, ces statistiques masquent une partie de la réalité : celle de la transformation profonde des échanges et de la sécurité réelle des transactions réalisées en ligne. Un examen plus détaillé de ces chiffres, et l’adjonction d’autres données (issues des rapports annuels de la Fevad) à l’équation, nous permet de modifier le prisme au travers duquel ce constat doit être lu : le prisme commercial.
Tout d’abord, rappelons que le montant des transactions à distance, et des paiements afférents, a littéralement explosé entre 2006 et 2010, passant de 18,6 à 36,2 milliards d’euros. Cette explosion s’est accompagnée d’une inversion complète de tendance entre la VAD traditionnelle (courrier et téléphone) et le commerce en ligne (Internet). Leurs chiffres d’affaires respectifs sont passés, sur le période, de 7 à 5,2 milliards d’euros (VAD) et de 11,6 à 31 milliards d’euros (e-commerce). Toujours entre 2006 et 2011, le montant de la fraude au paiement sur internet est passé de 13 à 74 millions d’euros (dans un marché en croissance), tandis que la fraude sur la VAD classique passait de 20 à 27 millions d’euros (dans un marché en décroissance).

Et, globalement, le montant des fraudes sur la VAD classique a évolué de 0,29% à 0,52% des montants totaux des paiements, alors que pendant le même temps, le montant des fraudes sur les paiements en lignes ne passait que de 0,11% à 0,24%. Donc, face à un quasi-doublement du chiffre d’affaires généré par le commerce électronique, le taux de fraude (dans le rapport CA / montant total de la fraude) a moins que doublé, alors qu’il continue à croître (en volume et en proportion) sur des canaux qui génèrent de moins en moins de CA.

La conclusion est donc évidente : les transactions électronique restent plu sûres que les transactions par courrier et par téléphone. Il n’en demeure pas moins que, même s’il est impossible de parvenir au « zéro fraude », l’objectif des VADistes (par la mise en place de systèmes de sécurisation des transactions), des pouvoirs publics (par la mise en place de réglementations adéquates) et des consommateurs (par des comportements plus « sécuritaires ») doit être de diminuer ces « mauvais chiffres ».

Typologie de la fraude
Comme pour toutes les années précédentes, l’usurpation de numéro de carte demeure toujours la première technique de fraude sur Internet (voir graphique ci-contre). Cette tendance, désormais lourde puisque cette typologie de fraude représente pour 2010, 60% de la valeur de l’ensemble des fraudes à la carte constatées, intéresse au premier plan les e-commerçants et les VADistes. En effet, ce type de fraude, comme le relève le rapport est utilisé « pour les paiements frauduleux à distance ». Nous sommes bien ici face au revers du succès de la vente à distance : plus de ventes, donc, plus de fraudes...


2 : La sécurisation des paiements sur Internet : État de l’Art

2010 aura essentiellement été l’année des bilans, notamment en ce qui concerne l’efficacité et l’ergonomie des solutions d’identification non rejouable, dont l’Observatoire de la sécurité des cartes de paiement avait recommandé « la généralisation progressive (...) pour les paiements sur Internet à chaque fois que cela était possible et pertinent, afin de permettre au commerçant d’être assuré de l’authenticité de la carte et du porteur, ainsi que du consentement de celui-ci ». Il n’en reste pas moins que la sécurité des paiements sur Internet nécessite une triple vigilance : de la part des banques, de la part des commerçants, et de la part des consommateurs.

Des banques qui « jouent le jeu »
La recommandation de l’Observatoire a été suivie d’effet en 2010, puisque la quasi-totalité des banques ont achevé le déploiement de ces dispositifs en juin 2010. Notons que parmi les solutions envisageables pour la mise en place d’un dispositif d’authentification non rejouable (mail, token, lecteurs de cartes...), c’est le SMS qui a recueilli le plus de suffrages.

Des commerçants « en attente »
L’Observatoire note, au sujet des e-commerçants, que « le déploiement des dispositifs d’authentification reste limité mais devrait être plus visible en 2011 ». En effet, seuls la moitié des e-commerçants est actuellement équipée de dispositifs d’authentification du porteur de carte lors du paiement (de type 3D-Secure). Mais il convient de noter que ce ne sont que très rarement (voire jamais) les plus importants en terme de chiffre d’affaires, puisqu’ils ne représentent qu’environ 10 % des transactions et 15 % du chiffre d’affaires.

L’Observatoire a mené un certain nombre d’études sur cet attentisme. Dans les faits, il ressort de ces enquêtes que « les commerçants considèrent que cette technologie n’est pas à ce jour assez mature pour être généralisée, et qu’une démarche de mise en œuvre progressive et proportionnée, basée sur une approche par les risques, est à privilégier afin de lutter efficacement contre la fraude sans pénaliser le développement du commerce en ligne en France ». Logique : le coût et la complexité technique du déploiement de ces dispositifs a freiné les ardeurs des plus petits...

Des consommateurs sereins
Le consommateur est en quelque sorte la clé de voûte du système de sécurité des transactions. En complexifiant les systèmes de sécurité des paiements en ligne, le risque était grand d’assister à une explosion des abandons de paniers. Cela ne semble pas avoir été le cas...
En préambule, notons que les Français font confiance au paiement en ligne : 77% d’entre eux n’éprouvent pas d’inquiétude en réalisant un achat sur Internet avec leur carte bancaire, même si « une légère appréhension peut subsister ». Détail intéressant : « les personnes ayant déjà utilisé au moins un système d’authentification se montrent moins inquiètes que la moyenne : elles ne sont que 19 % tous systèmes confondus, et même 17 % en cas d’utilisation d’un système d’authentification forte27, à se dire inquiètes contre 28 % des personnes n’ayant jamais utilisé le moindre dispositif d’authentification ».
Pour s’en assurer, l’Observatoire a fait mener une étude quantitative par l’institut de sondage Harris Interactive auprès de 1 000 personnes de 16 ans et plus résidant en France métropolitaine. Cette étude avait notamment pour objectif de déterminer la perception que les acheteurs en ligne avaient des six principaux systèmes d’authentification :
– saisie de la date de naissance comme identifiant de l’acheteur ; – réponse à une question secrète ; – saisie d’un code d’authentification envoyé par la banque par SMS et unique à chaque transaction ; – saisie d’un code d’authentification généré par un mini-lecteur de carte fourni par la banque du porteur ; – saisie d’un code d’authentification unique généré par un token ; – utilisation combinée d’une carte matricielle et d’un second code reçu par e-mail ou SMS.

Les résultats de cette enquête font apparaître des tendances lourdes :
-  80% des acheteurs en ligne connaissent l’existence de ces dispositifs, ce taux montant à 86% chez les acheteurs en ligne régulier (un achat par mois et plus) ;
-  moins de la moitié des cyberacheteurs (46%) a cependant été informé par sa banque de ces dispositifs de sécurisation ;
-  une fois la première utilisation effectuée, les acheteurs en ligne les considèrent faciles à utiliser (seuls 10 % d’entre eux considèrent les dispositifs d’authentification forte difficiles à utiliser.
A noter que les mini-lecteurs de carte et les cartes matricielles sont désignés come les plus complexes d’utilisation, mais ils sont également les moins répandus...

Globalement, donc, les dispositifs d’authentification sont connus et ne font pas peur aux consommateurs. Les craintes que nous relevions donc il y a un an, exprimées par nombre de e-commerçants, relatives aux risques d’augmentation de l’abandon des paniers, ne semblent donc plus fondées...au moins pour les plus aguerris des cyberacheteurs. Une tendance que vient confirmer le rapport de l’Observatoire.

L’absence de pénalisation des ventes
Cette question fut l’objet de nombreux débats : le renforcement de la sécurisation des transaction en ligne, et l’alourdissement des processus d’achat qui en découlerait nécessairement, ne risquaient-ils pas d’entraîner de nombreux abandons de paniers en cours de paiement. L’enquête de l’Observatoire fait en effet apparaître deux tendances complémentaires.

D’une part, les internautes ne jugent pas les dispositifs handicapants dans la mesure où le sentiment de sécurité des transactions en ligne se trouve, pour 76% d’entre eux, renforcé. Ce sentiment est très important (97%) pour les solutions de sécurisation complexe comme le token, mais également pour des dispositifs plus simples comme l’envoi d’un code confidentiel par SMS (94%).

D’autre part, les internautes considèrent la sécurité des transactions comme un argument commercial particulièrement efficace. En effet, l’enquête note que 19 % des internautes interrogés « déclarent que ces nouveaux dispositifs sont susceptibles de les amener à acheter davantage sur Internet. », tandis que 17 % déclarent « qu’ils feront leurs achats exclusivement sur des sites d’e-commerce présentant un tel dispositif et 54 % qu’ils les favoriseront, même s’ils pourront continuer à acheter sur un site n’en proposant pas ».

En revanche, 28 % déclarent qu’ils ne prêteront pas une attention particulière à la mise en place ou non de ces dispositifs sur les sites qu’ils fréquentent... Comme quoi, finalement, le cyberacheteur est peut-être le maillon faible dans la chaîne de la sécurité des transactions en ligne.


à
Libellés : , , , , ,

Aucun commentaire:

Enregistrer un commentaire

Inscription à : Publier les commentaires (Atom)