L'authentification forte, un parcours encore semé d'embûches

Yohan Ouaziz, responsable product management chez Oui.SNCF, Virgile Sebahoun, responsable de la trésorerie et du financement chez Transavia, Sara Laamarti, responsable des paiements du Groupe Veepee et Fatimata Diallo, responsable monétique et fraude chez Misterfly, reviennent avec Djenebou Coulibaly (responsable de comptes internationaux d'American Express) sur leur passage à l'authentification renforcée en collaboration avec American Express, alors que le dispositif de soft decline (transition vers l'authentification forte, la banque demande a posteriori au marchand d'identifier le client) est entré en application, en France, depuis le 1er octobre. En raison de la crise sanitaire et économique, la date limite de mise en conformité est repoussée au premier trimestre 2021.

Comment avez-vous abordé les obligations liées à la DSP2 d'un point de vue stratégique?

Fatimata Diallo (MisterFly): Notre agence de voyage en ligne, créée il y a cinq ans, vend des billets d'avion, ainsi que des packages hôtel et voiture. Nous avons réalisé 543 millions d'euros de chiffre d'affaires 2019, dont 50% en B to C. 60% de nos transactions B to C sont réalisées via une carte bancaire, dont 10% avec American Express. Expliquer la DSP2 en interne a été un vrai challenge : il a fallu bouleverser notre roadmap IT. Auparavant, nous ne poussions pas de donnée à l'émetteur. Dès le premier trimestre 2019, Nous avons dû passer en "full safety" (authentification obligatoire sur toutes les transactions) : les transactions authentifiées par SafeKey [système d'authentification forte propre à American Express, NDLR] sont passées de 25 à 97%. Cependant, l'impact sur l'acceptation a été minime. Le taux d'acceptation via American Express se situait à 83%, il est ensuite monté à 93%.

En raison de différents reports, il nous a fallu migrer mi-mars tous les flux en authentification forte. Le taux d'acceptation n'a certes pas bougé mais les flux de transaction étaient extrêmement réduits, bien entendu. Dans le courant de l'été, avec la période de reprise, nous avons rencontré nombre d'incidents liés au 3D Secure via le modèle " quatre coins " [modèle impliquant la banque du commerçant, la banque du client, le commerçant et le client. American Express utilise un modèle "trois coins", impliquant le commerçant, le client et la banque American Express, NDLR].

Yohan Ouaziz (Oui.SNCF): La DSP2 constitue un gros chantiers car nous avons dû réimaginer tous les parcours de vente. OUI.sncf avait auparavant une stratégie très sécuritaire : 75% des transactions étaient déjà authentifiées. Alors que Oui.SNCF possède des sites européens, des activités B to B, B to C et que nous allons lancer une marketplace, l'authentification forte constitue un véritable sujet. La valeur ajoutée du projet mené avec American Express tient à la création d'exemptions.

Êtes-vous en conformité à 100% avec la DSP2 concernant l'authentification forte?

Fatimata Diallo (MisterFly): Pas encore mais nous y arrivons quasiment. Toutes nos transactions passent par le système SafeKey ou sont exemptées d'authentification forte mais nous rencontrons des perturbations en interne. D'ici à la mi-novembre, nous serons totalement en conformité. En tant que marchand d'un secteur sinistré (le tourisme), nous bénéficions d'une exemption du soft decline de la part de la Banque de France jusqu'à mars 2021.

Virgile Sebahoun (Transavia): Nous avons réalisé un chiffre d'affaires de 1,5 milliard d'euros en 2019. Nous réalisons nos ventes sur le Web et via une application mobile, ainsi que via des API. Nous obtenions auparavant des taux de fraude très bas grâce à nos outils de scoring, mis en place avec notre PSP. Nous avons utilisé la solutions d'American Express "3DS V1". Le taux de conversion est très élevé. Nous obtenons des résultats positifs sur les tests effectués pour la V2. Il nous reste cependant du travail pour les transactions liées à l'application mobile et aux API.

Sara Laamarti (Veepee): Nous avons d'abord fait migrer un échantillon de différents types de transactions vers l'authentification forte. Après de stests de montée en charge sur les modèles quatre coins, nous constatons que la stabilité n'est pas toujours parfaite.

D'ici la fin de l'année, le système 3D Secure V2 sera mis en place. A quelles complexités techniques serez-vous confrontés concernant vos ventes indirectes?

Virgule Sebahoun (Transavia): Le risque est d'avoir des transactions refusées. Il faut savoir si tous les marchands en ligne qui utilisent des liens API seront en ligne avec les attentes de la DSP2 d'ici à la fin de l'année. Certains marchands pourraient ne pas être en capacité de générer les authentifications fortes. Nous allons attendre un peu avant d'exiger cette authentification forte sur les API, afin d'éviter une chute du nombre de transactions acceptées. Le Rouayme)Uni insiste pour que les ventes indirectes ne soient pas soumsies à l'authentification forte, à l'instar des commandes passées par e-mail ou téléphone (aussi appelées "MOTO") La troisième solution pourrait être de dire que les marchands qui utilisent les liens API nous laissent devenir marchands sur les transactions pour que l'authentification puisse se faire correctement, mais c'est extrêmement improbable.

Yohan Ouaziz (oui.SNCF): Pour les partenaires intégrés, nous fonctionnons à la manière d'une marketplace. En ce qui concerne les ventes indirectes pures, nous les passons en "click out": nous redirigeons le client chez le partenaire. Cela crée une rupture de parcours mais notre coeur de business est de proposer des billets de train.

Sara Laamarti (Veepee): Nous prenons la responsabilité du déclenchement du 3D Secure. Veepee établit un scoring du profil de l'acheteur et de la transaction.

Fatimata Diallo (MisterFly): Nous sommes responsables du paiement vers chacun des produits que nous vendons. Nous poussons des cartes virtuelles que nous émettons au fournisseur. Ces cartes sont exemptées d'authentification forte par la DSP2.

Comment aborder la DSP2 dans sa stratégie de paiement?

Yohan Ouaziz (Oui.SNCF): Nous ressentons une forte crainte concernant la capacité des acteurs du paiement autres que les marchands (réseaux, banques) à maintenir une disponibilité de service équivalente à celle que l'on l'avait sur le 3DS V1. Cette année, les marchands ont observé une augmentation des incidents de paiement sur l'authentification 3DS. Cependant, nous n'avons pas observé ces problèmes avec le modèle "trois coins" d'American Express. Nous travaillons à mettre en place un plan de continuité du service avec l'ensemble des acteurs.

Fatimata Diallo (MisterFly): Il serait judicieux de mettre en place un plan de continuité d'activité en cas d'incident sur l'infrastructure 3D Secure. Nous souhaiterions un alerting live qui nous permettrait de sauver les transactions en cas d'incident. Nous réfléchissons aussi à d'autres options. Nos paniers moyens sont plus élevés que ceux de la moyenne des e-commerçants, le virement instantané nous paraît donc être l'une des meilleures options. Cependant, pour l'instant, nous ne disposons d'aucun moyen de débrayer le 3D Secure sans se retrouver en non-conformité vis-à-vis de la DSP2.