Sécurité des paiements: la data, arme de défense contre la fraude

Les derniers chiffres de l'Observatoire de la sécurité des cartes de paiement, disponibles pour l'année 2014, font état d'un taux de fraude sur les transactions à distance de 0,248% - contre 0,268% en 2013. Une "bonne nouvelle" soulignée par Marc Lolivier, délégué général de la Fevad, à l'occasion de la présentation à Bercy, le 28 janvier dernier, du bilan 2015 de l'e-commerce.

Pour autant, la croissance soutenue du secteur suffit à relativiser ce résultat. Car si, en proportion, la fraude en ligne est en baisse, son montant global, lui, a tendance à croître comparativement au développement du secteur. Pour l'année 2014, par exemple, les transactions en ligne ont été responsables à elles seules de 66,5% de la fraude globale.

Sécurité des transactions on line: une priorité pour 59% des consommateurs

Selon l'étude du CSA "Quelles perspectives pour l'e-commerce en 2016", qui se base sur les résultats d'un sondage réalisé fin décembre 2015 sur un échantillon représentatif de 1000 cyberacheteurs français, la sécurité des transactions effectuées sur les sites marchands arrive en tête des points jugés prioritaires par les consommateurs avec 59% des répondants, devant la sécurité des données personnelles et la clarté des tarifs affichés (respectivement 54% et 51% des réponses). Bien plus qu'une simple demande, la sécurité des paiements est capitale pour les sites afin de conquérir et plus encore de fidéliser les clients.

À l'origine même de la relation commerciale qui unit une enseigne et sa clientèle, la sécurisation du paiement relève pourtant, dans une certaine mesure, d'une utopie. "Le taux zéro de fraude n'existe pas", explique Didier Brouhat, directeur général de Payline, spécialiste des moyens de paiement. Néanmoins, les solutions de sécurisation disponibles sur le marché visent à réduire ce risque au maximum.

En France, notamment, l'action conjointe du gouvernement, des établissements bancaires et des acteurs industriels des moyens de paiement a permis d'instaurer une "culture de la vigilance", selon les mots de Didier Brouhat. Avec pour effet immédiat de permettre aux commerçants d'être aujourd'hui "relativement à l'abri de la fraude ", ajoute-t-il.Ainsi, dès le début des années 80, la France a joué un rôle précurseur dans l'adoption des cartes bancaires à puce, tandis qu'aux États-Unis, il aura fallu attendre jusqu'en 2015 pour que la carte à puce se substitue complètement à la carte à piste magnétique, bien plus vulnérable aux attaques des fraudeurs.

Plus récemment, les pages de paiement sécurisées par PHP ou bien encore le P2PE (pour point to point encryption) - une solution qui permet de rendre indéchiffrable le numéro d'une carte depuis le terminal du commerçant - contribuent à rehausser le niveau général de sécurité. Résultat: "Nous avons les moyens techniques de garantir l'impossibilité de la captation d'un numéro de carte bancaire lors de son utilisation sur une plateforme en ligne par un fraudeur", affirme Nicolas Brand, responsable de l'activité multicanal d'Ingenico Group, leader mondial des solutions de paiement intégrées.

3D Secure, un des meilleurs remparts contre la fraude

Reste, néanmoins, le problème de la fraude non pas en temps réel mais en différé. Les fraudeurs utilisent, pour faire des achats en ligne, des numéros de carte obtenus frauduleusement. En la matière, les acteurs concernés et, notamment, Secure Pay, le forum européen sur la sécurité des moyens de paiement, mettent en avant l'action bénéfique des solutions d'identification renforcée du client.

60%: taux de déploie­­ment 3D Secure 2014 en France

Parmi les principaux remparts à la fraude, le 3D Secure (3DS) arrive en tête. En nécessitant l'envoi par SMS d'un code secret accessible uniquement au détenteur de la carte bancaire pour finaliser une transaction, ce procédé se révèle comme l'un des plus puissants leviers de lutte contre l'usurpation de moyens de paiement.

"En Belgique ou aux Pays-Bas, il s'agit, désormais, d'une "étape naturelle", qui vient conclure le parcours d'achat en ligne; force est de constater que les choses évoluent plus lentement en France", note Nabil Naimy, directeur produit et stratégie pour HiPay Groupe, spécialiste des solutions de paiement. Malgré le bon exemple donné par certains géants nationaux du secteur (Voyages-sncf.com, Venteprivee.com...), son taux de déploiement en 2014 se hissait à tout juste 60% - contre 43% en 2012. En cause: une idée encore largement répandue qui fait de la protection "excessive" contre la fraude un obstacle au taux de transformation et à la vente.

84% des cyberacheteurs sont sécurisés par un dispositif d'authentification renforcée

"La solution parfaite pour lutter contre la fraude, c'est de refuser toutes les ventes", ironise sur ce point Nicolas Brand (Ingenico Group), qui pointe du doigt, par là même, la difficulté qu'ont les e-commerçants à réconcilier deux objectifs a priori contradictoires: offrir une expérience de navigation optimale - à savoir synonyme d'un maximum de ventes - et également une sécurité elle aussi optimale. En somme, comment ne pas ériger trop de barrières sécuritaires sans pour autant sacrifier la sécurité du client? Une problématique à valeur de casse-tête chinois que nombre d'e-commerçants ne cherchent pas à résoudre avant d'y être contraints par un volume trop important d'impayés. Avec un taux de fraude de 4%, c'était, notamment, le cas d'un site marchand de jeux vidéo, parmi les clients de HiPay. Aujourd'hui, ce dernier a le taux beaucoup plus "normal" de 0,1%. Loin d'être impactées négativement, les ventes, elles, sont même à la hausse.

D'un scénario à l'autre, le cheminement des e-commerçants ne s'arrête pas avec l'achat d'une solution. Didier Brouhat (Payline) insiste, au contraire, sur la nécessité d'avoir une stratégie d'entreprise. Première étape: déterminer le ROI de la cybersécurité. Pour ce faire, l'e-commerçant dispose de deux KPI, autour desquels toute stratégie antifraude s'articule: le taux de succès - qui n'est autre que le taux de vente - et le taux de risque, derrière lequel se cache le coût de la fraude aux impayés. "Si le fait d'ajouter une barrière sécuritaire fait baisser la fraude de 0,2% alors que le taux de conversion plonge, lui, de 2%, il faut trouver une autre configuration, explique Didier Brouhat. Par contre, si le taux de fraude baisse de 2% alors que le taux de transformation ne perd que 0,2%, c'est bon signe. "

Une approche proactive

Ce genre de réflexion souligne l'importance d'une approche proactive et, surtout, agile, face à la fraude. Le fait de faire appel à un prestataire spécialisé ne revient pas à sous-traiter le problème de la sécurité, qui doit faire l'objet d'une feuille de route suivie de concert par la direction, les services financiers et le service marketing. Preuve de l'utilité de cette approche collective, l'exemple d'une plateforme de jeux vidéo. En la matière, l'analyse de la data se révèle indispensable. C'est en effet elle qui permet d'évaluer, en temps réel, le caractère authentique de chaque transaction.

"Si une personne réitère la même commande une quaran­taine de fois en utilisant à chaque fois la même carte bancaire mais des adresses IP différentes ou bien des adresses mail créées il y a moins d'une semaine, le marchand devrait voir plusieurs warnings s'allumer", indique Nicolas Brand (Ingenico Group). Pour autant, Didier Brouhat (Payline) met en garde contre le fait de se reposer sur des préjugés pour analyser l'authenticité d'une transaction. Le danger: empêcher une bonne transaction - et perdre par la même occasion un client. "Si vous connaissez vos clients, vous connaissez vos fraudeurs", affirme encore Nicolas Brand.

Sur Internet, cette capacité de discernement qui permet de reconnaître un bon client - qu'il soit régulier ou nouveau venu - s'appuie sur le recoupement d'un certain nombre de paramètres complémentaires. "L'adresse IP, l'origine de la carte, un montant de carte, un montant cumulé de cartes sur une période donnée, la différence entre l'adresse de livraison, de facturation, de commande, la présence dans un panier de produits particuliers qui pourraient être noyés dans d'autres produits, la récurrence des achats sont autant de composantes de la transaction qui, une fois recoupées, permettent de donner un score à chaque transaction", souligne Nicolas Brand.

57% des Français favorisent les sites marchands proposant des dispositifs de sécurité.

En fonction de ce score, l'enseigne peut paramétrer différentes réponses comme la validation de la transaction, son rejet ou, en cas de note médiane, sa vérification. "Il y a environ 125 critères différents et des milliers de règles qui servent à affiner sa stratégie pour déclencher, par exemple, le 3D Secure à partir d'un panier d'un certain prix ou uniquement pour les commandes passées entre 22 heures et 4 heures du matin ", complète Didier Brouhat.

Analyser la fraude

À transaction identique, l'analyse des algorithmes varie, elle, selon le profil de chaque e-commerçant et son domaine d'activité. "Si je vends des mp3, il n'y a rien de suspect à ce qu'une personne en achète dix dans la même journée. S'il s'agit de chaussures, le facteur de récurrence de la transaction peut être donneur d'alarme", note Nabil Naimy (HiPay Groupe). Partisan du test and learn, il préconise de partir de règles assez strictes.

Pour optimiser leur démarche et gagner en pertinence, les e-commerçants ne doivent, néanmoins, pas se limiter à l'analyse en temps réel des transactions. L'analyse a posteriori de l'ensemble des impayés associés à la fraude - ce que l'on appelle le fraud mining - est une part essentielle de la lutte contre la fraude. Le principe: faire une analyse détaillée de l'ensemble des impayés associés à la fraude pour que l'e-commerçant connaisse sa vulnérabilité. Une démarche indispensable pour mieux s'armer...