E-commerce : Comment optimiser la sécurisation des paiements en ligne ?
La sécurisation des paiements sur internet est l’un des grands enjeux du e-commerce. Lutter contre la fraude tout en offrant une facilité d’usage pour les clients, l’équation est parfois complexe. Pour mieux comprendre comment l’Intelligence Artificielle peut intervenir dans ce domaine, et quelles sont les technologies qui permettent de lutter contre les fraudes, nous avons interrogé deux représentants du Crédit Agricole Payment Services, Yves Péchiné, chief data officer, ainsi que Xavier Vaslin responsable innovation, en charge du Lab paiement.
Commençons par une question d’actualité, la crise sanitaire a de nombreux effets à la fois négatifs et positifs sur l’économie, on constate notamment une augmentation des ventes sur les e-commerces, est-ce qu’une recrudescence des paiements en ligne a un impact sur leur sécurisation ?
Yves Péchiné : Sur la première période de confinement, nous n’avons pas constaté de croissance exponentielle des ventes en ligne, une augmentation, certes, et une meilleure résistance que les commerces traditionnels. En revanche, le deuxième confinement quant à lui, a provoqué une plus forte croissance du e-commerce. Elle s’explique par les modifications d’habitudes de consommation liées aux impacts de la crise. Néanmoins, pour répondre à votre question, l’augmentation des paiements en ligne n’a pas induit et n’induira pas une diminution de la sécurité des transactions. Nous n’avons pas constaté, en effet, d’augmentation de la fraude liée à l’augmentation des paiements internet. Lorsqu’on regarde les données chiffrées de l’Observatoire de la Sécurité des Moyens de Paiement sur le site de la Banque de France, on mesure même une baisse de la fraude sur la vente en ligne ces dernières années. Sous l’impulsion de la 2nde directive européenne des services de paiement (DSP2), et des efforts constants des banques, les paiements en ligne sont de plus en plus sécurisés alors que l’activité ne cesse d’augmenter.
« […] l’augmentation des paiements en ligne n’a pas induit et n’induira pas une diminution de la sécurité des transactions. »
Yves Péchiné.
Comment expliquez-vous ce niveau de sécurité plus élevé, quelles sont les innovations qui ont permis de l’atteindre ?
YP : Comme je le précisais, l’innovation dans ce domaine a été fortement portée par la réforme réglementaire (DSP2). Aujourd’hui nous assistons à la généralisation de la mise en place d’outils comme le 3D Secure qui permettent l’authentification forte des clients lors d’achats réalisés sur internet. Le Crédit Agricole a innové sur ce sujet-là. Depuis plusieurs mois maintenant, les clients des Caisses régionales et de LCL peuvent s’enrôler à un nouveau service d’authentification forte, entièrement intégré à l’application mobile sur laquelle on peut s’identifier avec son empreinte digitale ou un code de sécurité personnel. Ce système d’authentification et de validation de paiement renforce fortement la sécurité dans l’univers digital. En complément des développements autour de l’authentification forte, les évolutions réglementaires ont aussi permis d’inciter les e-commerçants à demander de manière plus systématique qu’auparavant ces systèmes d’authentification forte lors d’un achat sur leur site. Ce mécanisme de sécurisation avec le 3D Secure s’est donc largement déployé. Il est maintenant bien accepté et maîtrisé par les consommateurs.
La fraude n’est pas totalement éradiquée cependant…
YP : Cela reste du paiement à distance, la personne n’est pas présente physiquement avec sa carte bancaire pour payer en personne comme dans un magasin. La fraude qui existe aujourd’hui est consécutive à du phishing, une technique de fraude où le client sera abusé et fournira tous ses codes de sécurité de manière involontaire à un fraudeur… Ces fraudes sont de plus en plus sophistiquées pour tromper la vigilance, pourtant accrue, de nos clients.
Les fraudeurs misent donc sur une faille psychologique plus que technique, l’IA peut-elle être une solution pour contrecarrer cette manipulation ?
YP : Oui tout à fait, c’est pour cette raison que nous déployons des méthodes de détection de fraude avancées qui font appel à l’IA. Cette nouvelle approche permet de détecter des opérations complètement atypiques venant d’un fraudeur qui aurait pris le contrôle d’un moyen de paiement à l’insu de son détenteur.
Depuis combien de temps le Crédit agricole utilise l’IA pour détecter ces fraudes ?
YP : Cela fait trois ans que nous utilisons ces technologies d’Intelligence Artificielle, ce qui nous permet d’accroitre l’efficacité des dispositifs de protection de nos clients malgré un contexte d’attaques cybercriminelles en forte augmentation.
Etes-vous en veille sur d’autres technologies qui pourraient encore améliorer cette sécurisation des paiements en ligne ?
Xavier Vaslin : Le marché des paiements est un marché en perpétuelle transformation, il est nécessaire d’être pro actif et pour cela nous devons maintenir une veille constante. Nous sommes particulièrement attentifs aux sujets relatifs à l’authentification du porteur de carte bancaire et faisons-en sorte de mettre à disposition de nos clients des moyens sécurisés adaptés à la situation (empreintes digitales ou mots de passe). Nous travaillons également sur de nouveaux projets utilisant la biométrie faciale. Bien entendu il y a des technologies innovantes qui fonctionnent déjà avec un très bon niveau de fiabilité. L’exemple qui me vient à l’esprit est celui du HCE, pour Host Card Emulation, qui permet de générer des jetons de paiement à usage unique directement sur l’application, et non via la carte bancaire elle-même. Cette technologie implémentée avec succès sur la partie paiement mobile, a également son homologue côté paiement en vente à distance sur internet depuis 2015. La maîtrise de ces technologies demande un niveau d’expertise élevé pour en faciliter l’implémentation, notamment chez les commerçants.
« Pour que cette sécurité soit optimale, il est nécessaire qu’elle résulte d’un compromis équilibré entre l’intérêt du commerçant en termes de complexité de mise en œuvre et celui du consommateur en termes de facilité d’usage. »
Xavier Vaslin.
Finalement il existe de nombreuses solutions du côté des banques pour la sécurisation des paiements en ligne, mais encore faut-il que les e-commerçants les mettent en œuvre, c’est la balance entre la sécurité et le marketing qui n’est pas toujours facile à trouver ?
XV : Oui c’est tout à fait ça, on est sur un exemple de technologie qui peut tout à fait répondre à la problématique de la sécurité. Pour que cette sécurité soit optimale, il est nécessaire qu’elle résulte d’un compromis équilibré entre l’intérêt du commerçant en termes de complexité de mise en œuvre et celui du consommateur en termes de facilité d’usage.
Justement, est-ce que les e-commerçants innovent et développent aussi des solutions pour sécuriser les paiements ? Est-ce que ce sont des solutions qui concurrencent celles des banques ou au contraire qui les complètent ?
YP : Les commerçants développent leurs propres solutions, et nous les accompagnons également avec nos solutions de sécurisation. Ces approches sont pleinement complémentaires et devraient fonctionner de plus en plus en synergie. Il n’y a pas de concurrence dans la lutte contre la fraude, l’objectif de tous les acteurs est de proposer des parcours d’achats fluides et sécurisés, au bénéfice de nos clients.
Chaque niveau d’alerte s’additionne finalement ?
YP : Exactement, chaque acteur par sa position, apporte une information et a un rôle indispensable dans la chaine de sécurisation des paiements. Nous mettons tous les moyens en œuvre pour accompagner nos clients commerçants dans leur stratégie de lutte contre la fraude. L’objectif est d’avoir un équilibre optimal entre un parcours d’achat fluide et un niveau de sécurité maximum, tout en respectant le cadre réglementé avec la DSP2.
Retrouvez les applications de l’IA dans notre livre IA : La Grande Mutation du E-commerce, disponible en version papier et en numérique.