Par Patrick Flamant, Country Manager Ogone France
Le vol d’informations bancaires : mythes et réalités
Les récentes affaires de piratage informatique le prouvent : le vol de données bancaires n’est plus le fait de passionnés uniquement motivés par le seul défi de “hacker” un système. Il n’est pas non plus dû à des systèmes d’écoute réseau pour capter des numéros de cartes lors de transactions non frauduleuses. En effet, seuls quelques systèmes informatiques d’État disposent aujourd’hui des infrastructures informatiques et de la puissance de calcul nécessaires à l’interception de ces données sur Internet, et à leur décryptage.
En réalité, depuis quelques années, le vol de données bancaires « se professionnalise ». Véritables criminels en col blanc, les pirates sont désormais organisés en réseaux structurés qui subtilisent les informations à l’aide de différentes techniques (skimming, phishing, vol physique, exploitation des failles de sécurité, usurpation d’identité…). Avec comme motivation principale, l’appât du gain : les données de cartes de paiement (numéro, date de validité, code de sécurité…) se négocient ainsi de 2 à 15 dollars l’unité sur Internet, selon la « fraicheur » et le pays d’émission de la carte.
La plupart du temps, ces informations sont utilisées pour effectuer des achats frauduleux (qui seront ensuite revendus sur le marché parallèle), avec une logistique très organisée pour la récupération des objets ou services acquis illégalement.
La fraude en ligne : un risque réel mais mesuré
En part relative, la fraude sur Internet reste faible, s’établissant, selon les périmètres concernés, entre moins de 0,1 % et 0,2%. En valeur absolue, elle représente plusieurs millions d’euros dans un secteur qui en pèse plusieurs milliards. En outre, l’impact pour le marchand est généralement largement sous-estimé. En effet, au montant brut de la fraude s’ajoutent tous les coûts liés à l’acquisition client (référencement, publicité, service client). Ainsi, pour une commande frauduleuse de 120 euros, dont la marge brute était de 25 %, le marchand devra vendre 4 produits identiques pour compenser la perte, ou réaliser 120 euros de marge brute incrémentale sur d’autres produits. Si certains secteurs sont plus exposés que d’autres, il est donc nécessaire de ne pas minimiser le problème car, au-delà des risques financiers, c’est aussi l’image de l’entreprise qui peut être ternie.
Risquer la fraude ou la perte de clients ?
Face au risque – bien réel – de fraude, les boutiques en ligne peuvent opter pour différentes stratégies, qui dépendent principalement de leur secteur d’activité, du type et des prix des biens ou des services vendus, de leur politique commerciale, des pays dans lesquels ils vendent, etc. Si toutes permettent de réduire (ou d’assumer) le risque de fraude, elles peuvent s’avérer plus ou moins pénalisantes pour le marchand et/ou le client final.
· Intégrer le coût de la fraude dans le prix des biens ou services : produits plus chers et/ou marge réduite, le risque de fraude est intégré dans la stratégie commerciale du marchand, et bien souvent inclus dans le prix de revient. Dans ce cas, le risque de perte du client est relativement direct : sur Internet, le critère du prix est bien souvent primordial pour le client final dans le choix d’un e-commerçant. Par ailleurs, cette démarche peut conduire à une augmentation des frais bancaires supportés par le marchand (commissions carte).
· Transférer le risque de fraude sur une entité tierce. Plusieurs mécanismes existent…
• Assurance : certes moins coûteux que l’intégration directe du coût de la fraude dans le prix de vente, ce système pèse sur le prix de revient des produits et donc sur le prix affiché, surtout dans les secteurs où le risque est fort (luxe, transport aérien, tourisme…).
• 3D Secure : pour limiter les tentatives d’usurpation d’identité, le marchand peut activer 3D Secure, qui consiste en une authentification simple (saisie de la date de naissance ou d’un code statique) ou forte (saisie d’un code dynamique à usage unique) du porteur de la carte. Une fois l’authentification réalisée, la responsabilité est reportée vers la banque du titulaire de la carte, ou vers le titulaire lui-même. La contrepartie de 3D Secure : une étape supplémentaire dans le processus de paiement, qui risque de rebuter certains acheteurs (par manque d’information).
· Limiter sa zone de chalandise : le e-commerçant peut décider de limiter la vente au seul territoire français, pour ne pas avoir à maîtriser les subtilités des moyens de paiements locaux. Par exemple, les Allemands utilisent à 50 % l’ELV, qui est un prélèvement automatique électronique… répudiable, sans aucune justification. Dans ce cas, le commerçant s’interdit toute clientèle étrangère, et donc le chiffre d’affaires correspondant.
· Utiliser un outil d’aide à la décision : le scoring, qui peut revêtir 2 formes :
• Le scoring CRM consiste à s’appuyer sur son logiciel CRM pour identifier le comportement « habituel » d’un client. Il se basera notamment sur la récence, la fréquence et le montant des achats effectués par un consommateur. Par exemple, si un internaute a l’habitude de commander un article de temps en temps et qu’il passe une commande de 10 PC portables d’un coup, il peut s’agir d’une opération frauduleuse, à son insu.
• Le scoring transactionnel a pour objectif d’évaluer les risques d’une transaction selon de multiples critères : date et heure, géolocalisation de l’adresse IP pour comparaison avec l’adresse client indiquée, etc.
Parmi l’ensemble de ces stratégies, le scoring en temps réel, s’il nécessite des outils spécifiques, est probablement l’une des méthodes les moins intrusives et pénalisantes pour le client final, parce qu’il permet de combiner processus de vente simple et maitrise du risque de fraude. Il peut être d’ailleurs être combiné à un 3D Secure sélectif, qui ne s’activerait que dans certaines conditions (montant du panier d’achat, pays potentiellement à risque…).
Dans tous les cas, seule une étude approfondie des spécificités et enjeux économiques de chaque e-commerçant permet de trouver le bon équilibre entre risquer la fraude ou la perte de clients. Et quelle que soit la solution retenue, le marchand devra faire évoluer sa stratégie de protection, pour s’adapter aux techniques et méthodes toujours plus créatives des fraudeurs.