Christophe Lannezval
Directeur du pôle e-commerce, GFI Informatique
 

Malgré les progrès réalisés dans la sécurité, la détection des fraudes reste un enjeu majeur du digital. La fraude sur le Net ne fera en effet qu’augmenter. Parmi les nombreux cas de fraude identifiés (phishing, hameçonnage, re-shipping, usurpation d’identité, etc.), la fraude au paiement par carte bancaire sur les sites de e-commerce annonce toujours de tristes records, la plupart du temps au détriment de consommateurs innocents, dont on utilise la carte ou les attributs bancaires.

Rien qu’en France, le montant total de la fraude à la carte bancaire sur Internet se montait à 109,4 millions d’euros en 2012, selon l’Observatoire de la sécurité des cartes de paiement. Un chiffre en hausse constante, même si le taux de fraude, lui, est en baisse. D’après le suivi effectué par la Police nationale et la gendarmerie, le nombre de tentatives a en effet chuté de 80% entre 2009 et 2012. Moins de fraudes, mais sur de plus gros montants !

LA VIGILANCE DE LA CNIL

Comment se prémunir ? Le sujet, déjà sensible et complexe car lié aux technologies de sécurité, pâtit d’autres complications. Il faut en effet distinguer deux niveaux de contrôle lors d’une transaction : le contrôle automatique en back office par le PSP (Payment service provider), comme Visa ou Amex, via un « scoring » ; et en front office celui, manuel, au niveau du commerçant et relatif à la livraison (adresse, différences entre facturation et livraison, etc.).

Le contrôle par le PSP pose toutefois problème : le commerçant doit choisir par avance un niveau de scoring en fonction d’une perte potentielle, alors que les niveaux de contrôle peuvent être différents d’un PSP à l’autre. Et il est difficile d’avoir des « scorings » homogènes et profonds d’autant qu’en France la CNIL limite très sévèrement l’exploitation des données personnelles qui pourraient permettre des contrôles plus efficaces.

FAIRE DE LA DÉTECTION DES FRAUDES UN PROJET EN SOI

La sécurité des paiements est d’autant plus compliquée à assurer que le commerçant est petit. Alors, pour commencer, il ne faut pas hésiter à se faire accompagner par des professionnels expérimentés ! Et, quelle que soit la taille de l’entreprise, il faut considérer le sujet comme un projet en soi.

Le commerçant doit ainsi faire ses propres vérifications, tout en sachant que les règles de sécurité ne sont pas gravées dans le marbre : elles changent selon le produit, la valeur, le pays… Quelques points d’alerte sont ainsi à scanner avec attention : les articles de grande valeur, les achats fréquents par le même client, plusieurs articles identiques dans le même panier ou encore un code postal à risque ou une adresse IP étrangère.

Les zones géographiques à risques, elles, évoluent dans le temps. Actuellement, Brésil, Chine, Inde et Russie doivent par exemple susciter la prudence.

De façon pratique, il est préférable de généraliser la détection automatisée en amont, via des règles à affiner en fonction des évolutions technologiques et géographiques (un pays censé ne pas être « de confiance » peut le devenir) et de faire de la vérification manuelle une exception. Mettre en place des indicateurs de mesures permettra d’améliorer la performance entre automatique et manuel.

Il ne faut pas oublier d’identifier les tentatives de fraude par canal et, en permanence, d’analyser les transactions pour mettre à jour des bases de données et des règles… Un vrai projet en soi, donc. Et qui, malheureusement, ne parviendra certainement jamais à sécuriser à 100% les paiements.