L’e-commerce a attisé l’intérêt des cybercriminels. Si des progrès ont été réalisés pour la sécurisation des transactions “point de vente” (utilisation de cartes et d’identifiants), le coeur de cible des cybercriminels s’est aujourd’hui déplacé vers les paiements mobiles, autrement dit là où les transactions de paiement se font à distance via des infrastructures sans-fil et sans-contact.

Ingenico Payment Services, spécialiste des paiements en ligne sécurisé et nouveau propriétaire d’Ogone, souligne dans un rapport récent que “le commerce en ligne, en plein boom, reste plus vulnérable que le commerce physique”. Selon des chiffres de la Banque Centrale Européenne (troisième rapport sur la fraude à la carte bancaire, publié en février 2014), 60% de la valeur totale des fraudes à la carte bancaire en Europe serait ainsi liée à des paiements en ligne, via carte sans contact.

Le paiement par carte sans contact représente actuellement 60 % de la valeur totale des fraudes à la carte bancaire commises en Europe.

Potentiellement, la fraude en ligne pourrait coûter de 0,3% à 3% du chiffre d’affaires d’un commerçant.

Huit conseils

Pour lutter efficacement contre ces risques de fraude, Ingenico Payment Services vient de publier un Livre Blanc dans lequel la société formule 8 conseils, présentés comme essentiels pour une lutte efficace contre les fraudes.

1. Pister la fraude en surveillant scrupuleusement les données de transaction. Comment faire la différence entre une commande normale et légitime et une commande inhabituelle et frauduleuse? La clé, souligne Ingenico, c’est l’information que le commerçant peut partager avec des outils de prévention de la fraude. Il peut s’agir d’informations de type nom, numéro de téléphone, adresse e-mail, adresses de livraison et de facturation, type de produit, moyen de livraison, délais de livraison, etc.

Il peut également s’agir d’informations spécifiques au secteur d’activités du commerçant, comme par exemple le temps de transport.

“Grâce au détail de chaque transaction, vous allez pouvoir identifier des points communs aux différentes tentatives de fraude et les distinguer des commandes légitimes.”

2. Recourir à des outils de vérification automatique. Exemple: des vérificateurs d’adresse, une authentification 3D Secure, des outils de scoring, des bases de données…

3. Vérifier et adapter les seuils de rejet. “Un rapport mensuel permet d’identifier les indicateurs-clé de performance (KPI) liés au pourcentage de transactions refusées. Définir des seuils permet de déterminer les transactions pour lesquelles une analyse plus poussée est conseillée.” Cela permet potentiellement d’augmenter le chiffre d’affaires, en évitant de bloquer des transactions légitimes. Une analyse des modifications et des ajustements opérés permettra de les valider afin qu’ils s’appliquent aux commandes pertinentes.

One size doesn’t fit all

4. Moduler les dispositifs de lutte contre la fraude en fonction des pays concernés et des modes de paiement utilisés. En effet, “les comportements d’achat varient d’un pays à l’autre, ce qui a une influence sur les critères qui permettent de différencier les bons et les mauvais consommateurs.”

Il faut dès lors “identifier les méthodes de paiement et les préférences des consommateurs, ainsi que les risques associés à chaque méthode.”

5. Surveiller l’impact négatif des outils d’authentification. Le recours à ce genre d’outils (par exemple, la solution 3D Secure) peut en effet avoir des effets pervers. Une trop grande complexité ou lourdeur peut notamment décourager le client d’aller au bout de la transaction. Pour minimiser les “abandons de panier”, il est dès lors conseiller de générer des rapports qui en définissent la nature et l’importance. Car “le taux de conversion va varier selon l’émetteur, le degré d’adoption du moyen d’authentification dans chaque pays, la valeur des biens mis au panier, etc.”

L’analyse différenciée des abandons de panier (pour des transactions avec ou et sans recours à un outil d’authentification) doit se faire par critère géographique et par taille de panier. “Cela permettra notamment d’identifier les segments plus sensibles à l’utilisation du moyen d’authentification.”

6. Constituer des listes “positives” et “négatives” (black-listing), afin de ne pas (trop) mêler clients non fiables et clients qui, en définitive, sont parfaitement légitimes et fiables. Cet exercice de discernement permettra aussi d’identifier plus efficacement les fraudeurs récurrents potentiels.

L’élaboration et l’alimentation de ces listes peut se faire, du moins en partie, au moyen d’outils qui automatiseront le processus. Il faudra toutefois également prévoir un suivi, plus manuel, afin d’adapter éventuellement, au fil du temps, les règles et critères de classement dans l’une ou l’autre catégorie.

7. Se tenir à jour, en termes de technologies utilisées, “afin d’identifier rapidement et de se protéger contre les attaques”. En effet, ces attaques, leur forme et nature, évoluent elles aussi rapidement, les fraudeurs et cybercriminels imaginant sans cesse de nouveaux moyens et techniques. Conseil d’Ingenico: “Des mesures préventives comme l’empreinte numérique, l’intelligence globale, les réseaux neuronaux artificiels et l’analyse comportementale en temps réel permettent de mieux se défendre contre les attaques criminelles organisées en limitant le volume d’efforts à fournir de la part du commerçant.”

8. Veiller à disposer et à pouvoir accéder aisément aux compétences nécessaires. Que ce soit en interne ou auprès de partenaires. “Calculez le coût total de la fraude pour votre entreprise. Calculez ensuite le retour sur investissement que pourrait vous apporter une équipe interne d’experts à temps plein ou une aide extérieure.” Le différentiel devrait permettre à chaque commerçant de décider s’il veut maîtriser lui-même les compétences nécessaires ou s’en remettre à un tiers.