C:\Users\Thomas\Desktop\0128 - Fraudes moyens de

Commentaires

Transcription

C:\Users\Thomas\Desktop\0128 - Fraudes moyens de
PARTENAIRES : E-COMMERCE
FRAUDE ET MOYENS DE PAIEMENT :
QUELLE STRATÉGIE POUR LES E-COMMERÇANTS ?
PROGRAMME
Première par e
État des lieux de la fraude en ligne en Europe et en France
> Quels sont les secteurs d’ac vité les plus touchés par la fraude en ligne ?
> Quelles sont les différentes habitudes des consommateurs européens dans le choix du mode de
paiement en ligne ?
> Pourquoi la France dé ent-elle le record européen du taux de fraude ?
> Quels sont les avantages/inconvénients des principaux ou ls d’authen fica on ?
Deuxième par e
Le coût total de la fraude en ligne
> Quel est le coût de la fraude et comment le mesurer ?
> Comment arbitrer entre réduc on des risques et op misa on de la conversion ?
> Comment porter en interne le sujet de la protec on contre la fraude ?
> Quelles sont les précau ons à prendre avant d’intégrer un nouveau moyen de paiement sur un site
de e-commerce ?
Intervenants :
BECHARGE, Fabrice Rotstein, Administrateur
CHAPITRE.COM, Pauline Buzy, Directrice des projets informa ques
FNAC, Philippe François, Directeur Securité groupe
OGONE, Elie Casamitjana, Product Manager
ULYS, Cathy Rosalie Joly, Avocate
VOYAGES-SNCF.COM, Céline Lambert, Resp. département paiements et lu5e contre la fraude
Animateur :
MERCHANT RISK COUNCIL, Nicolas Vedrenne, Managing Director Europe
1/8
FRAUDE ET MOYENS DE PAIEMENT : QUELLE STRATÉGIE POUR LES E-COMMERÇANTS ?
I - LA FRAUDE EN LIGNE EN EUROPE ET EN FRANCE
ETAT DES LIEUX, PAR ELIE CASAMITJANA - OGONE
En Europe, les trois principaux marchés du commerce en ligne sont le Royaume-Uni (96,2
milliards d'euros, 14% de croissance), l'Allemagne (50 milliards, 17%) et la France (45
milliards, 19%).
Selon un sondage réalisé par Ogone en 2013, 10% des e-commerçants français considèrent
la fraude comme un problème majeur. Ce sujet est perçu comme étant moins préoccupant
en Allemagne ou aux Pays-Bas.
Taux de fraude rapporté :
- France : 1,4 %
- Royaume-Uni : 0,8%
- Belgique : 0,6%
- Allemagne : 0,6%
- Pays-Bas : 0,4%
Pour expliquer de tels écarts entre les taux de fraude, nous notons que les habitudes et les
préférences des consommateurs par rapport aux moyens de paiement diffèrent selon les
pays. Il revient aux ins tu ons de me5re en place des systèmes sécurisés dont la facilité
d'u lisa on donne lieu à une adop on massive de la part des internautes. De plus, on
constate qu'en fonc on de la maturité des marchés, la propension des marchands à inves r
dans la protec on contre la fraude varie fortement.
Certains secteurs d'ac vité sont évidemment ciblés en priorité par les fraudeurs. Il s'agit de
se tourner vers des produits facilement revendables ou vers des paniers élevés (voyages,
recharges prépayées, produits électroniques, luxe...)
C'est l'habitude d'u liser des systèmes de paiement plus risqués qui explique que le taux de
fraude dans l'Hexagone soit le plus élevé en Europe. En France, 84% des commandes en
ligne sont réglées par carte (contre 22% en Allemagne, ou 8% aux Pays-Bas).
Le mode d'authen fica on le plus connu est 3-D Secure. 18% des transac ons ini ées
depuis une carte française sont authen fiées avec 3-D Secure (contre 60% en Belgique). Le
marchand peut choisir d'u liser systéma quement 3-D Secure pour minimiser les fraudes,
ou bien de l'ac ver de manière sélec ve afin d’op miser la conversion.
2/8
FRAUDE ET MOYENS DE PAIEMENT : QUELLE STRATÉGIE POUR LES E-COMMERÇANTS ?
Il apparaît que 80% des pertes effec ves proviennent de la fraude organisée.
Ressentez-vous une pression constante de la part des fraudeurs, que ce soit dans le
monde physique ou en ligne ?
PHILIPPE FRANÇOIS, FNAC
Les fraudeurs se rendent aussi bien en magasin que sur le site Internet de la Fnac. Plus les
défenses sont bonnes dans une enseigne, plus les fraudeurs seront tentés d'aller voir
ailleurs. Tous les acteurs élèvent leur niveau de protec on et, dans ce contexte, il s'agit
d'élever ses défenses plus haut que les concurrents.
FABRICE ROTSTEIN, BECHARGE
Nous sommes bien entendu suscep bles d'être vic mes des fraudes individuelles et
organisées, car Becharge n'effectue pas de livraison de produits physiques, mais vend de
l'argent (recharges téléphoniques, e-moné que...) Si la fraude unique est assez facilement
détectable et évitable, c'est évidemment plus délicat pour un système organisé. Certains
membres sont présents sur le site durant de longs mois et effectuent quelques achats
“classiques”, avant de passer subitement à l'ac on avec la créa on des centaines profils
pour frauder en un très court laps de temps. L'enjeu pour nous est de comprendre les
tendances, d'échanger avec les e-marchands afin de nous adapter sans cesse.
Aux Etats-Unis, plus de 70 millions numéros de cartes ont été récemment volés via un
système très complexe de Spyware. Quelles sont les nouvelles lois européennes en
prépara on concernant la protec on des données ?
CATHY ROSALIE JOLIE, AVOCATE - ULYS
Pour une fois, l'Europe accuse un certain retard par rapport aux Américains. Une
réglementa on adoptée dès le début des années 2000 aux Etats-Unis obligeait les
entreprises à no fier les fuites de données. Le con nent européen a laborieusement
transposé ce5e loi il y a deux ans ; elle ne concerne pour l'heure que les opérateurs de
télécommunica ons.
Les groupes ennent à se prémunir des fraudes à l'achat (cartes bancaires volées), mais
également de l'intrusion dans les systèmes. Face à la hausse de la fraude, notamment
autour des numéros de cartes bancaires, la réglementa on se renforce. Elle sera applicable
à l'ensemble des intermédiaires de la chaîne (sites marchands, prestataires, banques).
3/8
FRAUDE ET MOYENS DE PAIEMENT : QUELLE STRATÉGIE POUR LES E-COMMERÇANTS ?
Aujourd'hui, le système d'informa ons fait l'objet d'une obliga on de sécurité (dont le
non-respect est sanc onné de 375 000 euros d'amende et de trois ans d'emprisonnement).
Le projet de règlement européen, dans sa première mouture publiée en janvier 2012,
indiquait que la sanc on du défaut de sécurisa on et de no fica on des fuites de données
serait de l'ordre de 2% du chiffre d'affaires du groupe. La nouvelle version, publiée en
janvier 2013, porte la sanc on à 5% du CA si la base de données et les numéros de cartes
bancaires des clients sont hackés.
Adoptez-vous une stratégie différente concernant la luPe contre la fraude selon les
pays ?
PAULINE BUZY, CHAPITRE.COM
Chapitre vend principalement des ouvrages en langue française et n'est pas vraiment
sollicité par les fraudeurs interna onaux. Toutefois, nous avons fait le choix de n'expédier
aucun colis vers certains pays où un nombre par culièrement élevé de fraudes a été
repéré.
CELINE LAMBERT, VOYAGES-SNCF.COM
Nous avons établi quatre grands axes de lu5e contre la fraude : 3-D Secure, une solu on de
scoring, des repor ngs hebdomadaires extrêmement précis et des échanges fréquents avec
toutes les en tés du groupe. Il s'agit de s'adapter sans cesse aux par cularités des
différents pays et surtout de savoir an ciper avant de subir.
PHILIPPE FRANÇOIS, FNAC
La lu5e contre la fraude doit concerner l'ensemble de l'entreprise. La difficulté, c'est de
parvenir à me5re en place dans la durée une structure et des processus suffisamment
dynamiques pour s'adapter en permanence à l'évolu on de la fraude.
Nous parvenons à industrialiser les moyens de recherche de la "fraude d'opportunité" (ce5e
fraude individuelle et unique représente 80% des cas) en plaçant des requêtes ou des filtres
dans les systèmes I.T. Par exemple, si un caissier a crédité à plusieurs reprises une même
carte bleue, une alerte apparaît. CePe recherche "industrielle" de la fraude a un puissant
effet de dissuasion et permet de concentrer les moyens humains vers la fraude plus
complexe (20% des cas), qui suppose de vraies inves ga ons.
Ce travail de lu5e s'inscrit dans un cadre juridique très strict. Il convient sans cesse de se
faire accompagner par la CNIL en procédant à des croisements de données.
Au final, l'aspect technologique est essen el. Mais pour qu'il soit véritablement efficace, il
doit s'intégrer dans une stratégie globale de luPe contre la fraude qui implique de
nombreux acteurs de l'entreprise (DRH, Communica on interne/externe, I.T., juristes...)
4/8
FRAUDE ET MOYENS DE PAIEMENT : QUELLE STRATÉGIE POUR LES E-COMMERÇANTS ?
Avez-vous recours à l’ou l d’authen fica on 3-D Secure ?
CELINE LAMBERT, VOYAGES-SNCF.COM
Lors de la mise en place de 3-D Secure, il a fallu accompagner les clients durant les trois
premiers mois. Désormais, l'habitude est prise et les clients en viennent à s'inquiéter
lorsque la phase 3-D Secure n'apparaît pas. Il est en tout cas évident que cet ou l
contribue à la maîtrise de la fraude.
PAULINE BUZY, CHAPITRE.COM
Nous avons longuement déba5u en interne pour savoir s'il fallait ou non ajouter ce5e étape
dans processus de commande. Chapitre.com a finalement décidé de ne pas recourir à cet
ou l. Les paniers moyens étant assez peu élevés sur notre site, le risque de baisse de taux
de transforma on nous a paru trop important.
ELIE CASAMITJANA, OGONE
Ce choix dépend en effet des ac vités des commerçants, des paniers et des objec fs
business. Un marchand qui a des marges faibles comme Becharge et qui fait face à
d'importantes tenta ves de fraudes va me5re en place tous les ou ls pour minimiser le
risque. Dans d'autres ac vités pour lesquelles les marges sont plus élevées, les ecommerçants vont accepter de courir davantage de risques.
Afin d'op miser la conversion, 3-D Secure peut être ac vé uniquement sur les
transac ons pour lesquelles un risque significa f a été iden fié par les ou ls.
QUESTION DE LA SALLE : Est-ce que le taux de fraude baisse chez un marchand si une
stratégie de répression via des poursuites est mise en place ?
PHILIPPE FRANÇOIS, FNAC
Il est assez complexe de me5re en place des solu ons en interne ou avec des prestataires
pour faire baisser le taux de fraude. Les ou ls spécifiques sont onéreux et difficiles à
amor r. Il faut également prendre en compte les limites imposées par le droit social et la
CNIL.
De plus, la coopéra on des autorités interna onales n’est pas réellement efficace face aux
fraudeurs qui se dissimulent derrière une forme d’extra-territorialité permise par le Web. Il
faut à tout prix parvenir à se protéger des a5aques déclenchées par des réseaux organisés.
Ces groupes cons tueront une menace considérable dans les années à venir. Les
répressions na onales seront alors totalement inefficaces...
5/8
FRAUDE ET MOYENS DE PAIEMENT : QUELLE STRATÉGIE POUR LES E-COMMERÇANTS ?
CATHY ROSALIE JOLIE, AVOCATE - ULYS
Concernant la fraude interne, l’iden fica on doit se faire dans le cadre des éléments qui ont
été validés auprès de la CNIL. Trop souvent, les chartes spécifiques mises en place ne sont
pas opposables aux salariés si un problème se déclare. Pour disposer de moyens d’ac on
efficaces en cas de fraude interne, il convient de mener en amont une réflexion sur ces
sujets avec les organes représenta fs du personnel.
Il est autrement plus difficile de réagir à une a5aque interna onale. Jusqu’où est-il possible
d’aller pour remonter la trace du hacker ? Si la menace est iden fiée, encore faut-il que
l’ac on puisse être portée au niveau interna onal...
En conclusion, la meilleure protec on contre la fraude (au-delà de la mise en place d’ou ls
techniques dans le respect des réglementa ons sociales et pénales), c’est d’effectuer une
bonne classifica on des risques. Il faut impéra vement prendre le temps de cartographier
le système d’informa ons.
II - LE COÛT TOTAL DE LA FRAUDE EN LIGNE
ELIE CASAMITJANA, OGONE
Le premier indicateur suivi par les marchands est le coût financier direct : le coût de revient
des produits livrés, les amendes infligées par les ins tu ons, le temps passé à gérer les
contesta ons, etc.
Les revenus manqués, difficiles à mesurer, ne sont pas négligeables. Car pour prévenir la
fraude, le marchand va me5re en place des filtres perme5ant d’iden fier les transac ons
suspectes. Dans ce cas, le risque est de bloquer les clients non-fraudeurs. Ce5e ac on a un
impact sur la marge, mais également sur la réputa on du site Internet.
Les coûts liés à la préven on sont également à prendre en compte. Pour disposer d’un
système abou de protec on, il faut inves r d’importantes ressources (en capital humain,
en technologies internes ou externes...)
6/8
FRAUDE ET MOYENS DE PAIEMENT : QUELLE STRATÉGIE POUR LES E-COMMERÇANTS ?
Comment faire prendre conscience en interne de la no on de “coût total de la fraude”?
PHILIPPE FRANÇOIS, FNAC
Un comité d’éthique a été mis en place afin de réunir toutes les direc ons. Certains coûts de
sécurité doivent être intégrés en amont dans le développement des systèmes. L’enjeu, pour
les services Sécurité, c’est de se manifester le plus tôt possible dans les projets pour ne pas
apparaître comme “ceux qui empêchent les choses de se faire”.
Il faut toujours pouvoir raisonner en interne en terme de R.O.I., en sachant prouver qu’une
dépense pour lu5er contre la fraude perme5ra de rapporter à l’entreprise.
De plus, le fait de laisser faire les fraudeurs discrédite le management et a un coût social :
la mo va on d’un salarié s’effondre s’il constate les voleurs restent impunis...
A l’avenir, aura-t-on recours de manière systéma que à l’authen fica on
biométrique?
CATHY ROSALIE JOLIE, AVOCATE - ULYS
L’acteur qu’il convient de rassurer en priorité, c’est le consommateur. Dans la
réglementa on, ce5e nécessité s’est traduite par un allongement des durées de
contesta on et d’opposi on (passant de 120 jours en moyenne en 2009, à 13 mois en
2014).
La Banque de France incite à l’u lisa on massive de 3-D Secure. Cet ou l ne résulte pas de
la réglementa on, mais d’accords conclus entre les banques et les éme5eurs de cartes. On
assiste à l’émergence de technologies complémentaires pour sécuriser la transac on. Se
posent dès lors des ques ons liées à la nature des données (empreintes digitales, iris,
empreinte vocale...) et à leur pérennité. Puisqu’il n’existe pas encore d’autorité européenne
de protec on des données, il faudra obtenir les autorisa ons dans chacun des pays.
QUESTION DE LA SALLE : De nouveaux acteurs apparaissent sur le marché du paiement.
Comment peuvent-ils s’intégrer dans la ges on de la fraude ?
CELINE LAMBERT, VOYAGES-SNCF.COM
Je pense que le problème de la fraude est bien pris en compte par ces nouveaux acteurs.
Pour la SNCF, ce5e capacité à an ciper les risques fera par e des critères de choix d’un
nouveau moyen de paiement. Il devra obligatoirement émaner d’un établissement bancaire
connu.
Ces changements dans les usages me paraissent bénéfiques pour les parcours clients et la
lu5e contre la fraude.
7/8
FRAUDE ET MOYENS DE PAIEMENT : QUELLE STRATÉGIE POUR LES E-COMMERÇANTS ?
FABRICE ROTSTEIN, BECHARGE
Becharge cherche à intégrer le plus grand nombre possible de moyens de paiement. Nous
sommes par exemple en discussion avec Paylib, qui compte actuellement 100 000
u lisateurs. Il faut rester ouvert, car le monde du Web est en constante évolu on et les
consommateurs sont sans cesse à la recherche des nouveautés.
CATHY ROSALIE JOLIE, AVOCATE - ULYS
Le e-commerçant doit toujours se préoccuper de la provenance des services de paiement.
Pour être intégré sur une plateforme, un moyen de paiement doit être fourni par une
banque, un établissement de monnaie électronique ou un établissement de paiement. Si
elle n’appar ent pas un de ces trois prestataires, la solu on de paiement n’est pas encadrée
ni régulée par la Banque de France (ou son équivalent à l’étranger).
8/8