la personnalisation à l`heure du standard PcI-Pc

enjeux
Cartes
La personnalisation
à l’heure du
standard PCI-PC *
(*) PCI-Production Cards
46
MAI 2014
Les industriels capables de personnaliser les cartes
bancaires en France se comptent sur les doigts d’une
main. Soumis à des contraintes de sécurité de la part
de PCI SSC, ils savent que leur avenir dépend des gains
de productivité qui leur permettront de proposer
la personnalisation de cartes au meilleur prix.
L
es chiffres l’attestent : la France reste le
leader européen de la filière des cartes à
puces, de leur production à leur personnalisation. « Cette filière représente près
de 100 000 emplois dans l’Hexagone »,
précise à ce sujet Philippe Delanoue, président de
l’Association des Fabricants et Personnalisateurs de
Cartes (AFPC). L’AFPC compte parmi ses membres
les quatre leaders mondiaux de ce marché, à savoir
Gemalto, Oberthur, Morpho-Safran ainsi que l’allemand Giesecke & Devrient. La « petite association »
compte aussi Crédit Agricole Cards & Payments (exCedicam), Euro P3C, CPS Technologies (Groupe
Morpho/Safran) ainsi que des fabricants d’équipements comme l’américain Datacard, le suisse Kern,
le français Evolis, sans oublier SELP, Mulann Ingénierie, Nagra ID, Orsud Valley et MGI. En France,
l’ensemble des marchés qui utilisent la carte à puce
représentent, y compris le secteur bancaire, quelque
250 millions de cartes avec une ou plusieurs technologies : pistes magnétiques, mémoire simple, microprocesseur à contact, chip sans contact… sans oublier,
les hologrammes, la microédition, le guillochage et
autres techniques qui assurent la sécurité du support
contre la contrefaçon. Le secteur bancaire représente
à lui seul près du quart de ce marché. Le Groupement
Cartes Bancaires rappelle en effet qu’il circulait en
France quelque 60,6 millions de cartes en 2012, un
chiffre en progression de 1 % qui témoigne de la maturité de ce marché. Malgré la crise, les paiements par
carte progressent en France puisque le Groupement
estime qu’ils représentaient, toujours en 2012, près
de 8,10 milliards de paiements de proximité (385,2
Md€ en valeur) et 517 millions de paiements en ligne
(34,4 Md€) en France. Le nombre de paiements à
l’étranger représentait pour sa part 319,6 millions
(20,1 Md€). Quant aux retraits sur les automates bancaires, ils étaient au nombre de 1,54 milliards, soit un
montant de 121,6 Md €. La
durée de vie d’une carte
étant de deux ou trois ans,
« le nombre de nouvelles
cartes émises chaque année en France approche
les 25 millions d’unités »
estime Philippe Delanoue. La maturité de ce
marché, à laquelle s’ajoute
la crise qui perdure et les
niveaux de sécurité qui
augmentent depuis l’arrivée de la norme PCI-PC,
sont autant de préoccupations pour les industriels
de la personnalisation de
cartes. Tirant son épingle
du jeu avec un important
marché captif, Crédit
Agricole Cards & Payments se taille la part du
lion sur le terrain de la
production annuelle avec environ 9 millions de cartes
personnalisées par an pour un parc de cartes estimé
à 16 millions pour l’ensemble du Groupe Crédit Agricole. Notons que plus d’un million de cartes bancaires LCL ont été intégrées à cette activité en 2013.
CA-CP fabrique aussi les cartes de la BCI et de RCI.
La production moyenne de Crédit Agricole Cards &
Payments est de 35.000 cartes par jour. « En période
de pointe, nous produisons jusqu’à 50 000 cartes par
jour », précise Yves Perrachon, directeur des opérations de Crédit Agricole Cards & Payments. L’entreprise utilise plus de 250 visuels de cartes bancaires
personnalisés. En ligne avec la stratégie européenne
de Crédit Agricole Cards & Payments, l’ambition
de l’activité personnalisation cartes, qui compte auMAI 2014
Philippe
Delanoue
47
enjeux
Un choix de visuels qui se diversifie
Si le visuel des cartes
figure parmi les facteurs
de différenciation entre
banques, son usage
reste encadré en France.
Chaque banque dispose
d’une bibliothèque de
visuels qu’elle propose
à ses clients. Certaines
banques les font payer car
les traitements nécessaires
pour personnaliser la carte
suivent des procédures
différentes du processus
normal. C’est un peu
comme de l’épicerie fine
alors que « le porteur
veut surtout une carte
qui fonctionne », précise
Philippe Delanoue. Crédit
Agricole Cards & Payments
yves
perrachon
dispose pour sa part d’une
offre de personnalisation
de visuels régionaux en
petites séries, grâce à sa
technologie d’impression
sur supports blancs.
Cette offre permet de
réduire les délais et les
coûts pour les clients.
La possibilité de mettre la
photo de son chien ou de
ses enfants sur sa carte
bancaire n’a pas reçu
en France l’accueil que
cette technologie a reçu
outre-Manche, dans les
pays nordiques ou aux
Etats-Unis. Elle démarre
juste en France alors que
depuis des années Gemalto
propose la technologie
AllAboutMe de Serverside,
société britannique qu’elle
a rachetée en 2009 !
Serverside a développé
une solution en mode
SaaS pour télécharger des
images et des graphismes
sur les cartes bancaires.
La plate forme AllAboutMe
fonctionne à partir d’un
site Web. Elle envoie les
données confidentielles
de traitement aux banques
ou aux prestataires
participants. Cette
personnalisation crée
un lien personnel entre
le porteur et sa carte qui
augmente son utilisation
ainsi que les dépenses
moyennes. C’est ce qui
jourd’hui parmi les leaders en France, vise à
tirer parti de sa taille critique pour conforter sa capacité d’innovation et gagner en
compétitivité, en augmentant ses volumes
pour diminuer ses coûts unitaires et en faire
bénéficier ses clients » explique Yves Perrachon. Le dernier index des coûts de l’AFPC
précise que 60 % du coût d’une carte bancaire représente des salaires, 18 % le prix
du chip, 5 % celui du plastique et 2 % celui
de l’or. Pour d’évidentes raisons de concurrence, les industriels restent discrets sur le
coût effectif de la carte. Seule certitude, la
fabrication centralisée est seule à permettre de baisser
les coûts dans le cadre d’une chaîne de confiance.
La fabrication centralisée
diminue les coûts
Le processus de fabrication centralisée commence
avec la réception des cartes vierges, de plus en plus fabriquées off-shore, et les données confidentielles qui
vont permettre leur personnalisation. Cette activité
fait appel à de nombreux fournisseurs, de l’approvisionnement matières (cartes vierges, papèterie, enveloppes) aux machines industrielles. L’achat de cartes
vierges fait généralement l’objet d’appels d’offres
auprès des grands fournisseurs de la place disposant
des agréments nécessaires. Crédit Agricole Cards &
Payments procède ainsi par appel d’offres. L’approvisionnement en cartes vierge est par définition une
48
MAI 2014
pousse Crédit Agricole
Cards & Payments à
préparer une offre de
personnalisation cartes
avec des visuels personnels
ou sur choix catalogue. En
cours de finalisation, elle
devrait être déployée sur
le second semestre 2014.
activité sensible qui impose d’auditer régulièrement
leur site de fabrication de cartes vierges.
« Le respect du standard PCI-PC est un élément récent dans la chaîne de personnalisation des cartes »,
explique Philippe Delanoue. En effet, c’est en juin
2013 que l’AFPC a été sollicitée par le Groupement
Cartes Bancaires pour échanger au sujet des nouvelles normes de sécurité logique et physique édictées par l’organisme PCI SSC fin 2012. De son côté,
l’organisme européen Eurosmart avait exprimé à PCI
SSC les difficultés de mise en œuvre de ces nouvelles
normes sur les sites industriels. Bien qu’associés tardivement aux travaux d’Eurosmart sur le sujet, « nous
restons très attentifs à l’évolution et à l’application des
standards PCI SSC dans nos métiers » confie Philippe
Delanoue. Le standard PCI-PC a été mis en place au
4ème trimestre 2013 pour les sites industriels français. Ils ont ainsi été les premiers à être audités sur ce
standard. A cette occasion, le nombre de remarques
a plus que doublé par rapport aux audits précédents.
« Les coûts de mise en place des recommandations
PCI-PC inquiètent la profession » ajoute Philippe
Delanoue, conscient que seules des actions conjointes
de l’AFPC et d’Eurosmart permettraient d’éviter une
surenchère inutile des exigences en termes de sécurité, décalée en termes de risques compte tenu de l’existant. Le niveau de sécurité apporté par l’EMV est jugé
suffisant en France, alors que PCI SSC, organisme
américain encore très marqué par les problèmes de
la carte à piste magnétique, est dans une toute autre
logique. A l’AFPC, on est convaincu que le niveau de
sécurité atteint sur la chaîne des paiements par cartes
EMV est tel que le mobile mettra du temps à offrir le
même niveau. « La sécurité est au cœur de l’activité
de personnalisation Cartes de Crédit Agricole Cards
& Payments », affirme Yves Perrachon dans ce nouveau contexte. Plusieurs audits sont conduits chaque
année par les réseaux sur l’ensemble du processus. «
Les audits réalisés en 2013 ont été conduits selon le
nouveau référentiel PCI-PC, avec comme résultat la
reconduction de nos agréments », ajoute l’intéressé.
« L’investissement technologique, l’innovation et
l’expertise sont au cœur de la stratégie de développement de l’activité de personnalisation cartes de
Crédit Agricole Cards & Payments », explique Yves
Perrachon. Ces leviers permettent à l’entreprise de
garantir une offre attractive et compétitive pour des
clients exigeants et cherchant à se différencier par la
personnalisation des visuels, le sans contact, le packaging, ou les éco-matériaux. En outre, les forts volumes en jeu nécessitent aussi une gestion rigoureuse
du risque industriel par la redondance sur l’ensemble
du cycle de production : approvisionnement multifournisseurs, backup de personnalisation. Autant de
paramètres qui ont poussé Crédit Agricole Cards &
Payments à s’équiper de matériels Datacard intégrées
pour un haut niveau d’automatisation, disponibles à
plus de 95 % grâce à une politique de maintenance
préventive. L’industriel pratique une optimisation
continue des processus ainsi qu’une fréquence élevée
des contrôles de fabrication. La fabrication de cartes
exige en effet un pilotage rigoureux des indicateurs
clés chez Crédit Agricole Cards & Payments : délais
de fabrication (urgent en un jour, ou standard entre
deux et quatre jours selon la demande). Le taux de
rebut est inférieur à 0,6%. La préparation des données cartes en vue de la personnalisation industrielle
est assurée par l’outil CardInk de la société danoise
Cryptomathic qui édite des solutions de sécurité pour
de nombreux secteurs industriels, comme la finance,
les cartes à puce, la gestion des droits numériques et
les services gouvernementaux. CardInk est une suite
logicielle permettant de préparer les données relatives
aux applications de paiement MasterCard, Visa ou
CB. Elles sont chargées sur les cartes durant la phase
de personnalisation. Précisons que CardInk est la
seule technologie à la fois indépendante de l’équipement cryptographique et de la plate-forme de cartes,
ce qui garantit une adaptabilité à tous les environnements d’émission. La génération et la préparation de données ont toujours lieu dans une enceinte
cryptographique sécurisée (HSM). Dans ce métier à
forte consonance technologique, la qualité de service
n’est pas oubliée, loin s’en faut. Crédit Agricole Cards
& Payments a même reçu en novembre 2013 le trophée de la meilleure implémentation ITIL pour une
grande organisation. Ce trophée récompense l’articulation de la gestion des processus selon l’axe de la
qualité de service. Si le choix de nouveaux matériaux
plus responsables en terme environnemental est une
tendance récente dans le secteur des cartes bancaires,
« le PVC domine encore le secteur » estime Philippe
Delanoue, affirmant que « le plus important reste le
bilan global d’une carte par rapport aux moyens de
paiements concurrents ». Chez Crédit Agricole Cards
& Payments, le virage est pris. Aujourd’hui, le PVC
et le PLA (« polyacide lactique ») sont utilisés. Notons
que le PLA est un plastique de nouvelle génération
d’origine végétale, renouvelable et recyclable. Il vient
en remplacement du PVC qui est un plastique issu
du pétrole. « Nous procédons au remplacement progressif du support en PVC des cartes bancaires par le
PLA. Cette innovation devrait être progressivement
étendue à l’ensemble du parc de cartes du Crédit
Agricole d’ici 2017 » précise Yves Perrachon.
Du déploiement du sans
contact à la carte de demain
Le déploiement des cartes sans contact devient significatif en France avec près de 18 millions de cartes sur
le terrain. « D’ici fin 2014, la moitié du parc français
de cartes bancaires sera constitué de cartes duales
intégrant la technologie sans contact » précise le
président de l’AFPC. La fabrication du sans contact
introduit des modifications dans les processus car les
antennes sont intégrées directement dans le plastique.
La fabrication en amont du support est différente. La
personnalisation est plus longue à cause d’étapes supplémentaires car ce ne sont pas les mêmes machines.
Il faut toujours renseigner la piste, la puce, mais aussi
vérifier que l’antenne fonctionne. D’où de nouveaux
investissements consentis par les industriels de la personnalisation de cartes à l’heure où d’autres technologies vont s’ajouter à la carte de demain. Il est question de biométrie sur la carte d’ici fin 2014, EMVCo
travaillant activement à son intégration dans le standard EMV. Rappelons que le français Natural Security a testé avec succès la biométrie en France, constatant même une forte appétence des porteurs pour ce
mode de paiement. Jo Cohen
L’émission instantanée
dans les placards
Si la France avait fini par se doter
d’une réglementation autorisant
l’usage de l’émission instantanée
de cartes, par opposition à la
production centralisée, la greffe
de ce mode de fabrication,
développé dans d’autres pays
voisins et aux Etats-Unis, n’a
pas pris en France. Crise oblige,
le sujet ne préoccupe pas les
banques depuis que les membres
de l’AFPC proposent des prix à
la carte compétitifs et surtout
des délais en urgence ramenés
à un jour. Les restrictions
imposées par la réglementation
du Groupement cartes Bancaires
pour de questions de sécurité
rendent en effet cette approche
moins attractive. L’émission
instantanée en agence revient
cher car l’envoi des données
confidentielles doit se faire sur
réseau VPN crypté. La structure
est lourde pour une production
limitée alors que l’émission
centralisée produit de quelques
dizaines de cartes spéciales
en termes de visuels à 2 000
cartes classiques à l’heure.
MAI 2014
49