la personnalisation à l`heure du standard PcI-Pc
Transcription
la personnalisation à l`heure du standard PcI-Pc
enjeux Cartes La personnalisation à l’heure du standard PCI-PC * (*) PCI-Production Cards 46 MAI 2014 Les industriels capables de personnaliser les cartes bancaires en France se comptent sur les doigts d’une main. Soumis à des contraintes de sécurité de la part de PCI SSC, ils savent que leur avenir dépend des gains de productivité qui leur permettront de proposer la personnalisation de cartes au meilleur prix. L es chiffres l’attestent : la France reste le leader européen de la filière des cartes à puces, de leur production à leur personnalisation. « Cette filière représente près de 100 000 emplois dans l’Hexagone », précise à ce sujet Philippe Delanoue, président de l’Association des Fabricants et Personnalisateurs de Cartes (AFPC). L’AFPC compte parmi ses membres les quatre leaders mondiaux de ce marché, à savoir Gemalto, Oberthur, Morpho-Safran ainsi que l’allemand Giesecke & Devrient. La « petite association » compte aussi Crédit Agricole Cards & Payments (exCedicam), Euro P3C, CPS Technologies (Groupe Morpho/Safran) ainsi que des fabricants d’équipements comme l’américain Datacard, le suisse Kern, le français Evolis, sans oublier SELP, Mulann Ingénierie, Nagra ID, Orsud Valley et MGI. En France, l’ensemble des marchés qui utilisent la carte à puce représentent, y compris le secteur bancaire, quelque 250 millions de cartes avec une ou plusieurs technologies : pistes magnétiques, mémoire simple, microprocesseur à contact, chip sans contact… sans oublier, les hologrammes, la microédition, le guillochage et autres techniques qui assurent la sécurité du support contre la contrefaçon. Le secteur bancaire représente à lui seul près du quart de ce marché. Le Groupement Cartes Bancaires rappelle en effet qu’il circulait en France quelque 60,6 millions de cartes en 2012, un chiffre en progression de 1 % qui témoigne de la maturité de ce marché. Malgré la crise, les paiements par carte progressent en France puisque le Groupement estime qu’ils représentaient, toujours en 2012, près de 8,10 milliards de paiements de proximité (385,2 Md€ en valeur) et 517 millions de paiements en ligne (34,4 Md€) en France. Le nombre de paiements à l’étranger représentait pour sa part 319,6 millions (20,1 Md€). Quant aux retraits sur les automates bancaires, ils étaient au nombre de 1,54 milliards, soit un montant de 121,6 Md €. La durée de vie d’une carte étant de deux ou trois ans, « le nombre de nouvelles cartes émises chaque année en France approche les 25 millions d’unités » estime Philippe Delanoue. La maturité de ce marché, à laquelle s’ajoute la crise qui perdure et les niveaux de sécurité qui augmentent depuis l’arrivée de la norme PCI-PC, sont autant de préoccupations pour les industriels de la personnalisation de cartes. Tirant son épingle du jeu avec un important marché captif, Crédit Agricole Cards & Payments se taille la part du lion sur le terrain de la production annuelle avec environ 9 millions de cartes personnalisées par an pour un parc de cartes estimé à 16 millions pour l’ensemble du Groupe Crédit Agricole. Notons que plus d’un million de cartes bancaires LCL ont été intégrées à cette activité en 2013. CA-CP fabrique aussi les cartes de la BCI et de RCI. La production moyenne de Crédit Agricole Cards & Payments est de 35.000 cartes par jour. « En période de pointe, nous produisons jusqu’à 50 000 cartes par jour », précise Yves Perrachon, directeur des opérations de Crédit Agricole Cards & Payments. L’entreprise utilise plus de 250 visuels de cartes bancaires personnalisés. En ligne avec la stratégie européenne de Crédit Agricole Cards & Payments, l’ambition de l’activité personnalisation cartes, qui compte auMAI 2014 Philippe Delanoue 47 enjeux Un choix de visuels qui se diversifie Si le visuel des cartes figure parmi les facteurs de différenciation entre banques, son usage reste encadré en France. Chaque banque dispose d’une bibliothèque de visuels qu’elle propose à ses clients. Certaines banques les font payer car les traitements nécessaires pour personnaliser la carte suivent des procédures différentes du processus normal. C’est un peu comme de l’épicerie fine alors que « le porteur veut surtout une carte qui fonctionne », précise Philippe Delanoue. Crédit Agricole Cards & Payments yves perrachon dispose pour sa part d’une offre de personnalisation de visuels régionaux en petites séries, grâce à sa technologie d’impression sur supports blancs. Cette offre permet de réduire les délais et les coûts pour les clients. La possibilité de mettre la photo de son chien ou de ses enfants sur sa carte bancaire n’a pas reçu en France l’accueil que cette technologie a reçu outre-Manche, dans les pays nordiques ou aux Etats-Unis. Elle démarre juste en France alors que depuis des années Gemalto propose la technologie AllAboutMe de Serverside, société britannique qu’elle a rachetée en 2009 ! Serverside a développé une solution en mode SaaS pour télécharger des images et des graphismes sur les cartes bancaires. La plate forme AllAboutMe fonctionne à partir d’un site Web. Elle envoie les données confidentielles de traitement aux banques ou aux prestataires participants. Cette personnalisation crée un lien personnel entre le porteur et sa carte qui augmente son utilisation ainsi que les dépenses moyennes. C’est ce qui jourd’hui parmi les leaders en France, vise à tirer parti de sa taille critique pour conforter sa capacité d’innovation et gagner en compétitivité, en augmentant ses volumes pour diminuer ses coûts unitaires et en faire bénéficier ses clients » explique Yves Perrachon. Le dernier index des coûts de l’AFPC précise que 60 % du coût d’une carte bancaire représente des salaires, 18 % le prix du chip, 5 % celui du plastique et 2 % celui de l’or. Pour d’évidentes raisons de concurrence, les industriels restent discrets sur le coût effectif de la carte. Seule certitude, la fabrication centralisée est seule à permettre de baisser les coûts dans le cadre d’une chaîne de confiance. La fabrication centralisée diminue les coûts Le processus de fabrication centralisée commence avec la réception des cartes vierges, de plus en plus fabriquées off-shore, et les données confidentielles qui vont permettre leur personnalisation. Cette activité fait appel à de nombreux fournisseurs, de l’approvisionnement matières (cartes vierges, papèterie, enveloppes) aux machines industrielles. L’achat de cartes vierges fait généralement l’objet d’appels d’offres auprès des grands fournisseurs de la place disposant des agréments nécessaires. Crédit Agricole Cards & Payments procède ainsi par appel d’offres. L’approvisionnement en cartes vierge est par définition une 48 MAI 2014 pousse Crédit Agricole Cards & Payments à préparer une offre de personnalisation cartes avec des visuels personnels ou sur choix catalogue. En cours de finalisation, elle devrait être déployée sur le second semestre 2014. activité sensible qui impose d’auditer régulièrement leur site de fabrication de cartes vierges. « Le respect du standard PCI-PC est un élément récent dans la chaîne de personnalisation des cartes », explique Philippe Delanoue. En effet, c’est en juin 2013 que l’AFPC a été sollicitée par le Groupement Cartes Bancaires pour échanger au sujet des nouvelles normes de sécurité logique et physique édictées par l’organisme PCI SSC fin 2012. De son côté, l’organisme européen Eurosmart avait exprimé à PCI SSC les difficultés de mise en œuvre de ces nouvelles normes sur les sites industriels. Bien qu’associés tardivement aux travaux d’Eurosmart sur le sujet, « nous restons très attentifs à l’évolution et à l’application des standards PCI SSC dans nos métiers » confie Philippe Delanoue. Le standard PCI-PC a été mis en place au 4ème trimestre 2013 pour les sites industriels français. Ils ont ainsi été les premiers à être audités sur ce standard. A cette occasion, le nombre de remarques a plus que doublé par rapport aux audits précédents. « Les coûts de mise en place des recommandations PCI-PC inquiètent la profession » ajoute Philippe Delanoue, conscient que seules des actions conjointes de l’AFPC et d’Eurosmart permettraient d’éviter une surenchère inutile des exigences en termes de sécurité, décalée en termes de risques compte tenu de l’existant. Le niveau de sécurité apporté par l’EMV est jugé suffisant en France, alors que PCI SSC, organisme américain encore très marqué par les problèmes de la carte à piste magnétique, est dans une toute autre logique. A l’AFPC, on est convaincu que le niveau de sécurité atteint sur la chaîne des paiements par cartes EMV est tel que le mobile mettra du temps à offrir le même niveau. « La sécurité est au cœur de l’activité de personnalisation Cartes de Crédit Agricole Cards & Payments », affirme Yves Perrachon dans ce nouveau contexte. Plusieurs audits sont conduits chaque année par les réseaux sur l’ensemble du processus. « Les audits réalisés en 2013 ont été conduits selon le nouveau référentiel PCI-PC, avec comme résultat la reconduction de nos agréments », ajoute l’intéressé. « L’investissement technologique, l’innovation et l’expertise sont au cœur de la stratégie de développement de l’activité de personnalisation cartes de Crédit Agricole Cards & Payments », explique Yves Perrachon. Ces leviers permettent à l’entreprise de garantir une offre attractive et compétitive pour des clients exigeants et cherchant à se différencier par la personnalisation des visuels, le sans contact, le packaging, ou les éco-matériaux. En outre, les forts volumes en jeu nécessitent aussi une gestion rigoureuse du risque industriel par la redondance sur l’ensemble du cycle de production : approvisionnement multifournisseurs, backup de personnalisation. Autant de paramètres qui ont poussé Crédit Agricole Cards & Payments à s’équiper de matériels Datacard intégrées pour un haut niveau d’automatisation, disponibles à plus de 95 % grâce à une politique de maintenance préventive. L’industriel pratique une optimisation continue des processus ainsi qu’une fréquence élevée des contrôles de fabrication. La fabrication de cartes exige en effet un pilotage rigoureux des indicateurs clés chez Crédit Agricole Cards & Payments : délais de fabrication (urgent en un jour, ou standard entre deux et quatre jours selon la demande). Le taux de rebut est inférieur à 0,6%. La préparation des données cartes en vue de la personnalisation industrielle est assurée par l’outil CardInk de la société danoise Cryptomathic qui édite des solutions de sécurité pour de nombreux secteurs industriels, comme la finance, les cartes à puce, la gestion des droits numériques et les services gouvernementaux. CardInk est une suite logicielle permettant de préparer les données relatives aux applications de paiement MasterCard, Visa ou CB. Elles sont chargées sur les cartes durant la phase de personnalisation. Précisons que CardInk est la seule technologie à la fois indépendante de l’équipement cryptographique et de la plate-forme de cartes, ce qui garantit une adaptabilité à tous les environnements d’émission. La génération et la préparation de données ont toujours lieu dans une enceinte cryptographique sécurisée (HSM). Dans ce métier à forte consonance technologique, la qualité de service n’est pas oubliée, loin s’en faut. Crédit Agricole Cards & Payments a même reçu en novembre 2013 le trophée de la meilleure implémentation ITIL pour une grande organisation. Ce trophée récompense l’articulation de la gestion des processus selon l’axe de la qualité de service. Si le choix de nouveaux matériaux plus responsables en terme environnemental est une tendance récente dans le secteur des cartes bancaires, « le PVC domine encore le secteur » estime Philippe Delanoue, affirmant que « le plus important reste le bilan global d’une carte par rapport aux moyens de paiements concurrents ». Chez Crédit Agricole Cards & Payments, le virage est pris. Aujourd’hui, le PVC et le PLA (« polyacide lactique ») sont utilisés. Notons que le PLA est un plastique de nouvelle génération d’origine végétale, renouvelable et recyclable. Il vient en remplacement du PVC qui est un plastique issu du pétrole. « Nous procédons au remplacement progressif du support en PVC des cartes bancaires par le PLA. Cette innovation devrait être progressivement étendue à l’ensemble du parc de cartes du Crédit Agricole d’ici 2017 » précise Yves Perrachon. Du déploiement du sans contact à la carte de demain Le déploiement des cartes sans contact devient significatif en France avec près de 18 millions de cartes sur le terrain. « D’ici fin 2014, la moitié du parc français de cartes bancaires sera constitué de cartes duales intégrant la technologie sans contact » précise le président de l’AFPC. La fabrication du sans contact introduit des modifications dans les processus car les antennes sont intégrées directement dans le plastique. La fabrication en amont du support est différente. La personnalisation est plus longue à cause d’étapes supplémentaires car ce ne sont pas les mêmes machines. Il faut toujours renseigner la piste, la puce, mais aussi vérifier que l’antenne fonctionne. D’où de nouveaux investissements consentis par les industriels de la personnalisation de cartes à l’heure où d’autres technologies vont s’ajouter à la carte de demain. Il est question de biométrie sur la carte d’ici fin 2014, EMVCo travaillant activement à son intégration dans le standard EMV. Rappelons que le français Natural Security a testé avec succès la biométrie en France, constatant même une forte appétence des porteurs pour ce mode de paiement. Jo Cohen L’émission instantanée dans les placards Si la France avait fini par se doter d’une réglementation autorisant l’usage de l’émission instantanée de cartes, par opposition à la production centralisée, la greffe de ce mode de fabrication, développé dans d’autres pays voisins et aux Etats-Unis, n’a pas pris en France. Crise oblige, le sujet ne préoccupe pas les banques depuis que les membres de l’AFPC proposent des prix à la carte compétitifs et surtout des délais en urgence ramenés à un jour. Les restrictions imposées par la réglementation du Groupement cartes Bancaires pour de questions de sécurité rendent en effet cette approche moins attractive. L’émission instantanée en agence revient cher car l’envoi des données confidentielles doit se faire sur réseau VPN crypté. La structure est lourde pour une production limitée alors que l’émission centralisée produit de quelques dizaines de cartes spéciales en termes de visuels à 2 000 cartes classiques à l’heure. MAI 2014 49