Antonio DA CUNHA Caisse d Épargne Aquitaine Poitou Charente Echangeur (CCI de Bordeaux) 07 juillet 2009 Vendre en ligne en toute sécurité Sommaire Zoom sur le e-commerce français Connexion des foyers français, Internautes et cyberacheteurs, Chiffres e-commerce, Sécurité des paiements et garantie de paiement Différences, utilisation frauduleuse de n CB, recours, Les évolutions du paiement en ligne : 3 étapes majeures Proxi / VAD : différences fondamentales, 3 étapes du paiement en ligne L offre de la Caisse d Épargne : SPPLUS Offre et services, démos, Questions
Zoom sur le e-commerce Connexion des foyers français Évolution du nombre de foyers connectés En millions de foyers En % des foyers 14,44 millions de foyers 26,8% 31,7% 38,8% 9,9 44,3% 11,3 45,6% 49,4% 55,3% 14,4 11,8 12,7 16,7% 6,7 8,0 4,1 1Tr 2001 1Tr 2003 1Tr 2005 1Tr 2006 4Tr 2006 1Tr 2007 4Tr 2007 3Tr 2008 Source Médiamétrie
Internet Haut Débit Évolution de l Internet haut débit en France 6,52 18,3 En millions d abonnements haut débit (ADSL + câble + fibre optique) 4,99 millions d abonnements 7,89 9,46 11,09 12,7 14,1 15,5 +13% 1Tr 2008/2009 16,2 16,6 17,1 18,35 2Tr 2004 4Tr 2004 2Tr 2005 4Tr 2005 2Tr 2006 4Tr 2006 2Tr 2007 4Tr 2007 1Tr 2008 2Tr 2008 3Tr 2008 1Tr 2009 Source Arcep Internautes et cyberacheteurs 16,6 20,1 Évolution du nombre d internautes et de cyberacheteurs 28,34 26,5 24,7 22,3 31,57 33,1 33,1 millions d internautes 21 21,7 1 Tr 2002 1 Tr 2003 1 Tr 2004 1 Tr 2005 1 Tr 2006 janv-07 janv-08 mai-09 15,1 17,9 21,7 millions d acheteurs 4,6 6,3 8,7 11,5 Source Médiamétrie / FEVAD 1 Tr 2002 1 Tr 2003 1 Tr 2004 1 Tr 2005 1 Tr 2006 1 Tr 2007 1 Tr 2008 1 Tr 2009
Internautes et cyberacheteurs Évolution du nombre d internautes et de cyberacheteurs 65,6% 6% de cyberacheteurs 39,0% 31,3% 27,7% 8,7 4,6 6,3 46,6% 11,5 57,0% 15,1 62,4% 17,9 65,8% 65,6% 21 21,7 1 Tr 2002 1 Tr 2003 1 Tr 2004 1 Tr 2005 1 Tr 2006 1 Tr 2007 1 Tr 2008 1 Tr 2009 Source Médiamétrie 1tr 2008 Taux d acheteurs par cible 2008 2007 Source Mediametrie
Chiffres clés Classement des sites les plus visités (en milliers de visiteurs) Produits/services achetés en ligne (en % des internautes) Source Mediametrie / NetRatings Confiance des internautes 62% Confiance des internautes dans l achat en ligne 62% des internautes ont confiance dans l achat en ligne 62% 61% % 58% des internautes 18,9 50% 17,4 43% 9,8 12,2 15,4 En % des internautes En millions d internautes confiants 1 Tr 2004 1 Tr 2005 1 Tr 2006 1 Tr 2007 4 Tr 2007 Source Médiamétrie
Satisfaction des internautes Satisfaction des cyberacheteurs Intentions de re-achat pour 2008 96,9% 9% 99,6% Satisfaits Très satisfaits Probablement Non Certainement 45 56 57 53 17,30% 82,30% 46 41 38 44 2004 2005 2006 2007 La quasi-totalité des acheteurs interrogés se déclarent satisfaits. Intention de ré-achat unanime pour 2008, et toujours très élevée avec un taux 99,6% Source Fevad La sécurité des paiements La garantie de paiement
Sécurité informatique et garantie de paiement Il faut distinguer : La protection physique des données sensibles relatives au paiement CB (sécurité informatique) + stockage - Protocole SSL - Stockage physique des données sensibles déporté du commerçant vers un prestataire expert La protection contre l utilisation frauduleuse des données CB (garantie de paiement) - Protocole 3D-Secure de VISA / MasterCard (mise en application octobre 2008) - Cadre juridique légal et contractuel Sécurité informatique : le SSL Le Secure Sockets Layer (SSL) Cryptage SSL Internaute Page https Les 2 fonctions principales du protocole SSL 1) Authentifier le serveur sur lequel est connecté l internaute internaute, c est cest-à-dire lui prouver que www.fnac.com est bien le serveur web de la Fnac. 2) Crypter les informations sensibles, c est-à-dire assurer la confidentialité des informations transmises grâce à l utilisation d algorithmes de chiffrement. La force de ces algorithmes est déterminée par la longueur de clé utilisée pour effectuer ce chiffrement, exprimée en bits.
Sécurité informatique : le stockage des données Au début de l internet marchand Le commerçant collecte lui-même les données bancaires et les stocke sur son propre serveur Cryptage SSL Internaute Internet e-commerçant Stockage Point de vulnérabilité : stockage des n CB sur le serveur du commerçant Solution : déporter le paiement et le stockage des n CB chez un prestataire compétent Sécurité informatique : le stockage des données Internet marchand actuellement Le commerçant ne stocke pas les données CB? e-commerçant Internaute Banque ou prestataire Qui est l internaute? Est-il le véritable détenteur de la CB? Le paiement est-il garanti?
La protection contre l utilisation frauduleuse des n CB Que dit la loi en cas d usurpation du n CB? Loi du 15 novembre 2001 (art. L. 132-2 du Code monétaire et financier). L'ordre ou l'engagement de payer donné au moyen d'une carte de paiement est irrévocable. Il ne peut être fait opposition au paiement qu'en cas de perte, de vol ou d'utilisation frauduleuse de la carte ou des données liées à son utilisation. La responsabilité du titulaire d'une carte n'est pas engagée si le paiement contesté a été effectué frauduleusement, à distance, sans utilisation physique de sa carte. Si le titulaire de la carte conteste par écrit avoir effectué un paiement ou un retrait, les sommes contestées lui sont recréditées sur son compte par l'émetteur de la carte ou restituées sans frais, au plus tard un mois à compter de la réception de la contestation. Parades pour le commerçant - CVV2 : cryptogramme visuel de 3 chiffres obligatoire - Solutions de paiement innovantes (e-cb) - Le protocole de e-paiement 3D Secure (Verified by Visa) et SecureCode (MasterCard) Quelques chiffres D après l Observatoire de la Sécurité des Cartes de Paiement de la Banque de France, le taux de fraude VAD était de 0,236 % en 2007 Les évolutions du paiement en ligne 3 étapes majeures Hier : le paiement dans un processus linéaire Jusqu à récemment : le paiement déporté Aujourd hui : le paiement garanti
Proximité / VAD : différences fondamentales Le paiement de proximité Le client signe son paiement (n CB + code confidentiel) Répudiation impossible Risque de fraude nul Garantie de paiement pour le commerçant La VAD récemment : risque existant Le client ne signe pas son paiement (n CB + date validité) Répudiation possible si n CB usurpé Risque de fraude supporté par le commerçant La VAD avec 3D Secure : apporter les mêmes garanties que le paiement de proximité Le client est authentifié Répudiation impossible Risque de fraude assumée par la banque émettrice de la CB Garantie de paiement pour le commerçant Hier processus linéaire? Internaute Commerçant Banque Cryptage SSL : OK Stockage des n CB sur le serveur du commerçant : KO Porteur non authentifié : KO
Jusqu à récemment le paiement déporté 1 Commerçant / site marchand vente paiement Banque commande? Internaute paiement Aujourd hui le paiement garanti Commerçant paiement Banque commerçant OK? Internaute? OK Banque du porteur
Modalités d authentification 3D-Secure Selon la banque émettrice de la carte, les modalités d'authentification varient : LCL et Crédit Agricole : question secrète parmi celles dont il a paramétré les questions et les réponses, à l'avance, sur le site LCL. Crédit Mutuel : identifiant et son mot de passe de banque en ligne + code inscrit sur sa "carte de clés personnelles" (grille de 64 codes dans laquelle il faut piocher le bon code en fonction de la ligne et de la colonne indiquée par la page). Axa Banque, BNP, Caisse d Epargne : date de naissance Société Générale : date de naissance mais code envoyé par sms en septembre 2009 Crédit agricole : code à créer lors du 1 er achat 3D Secure Limites de 3D-Secure Adopté par les banques françaises et les e-commerçants français et le reste? Depuis octobre 2008, toutes les banques françaises sont 3D Secure. Au niveau européen : 329 banques émettrices et 209 000 marchands avaient adopté 3D Secure. Attention donc aux cartes étrangères non 3D Secure (émises par des banques non 3D Secure) La protection 3D Secure ne s applique pas pour les cas suivants : - paiements récurrents autres que le premier paiement (ex. paiement X fois) - paiements validés manuellement - paiements effectués en mode "TPE virtuel". En effet, l'authentification des porteurs n'étant pas faite simultanément au déclenchement du paiement, celui-ci i ne peut pas bénéficier éfi i de la protection ti 3D-Secure.
L offre de la Caisse d Épargne SPPLUS SPPLUS offre standard Module de paiement sécurisé Les transactions bancaires s'effectuent sur les serveurs sécurisés de la Caisse d'épargne, dont la page de paiement peut être affichée en 8 langues. Les informations commerciales et les informations bancaires sont dissociées. 3D Secure Acceptation des transactions de type e-cb / 3D-Secure avec la garantie de paiement associée Back Office SPPLUS Suivi de l'ensemble des transactions en temps réel, action sur les paiements (validation, annulation, modification du montant) Modes de validation des paiements : manuel, automatique ou semi-automatique Service Assistance / Service Intégration Une équipe compétente pour répondre à vos besoins spécifiques : intégration de SPPLUS, transaction atypique, évolution des besoins,
SPPLUS services étendus TPE virtuel URL sécurisée permettant au commerçant la saisie des coordonnées bancaires de son client et de valider. Solution permettant la multiplicité des points de ventes. OffreMail Le commerçant propose via e-mail le paiement d une prestation : proactivité, rapidité et rentabilité. En cliquant sur le bouton «payer», l internaute est redirigé vers les serveurs sécurisés de la Caisse d Épargne où il paie. Paiement récurent, par abonnement, en 3X sans frais Ces facilités de paiement représentent un avantage pour le client. SP PLUS prend en charge la totalité de la transaction bancaire. Vous n'avez pas à gérer les échéances, SP PLUS le fait pour vous Autres fonctionnalités Saisonnalité, relevé quotidien au format.csv, acceptation de devises étrangères, acceptation des cartes privatives, remboursement CB, Démos et illustrations TPE Virtuel OffreMail Menu d administration SPPLUS Site
Démo TPE Virtuel Le commerçant renseigne : - le type de carte le montant l e-mail du destinataire le mode de validation puis les coordonnées bancaires Démo OffreMail Le commerçant renseigne : - la référence la langue de l interface l e-mail du destinataire la validité de l offre le mode de validation son texte au format texte ou HTML i l d é puis les coordonnées bancaires
Suivi des paiements Suivi en temps réel de l'ensemble des transactions Action sur un paiement : validation, annulation, Une nouvelle solution : SPPLUS Site SPPLUS Site est composé de : Page de paiement personnalisé et hébergé par la Caisse d Épargne + module de paiement SPPLUS www.jepaieenligne.fr/nomducommerçant
QUESTIONS? COMMENTAIRES? Une équipe à votre service philippe.petit@ceapc.caisse-epargne.fr i 05 56 69 59 28 antonio.da-cunha@ceapc.caisse-epargne.fr 05 56 69 59 15 jean-françois.caruso@ceapc.caisse-epargne.fr i f 05 56 69 59 14