3D Secure, un protocole qui a atteint la maturité 1
Opportunité = Risque Le commerce électronique connaît une croissance sans précédent, alimentée par plus d un milliard de clients mobiles. Parallèlement à cette croissance, les fraudes en matière de commerce électronique et la pression pour trouver des modes de paiement alternatifs sont également en forte hausse. Pour rester compétitif, vous devez tirer parti de cette opportunité et gérer tous les types, tout en offrant une expérience client sans faille. 1,4 milliard de smartphones sont utilisés à travers le monde 1. Le commerce électronique représente 1 713 milliards $ et ce chiffre ne fait qu augmenter 2. La fraude CNP représentait 2,9 milliards $ en 2014 ; ce chiffre devrait doubler d ici 2018 3. Les modes de paiement alternatifs continuent de se développer ; ils devraient représenter 59 % de l ensemble des transactions en ligne en 2017 4. 1 Rapport Fierce Wireless : «Global Smartphone Penetration to Jump 25% in 2014, led by Asia-Pacific», 11 juin 2014. 2 Taxamo, «E-Services Boom Leading to E-Wallet Transactions Surge», 10 mars 2014. 3 Payments Cards & Mobile, «Alternative Payments to Overtake Credit and Debit Card Payments Globally», 22 janvier 2014. 4 Aite, «Card-Not-Present Fraud in a Post-EMV Environment: Combating the Fraud Spike», juin 2014. 2
Lutte contre la fraude avec carte présente (CP) Il y a quelques années de cela, Visa a annoncé son projet de feuille de route visant à encourager le passage, pour l ensemble des cartes de paiement, de la technologie par bande magnétique à la technologie à puce EMV. Des projets similaires ont par la suite été mis en œuvre par MasterCard, Discover et American Express. Ces feuilles de route clarifiaient le calendrier de mise en œuvre de cette transition, ainsi que les pénalités encourues pour ceux qui ne s y conformeraient pas. Pour la conversion des systèmes de point de vente, les quatre principaux réseaux américains ont décidé la mise en place de quatre jalons communs, indiqués ci-dessous : À compter du 1 er octobre 2015, un transfert de responsabilité a lieu pour les cartes contrefaites ; désormais, les organisations ayant investi dans le déploiement EMV sont protégées contre toute responsabilité financière en cas de pertes découlant d une contrefaçon avec carte présente (CP, Card-Present). Avec la mise en application de ce transfert de responsabilité pour fraude commerciale, des millions de cartes à puce ont été émises pour les clients américains et des millions de terminaux et de distributeurs de billet (ATMS) compatibles EMV ont été installés. 10/2012 Exonération de l obligation de validation PCI en cas de conversion rapide 04/2013 Obligation d acquisition pour le commerçant 10/2015 Transfert de responsabilité en cas commerciale 10/2017 Transfert de responsabilité pour les stations-service Mais quel est le rapport entre la migration vers les cartes à puce EMV au niveau mondial et le commerce électronique? 3
Évolution de la fraude à la suite de la migration EMV Depuis la mise en œuvre des systèmes EMV, les pertes dues à la fraude par carte contrefaite ont diminué de plus de 63 %. En revanche, les cas avec carte non présente (CNP, Card-Not-Present) ont augmenté de façon spectaculaire. Royaume-Uni Australie France 63 % d augmentation Presque immédiatement après que les banques du Royaume-Uni ont commencé à accélérer les émissions EMV en 2004, le pays a pu observer une véritable réduction des fraudes par contrefaçon de carte, mais avec en parallèle une augmentation de l activité dans la catégorie CNP. Sur la base des observations dans cette région et ailleurs dans le monde, une tendance apparaît : après la migration vers les cartes à puce, les fraudes par contrefaçon et perte ou vol de carte diminuent, avec dans le même temps une recrudescence des fraudes CNP, à mesure que les criminels recherchent de nouvelles méthodes pour exploiter les comptes bancaires. 4
Tendances de la fraude à la suite de la migration EMV Depuis la mise en œuvre des systèmes EMV, les pertes dues à la fraude par carte contrefaite ont diminué de plus de 63 %. En revanche, les cas avec carte non présente (CNP, Card-Not-Present) ont augmenté de façon spectaculaire. Royaume-Uni Australie France 39 % d augmentation L émission de cartes en Australie a été stimulée par des mesures d incitation pour les organismes émetteurs, à compter de 2004, lorsqu a été établie la date définitive de transfert de responsabilité pour 2006. Ainsi, alors que ces nouvelles cartes connaissaient un taux d adoption rapide élevé, la fraude CNP a enregistré un taux de croissance annuelle composé (CAGR) de 39 %. Sur la base des observations dans cette région et ailleurs dans le monde, une tendance apparaît : après la migration vers les cartes à puce, les fraudes par contrefaçon et perte ou vol de carte diminuent, avec dans le même temps une recrudescence des fraudes CNP, à mesure que les criminels recherchent de nouvelles méthodes pour exploiter les comptes bancaires. 5
Tendances de la fraude à la suite de la migration EMV Depuis la mise en œuvre des systèmes EMV, les pertes dues à la fraude par carte contrefaite ont diminué de plus de 63 %. En revanche, les cas avec carte non présente (CNP, Card-Not-Present) ont augmenté de façon spectaculaire. Royaume-Uni Australie France 25 % d augmentation Premier pays à avoir adopté les cartes à puce pour les paiements, au début des années 1990, la France a eu la chance de pouvoir s adapter à l évolution des tendances en matière. Et même dans ce cas, la fraude CNP a présenté un taux CAGR de 25 %. Sur la base des observations dans cette région et ailleurs dans le monde, une tendance apparaît : après la migration vers les cartes à puce, les fraudes par contrefaçon et perte ou vol de carte diminuent, avec dans le même temps une recrudescence des fraudes CNP, à mesure que les criminels recherchent de nouvelles méthodes pour exploiter les comptes bancaires. 6
Il est temps d améliorer la sécurité des paiements en ligne Si nous examinons l histoire des migrations EMV, il apparaît clairement que la fraude au niveau du commerce électronique est une problématique que les émetteurs de cartes ne peuvent pas ignorer. Étant donné que les fraudeurs se tournent de plus en plus vers le commerce en ligne du fait de la prolifération des systèmes EMV et que le volume global de transactions sur ce circuit augmente rapidement, il devient essentiel, pour l ensemble des acteurs de la chaîne de valeur du secteur des paiements, de mettre en place une sécurité robuste et des stratégies permettant de gérer les risques CNP. Les commerçants, les responsables de passerelles et autres parties impliquées doivent tous améliorer le niveau de protection des données des transactions en ligne et investir dès aujourd hui dans des solutions plus efficaces. Client Commerçant Fournisseur/ Acquéreur du commerçant Schémas Émetteur Bien que tous ces acteurs jouent un rôle important, les émetteurs de cartes sont en première ligne pour combattre la fraude sans carte présente (CNP). 7
Obstacles à l adoption de 3D Secure Certaines personnes se souviennent encore des débuts de 3D Secure. Bien que très robuste et efficace du point de vue de la sécurité, la solution 3D Secure générait trop de frictions dans le processus de paiement et dégradait l expérience client en raison d un processus d enregistrement à la fois lourd, long et confus. Il en résultait des abandons de transaction accrus, une perte d activité pour le commerçant et une perte d échange pour l émetteur. L objectif, au départ, était d améliorer la sécurité des achats en ligne et de mettre en place une expérience 3D Secure. Après le lancement initial, l importance de créer une expérience client exceptionnelle s est imposée comme une composante essentielle d une solution de sécurité de paiement viable, comme l indiquait le degré d adoption de 3D Secure par les commerçants. Ceux-ci préféraient prendre le risque d un remboursement plutôt que d utiliser le service 3D Secure et de perdre complètement la vente. Ces obstacles ont permis d établir un nouvel objectif clair : les émetteurs, les commerçants et les titulaires de carte souhaitaient tous une expérience d achat en ligne simple et sûre, il suffisait donc de trouver le juste équilibre. 8
Désormais 3D Secure surpasse les attentes Aujourd hui, le service 3D Secure a atteint sa masse critique et continue à croître, offrant une opportunité de taille pour les émetteurs de cartes. La solution 3D Secure est désormais plus sophistiquée et fournit aux émetteurs des données uniques sur les habitudes d achat en ligne des clients, notamment l emplacement du périphérique, l URL du commerçant, la vitesse de connexion, etc. En appliquant des outils d analyse avancés, les émetteurs peuvent tirer parti de ces données aux fins suivantes : Mieux identifier les fraudes et réduire le nombre de transactions concernées Améliorer l expérience client et créer une valeur ajoutée pour les émetteurs Fournir des informations sur les utilisateurs, qui permettent aux émetteurs d en savoir plus sur les clients En d autres termes, en associant des outils d analyse avancés à la dernière génération 3D Secure, les émetteurs peuvent améliorer flexibilité et contrôle pour permettre une exécution fluide des transactions les plus complexes. Comment est-ce que cela fonctionne? 9
Approche de sécurité multicouche de CA Technologies Les solutions de sécurité des paiements proposées par CA Technologies aident les émetteurs de cartes à surmonter les obstacles de leur activité en offrant aux titulaires de carte une authentification sans intervention. En migrant vers une solution employant un programme 3D Secure flexible et dynamique et des modèles d authentification 3D Secure par réseau neuronal pour une évaluation continue basée sur les risques, les émetteurs peuvent combattre plus efficacement les fraudes liées au commerce électronique sans altérer l expérience d achat en ligne des clients. En savoir plus sur CA Security : Imaginons un scénario dans lequel un titulaire de carte de paiement ne peut pas être identifié avec précision, ce qui génère un indice de risque plus élevé pour la transaction. Dans ce cas, une méthode idéale pour une authentification forte est d identifier avec exactitude le titulaire de carte en temps réel. La combinaison de ces trois solutions de sécurité des paiements de CA Technologies peut aider les émetteurs à lutter plus efficacement contre la fraude liée au commerce électronique, accroître leurs revenus, réduire le coût des opérations par carte et améliorer l expérience d achat en ligne globale des clients, simultanément. CA Transaction Manager CA Risk Analytics CA Strong Authentication for Payments 10
L approche de sécurité multicouche de CA Technologies Les solutions de sécurité des paiements proposées par CA Technologies aident les émetteurs de cartes à surmonter les obstacles de leur activité en offrant aux titulaires de carte une authentification sans intervention. En migrant vers une solution employant un programme 3D Secure flexible et dynamique et des modèles d authentification 3D Secure par réseau neuronal pour une évaluation continue basée sur les risques, les émetteurs peuvent combattre plus efficacement les fraudes liées au commerce électronique sans altérer l expérience d achat en ligne des clients. En savoir plus sur CA Security : Imaginons un scénario dans lequel un titulaire de carte de paiement ne peut pas être identifié avec précision, ce qui génère un indice de risque plus élevé pour la transaction. Dans ce cas, une méthode idéale pour une authentification forte est d identifier avec exactitude le titulaire de carte en temps réel. La combinaison de ces trois solutions de sécurité des paiements de CA Technologies peut aider les émetteurs à lutter plus efficacement contre la fraude liée au commerce électronique, accroître leurs revenus, réduire le coût des opérations par carte et améliorer l expérience d achat en ligne globale des clients, simultanément. CA Transaction Manager CA Risk Analytics CA Strong Authentication for Payments CA Transaction Manager permet aux émetteurs d offrir un programme 3D Secure flexible aux titulaires de cartes. Elle permet de se conformer totalement aux programmes d authentification des porteurs de carte Verified by Visa, MasterCard SecureCode, JCB J/Secure, American Express SafeKey et Discover/Diners ProtectBuy. CA Transaction Manager s adresse aux agences bancaires, aux banques internationales, aux prestataires de services et aux organismes de traitement qui proposent des services de gestion de cartes. L architecture flexible de la solution facilite son intégration avec les systèmes existants des émetteurs de cartes, tels que les systèmes de banque à distance et de gestion des fraudes, et constitue une base sur laquelle ajouter des fonctions avancées d analyse des risques afin de mettre en place une authentification sans intervention. 11
L approche de sécurité multicouche de CA Technologies Les solutions de sécurité des paiements proposées par CA Technologies aident les émetteurs de cartes à surmonter les obstacles de leur activité en offrant aux titulaires de carte une authentification sans intervention. En migrant vers une solution employant un programme 3D Secure flexible et dynamique et des modèles d authentification 3D Secure par réseau neuronal pour une évaluation continue basée sur les risques, les émetteurs peuvent combattre plus efficacement les fraudes liées au commerce électronique sans altérer l expérience d achat en ligne des clients. En savoir plus sur CA Security : Imaginons un scénario dans lequel un titulaire de carte de paiement ne peut pas être identifié avec précision, ce qui génère un indice de risque plus élevé pour la transaction. Dans ce cas, une méthode idéale pour une authentification forte est d identifier avec exactitude le titulaire de carte en temps réel. La combinaison de ces trois solutions de sécurité des paiements de CA Technologies peut aider les émetteurs à lutter plus efficacement contre la fraude liée au commerce électronique, accroître leurs revenus, réduire le coût des opérations par carte et améliorer l expérience d achat en ligne globale des clients, simultanément. CA Transaction Manager CA Risk Analytics CA Strong Authentication for Payments CA Risk Analytics évalue en temps réel et de manière transparente le risque d une transaction en ligne au cours de la phase d authentification. La solution identifie les transactions légitimes et autorise la plupart des acheteurs à poursuivre leurs achats sans être dérangés. À l aide d une analyse avancée et élaborée, d un modèle de réseau neuronal du comportement et d un ensemble souple de règles dynamiques, la solution examine les transactions passées et actuelles, les caractéristiques du périphérique, les coordonnées géographiques, le comportement de l acheteur et des données historiques pour évaluer le risque. L indice de risque ainsi obtenu permet alors à vos règles de déterminer s il faut autoriser la transaction, demander une authentification forte, envoyer une alerte ou refuser la transaction. Un système complet de gestion des cas permet d accéder immédiatement aux données ; des analystes et conseillers clientèle peuvent ainsi classer les dossiers par ordre de priorité et réagir en conséquence, sonder les données et gérer les alertes. 12
L approche de sécurité multicouche de CA Technologies Les solutions de sécurité des paiements proposées par CA Technologies aident les émetteurs de cartes à surmonter les obstacles de leur activité en offrant aux titulaires de carte une authentification sans intervention. En migrant vers une solution employant un programme 3D Secure flexible et dynamique et des modèles d authentification 3D Secure par réseau neuronal pour une évaluation continue basée sur les risques, les émetteurs peuvent combattre plus efficacement les fraudes liées au commerce électronique sans altérer l expérience d achat en ligne des clients. En savoir plus sur CA Security : Imaginons un scénario dans lequel un titulaire de carte de paiement ne peut pas être identifié avec précision, ce qui génère un indice de risque plus élevé pour la transaction. Dans ce cas, une méthode idéale pour une authentification forte est d identifier avec exactitude le titulaire de carte en temps réel. La combinaison de ces trois solutions de sécurité des paiements de CA Technologies peut aider les émetteurs à lutter plus efficacement contre la fraude liée au commerce électronique, accroître leurs revenus, réduire le coût des opérations par carte et améliorer l expérience d achat en ligne globale des clients, simultanément. CA Transaction Manager CA Risk Analytics CA Strong Authentication for Payments CA Strong Authentication for Payments est un service Cloud qui offre un vaste choix de méthodes d authentification. Il propose plusieurs options d authentification mobile, notamment les notifications Push, les mots de passe à usage unique (OTP) via SMS/ courriel et une application OTP mobile. Les émetteurs de cartes ont ainsi la liberté de choisir la méthode d authentification forte qui leur convient le plus, en fonction des besoins et du confort pour leurs clients. 13
Avantages de CA Technologies Outre ses technologies de pointe, la société CA Technologies met aussi son expérience au service des émetteurs de cartes, afin de les aider à réduire de manière significative les fraudes liées aux transactions de commerce électronique tout en satisfaisant les titulaires de carte, grâce à une expérience d achat en ligne agréable. Nous avons coécrit l ouvrage sur le protocole 3D Secure, afin de mettre au point une méthode efficace pour lutter contre la fraude au paiement. Nous exerçons notre activité depuis 2000, précédemment sous le nom d Arcot. Le service Cloud est hébergé dans des data centers redondants, sécurisés et conformes à la norme SSAE-16 SOC1 de type II. Chaque année, nous faisons valider notre conformité aux normes de sécurité des données PCI (Payment Card Industry) et aux programmes 3D Secure. Les solutions de sécurité des paiements proposées par CA Technologies font gagner sur les deux tableaux, en offrant une réduction significative des fraudes et une expérience client agréable, pour la majorité des titulaires légitimes de cartes. Pour en savoir plus sur les solutions de sécurité des paiements de CA Technologies, visitez le site ca.com/fr/payment-security. 14
Pour en savoir plus sur les solutions de sécurité des paiements de CA Technologies, visitez le site ca.com/fr/payment-security. CA Technologies (NASDAQ : CA) fournit les logiciels qui aident les entreprises à opérer leur transformation numérique. Dans tous les secteurs, les modèles économiques des entreprises sont redéfinis par les applications. Partout, une application sert d interface entre une entreprise et un utilisateur. CA Technologies aide ces entreprises à saisir les opportunités créées par cette révolution numérique et à naviguer dans «l Économie des applications». Grâce à ses logiciels pour planifier, développer, gérer la performance et la sécurité des applications, CA Technologies aide ainsi ces entreprises à devenir plus productives, à offrir une meilleure qualité d expérience à leurs utilisateurs, et leur ouvre de nouveaux relais de croissance et de compétitivité sur tous les environnements : mobile, Cloud, distribué ou mainframe. Pour en savoir plus, rendez-vous sur ca.com/fr. Copyright CA 2015. Tous droits réservés. Ce document est uniquement fourni à titre d information et ne constitue nullement une garantie de quelque nature que ce soit. Tous les noms et marques déposées, dénominations commerciales, ainsi que tous les logos référencés dans le présent document demeurent la propriété de leurs détenteurs respectifs. *CA ne fournit pas d assistance juridique. Ni ce document ni aucun produit logiciel CA référencé dans le présent document ne peuvent être substitués à l obligation du lecteur de respecter la législation en vigueur, notamment sous forme de loi, règlement, réglementation, règle, directive, norme, mesure, politique, instruction administrative, décret-loi, ou autre (désignés collectivement sous le nom de «Lois»), évoquée dans le présent document. Le lecteur doit consulter un conseiller juridique compétent pour toute information concernant lesdites Lois. CS200-157384 15