PARTENAIRES : E-COMMERCE FRAUDE ET MOYENS DE PAIEMENT : QUELLE STRATÉGIE POUR LES E-COMMERÇANTS? PROGRAMME Première par e État des lieux de la fraude en ligne en Europe et en France > Quels sont les secteurs d acvité les plus touchés par la fraude en ligne? > Quelles sont les différentes habitudes des consommateurs européens dans le choix du mode de paiement en ligne? > Pourquoi la France déent-elle le record européen du taux de fraude? > Quels sont les avantages/inconvénients des principaux ouls d authenficaon? Deuxième par e Le coût total de la fraude en ligne > Quel est le coût de la fraude et comment le mesurer? > Comment arbitrer entre réducon des risques et opmisaon de la conversion? > Comment porter en interne le sujet de la protecon contre la fraude? > Quelles sont les précauons à prendre avant d intégrer un nouveau moyen de paiement sur un site de e-commerce? Intervenants : BECHARGE, Fabrice Rotstein, Administrateur CHAPITRE.COM, Pauline Buzy, Directrice des projets informaques FNAC, Philippe François, Directeur Securité groupe OGONE, Elie Casamitjana, Product Manager ULYS, Cathy Rosalie Joly, Avocate VOYAGES-SNCF.COM, Céline Lambert, Resp. département paiements et lu5e contre la fraude Animateur : MERCHANT RISK COUNCIL, Nicolas Vedrenne, Managing Director Europe 1/8
I - LA FRAUDE EN LIGNE EN EUROPE ET EN FRANCE ETAT DES LIEUX, PAR ELIE CASAMITJANA - OGONE En Europe, les trois principaux marchés du commerce en ligne sont le Royaume-Uni (96,2 milliards d'euros, 14% de croissance), l'allemagne (50 milliards, 17%) et la France (45 milliards, 19%). Selon un sondage réalisé par Ogone en 2013, 10% des e-commerçants français considèrent la fraude comme un problème majeur. Ce sujet est perçu comme étant moins préoccupant en Allemagne ou aux Pays-Bas. Taux de fraude rapporté : - France : 1,4 % - Royaume-Uni : 0,8% - Belgique : 0,6% - Allemagne : 0,6% - Pays-Bas : 0,4% Pour expliquer de tels écarts entre les taux de fraude, nous notons que les habitudes et les préférences des consommateurs par rapport aux moyens de paiement diffèrent selon les pays. Il revient aux instuons de me5re en place des systèmes sécurisés dont la facilité d'ulisaon donne lieu à une adopon massive de la part des internautes. De plus, on constate qu'en foncon de la maturité des marchés, la propension des marchands à invesr dans la protecon contre la fraude varie fortement. Certains secteurs d'acvité sont évidemment ciblés en priorité par les fraudeurs. Il s'agit de se tourner vers des produits facilement revendables ou vers des paniers élevés (voyages, recharges prépayées, produits électroniques, luxe...) C'est l'habitude d'uliser des systèmes de paiement plus risqués qui explique que le taux de fraude dans l'hexagone soit le plus élevé en Europe. En France, 84% des commandes en ligne sont réglées par carte (contre 22% en Allemagne, ou 8% aux Pays-Bas). Le mode d'authenficaon le plus connu est 3-D Secure. 18% des transacons iniées depuis une carte française sont authenfiées avec 3-D Secure (contre 60% en Belgique). Le marchand peut choisir d'u liser systéma quement 3-D Secure pour minimiser les fraudes, ou bien de l'ac ver de manière sélec ve afin d op miser la conversion. 2/8
Il apparaît que 80% des pertes effec ves proviennent de la fraude organisée. Ressentez-vous une pression constante de la part des fraudeurs, que ce soit dans le monde physique ou en ligne? PHILIPPE FRANÇOIS, FNAC Les fraudeurs se rendent aussi bien en magasin que sur le site Internet de la Fnac. Plus les défenses sont bonnes dans une enseigne, plus les fraudeurs seront tentés d'aller voir ailleurs. Tous les acteurs élèvent leur niveau de protecon et, dans ce contexte, il s'agit d'élever ses défenses plus haut que les concurrents. FABRICE ROTSTEIN, BECHARGE Nous sommes bien entendu suscepbles d'être vicmes des fraudes individuelles et organisées, car Becharge n'effectue pas de livraison de produits physiques, mais vend de l'argent (recharges téléphoniques, e-monéque...) Si la fraude unique est assez facilement détectable et évitable, c'est évidemment plus délicat pour un système organisé. Certains membres sont présents sur le site durant de longs mois et effectuent quelques achats classiques, avant de passer subitement à l'acon avec la créaon des centaines profils pour frauder en un très court laps de temps. L'enjeu pour nous est de comprendre les tendances, d'échanger avec les e-marchands afin de nous adapter sans cesse. Aux Etats-Unis, plus de 70 millions numéros de cartes ont été récemment volés via un système très complexe de Spyware. Quelles sont les nouvelles lois européennes en prépara on concernant la protec on des données? CATHY ROSALIE JOLIE, AVOCATE - ULYS Pour une fois, l'europe accuse un certain retard par rapport aux Américains. Une réglementaon adoptée dès le début des années 2000 aux Etats-Unis obligeait les entreprises à nofier les fuites de données. Le connent européen a laborieusement transposé ce5e loi il y a deux ans ; elle ne concerne pour l'heure que les opérateurs de télécommunicaons. Les groupes ennent à se prémunir des fraudes à l'achat (cartes bancaires volées), mais également de l'intrusion dans les systèmes. Face à la hausse de la fraude, notamment autour des numéros de cartes bancaires, la réglementaon se renforce. Elle sera applicable à l'ensemble des intermédiaires de la chaîne (sites marchands, prestataires, banques). 3/8
Aujourd'hui, le système d'informa ons fait l'objet d'une obliga on de sécurité (dont le non-respect est sanconné de 375 000 euros d'amende et de trois ans d'emprisonnement). Le projet de règlement européen, dans sa première mouture publiée en janvier 2012, indiquait que la sancon du défaut de sécurisaon et de noficaon des fuites de données serait de l'ordre de 2% du chiffre d'affaires du groupe. La nouvelle version, publiée en janvier 2013, porte la sanc on à 5% du CA si la base de données et les numéros de cartes bancaires des clients sont hackés. Adoptez-vous une stratégie différente concernant la lupe contre la fraude selon les pays? PAULINE BUZY, CHAPITRE.COM Chapitre vend principalement des ouvrages en langue française et n'est pas vraiment sollicité par les fraudeurs internaonaux. Toutefois, nous avons fait le choix de n'expédier aucun colis vers certains pays où un nombre par culièrement élevé de fraudes a été repéré. CELINE LAMBERT, VOYAGES-SNCF.COM Nous avons établi quatre grands axes de lu5e contre la fraude : 3-D Secure, une soluon de scoring, des reporngs hebdomadaires extrêmement précis et des échanges fréquents avec toutes les entés du groupe. Il s'agit de s'adapter sans cesse aux par cularités des différents pays et surtout de savoir an ciper avant de subir. PHILIPPE FRANÇOIS, FNAC La lu5e contre la fraude doit concerner l'ensemble de l'entreprise. La difficulté, c'est de parvenir à me5re en place dans la durée une structure et des processus suffisamment dynamiques pour s'adapter en permanence à l'évoluon de la fraude. Nous parvenons à industrialiser les moyens de recherche de la "fraude d'opportunité" (ce5e fraude individuelle et unique représente 80% des cas) en plaçant des requêtes ou des filtres dans les systèmes I.T. Par exemple, si un caissier a crédité à plusieurs reprises une même carte bleue, une alerte apparaît. CePe recherche "industrielle" de la fraude a un puissant effet de dissuasion et permet de concentrer les moyens humains vers la fraude plus complexe (20% des cas), qui suppose de vraies inves ga ons. Ce travail de lu5e s'inscrit dans un cadre juridique très strict. Il convient sans cesse de se faire accompagner par la CNIL en procédant à des croisements de données. Au final, l'aspect technologique est essenel. Mais pour qu'il soit véritablement efficace, il doit s'intégrer dans une stratégie globale de lupe contre la fraude qui implique de nombreux acteurs de l'entreprise (DRH, Communicaon interne/externe, I.T., juristes...) 4/8
Avez-vous recours à l ou l d authen fica on 3-D Secure? CELINE LAMBERT, VOYAGES-SNCF.COM Lors de la mise en place de 3-D Secure, il a fallu accompagner les clients durant les trois premiers mois. Désormais, l'habitude est prise et les clients en viennent à s'inquiéter lorsque la phase 3-D Secure n'apparaît pas. Il est en tout cas évident que cet oul contribue à la maîtrise de la fraude. PAULINE BUZY, CHAPITRE.COM Nous avons longuement déba5u en interne pour savoir s'il fallait ou non ajouter ce5e étape dans processus de commande. Chapitre.com a finalement décidé de ne pas recourir à cet oul. Les paniers moyens étant assez peu élevés sur notre site, le risque de baisse de taux de transforma on nous a paru trop important. ELIE CASAMITJANA, OGONE Ce choix dépend en effet des acvités des commerçants, des paniers et des objecfs business. Un marchand qui a des marges faibles comme Becharge et qui fait face à d'importantes tentaves de fraudes va me5re en place tous les ouls pour minimiser le risque. Dans d'autres acvités pour lesquelles les marges sont plus élevées, les e- commerçants vont accepter de courir davantage de risques. Afin d'op miser la conversion, 3-D Secure peut être ac vé uniquement sur les transac ons pour lesquelles un risque significa f a été iden fié par les ou ls. QUESTION DE LA SALLE : Est-ce que le taux de fraude baisse chez un marchand si une stratégie de répression via des poursuites est mise en place? PHILIPPE FRANÇOIS, FNAC Il est assez complexe de me5re en place des soluons en interne ou avec des prestataires pour faire baisser le taux de fraude. Les ouls spécifiques sont onéreux et difficiles à amorr. Il faut également prendre en compte les limites imposées par le droit social et la CNIL. De plus, la coopéraon des autorités internaonales n est pas réellement efficace face aux fraudeurs qui se dissimulent derrière une forme d extra-territorialité permise par le Web. Il faut à tout prix parvenir à se protéger des a5aques déclenchées par des réseaux organisés. Ces groupes constueront une menace considérable dans les années à venir. Les répressions naonales seront alors totalement inefficaces... 5/8
CATHY ROSALIE JOLIE, AVOCATE - ULYS Concernant la fraude interne, l idenficaon doit se faire dans le cadre des éléments qui ont été validés auprès de la CNIL. Trop souvent, les chartes spécifiques mises en place ne sont pas opposables aux salariés si un problème se déclare. Pour disposer de moyens d ac on efficaces en cas de fraude interne, il convient de mener en amont une réflexion sur ces sujets avec les organes représenta fs du personnel. Il est autrement plus difficile de réagir à une a5aque internaonale. Jusqu où est-il possible d aller pour remonter la trace du hacker? Si la menace est idenfiée, encore faut-il que l acon puisse être portée au niveau internaonal... En conclusion, la meilleure protecon contre la fraude (au-delà de la mise en place d ouls techniques dans le respect des réglementaons sociales et pénales), c est d effectuer une bonne classifica on des risques. Il faut impéravement prendre le temps de cartographier le système d informaons. II - LE COÛT TOTAL DE LA FRAUDE EN LIGNE ELIE CASAMITJANA, OGONE Le premier indicateur suivi par les marchands est le coût financier direct : le coût de revient des produits livrés, les amendes infligées par les instuons, le temps passé à gérer les contestaons, etc. Les revenus manqués, difficiles à mesurer, ne sont pas négligeables. Car pour prévenir la fraude, le marchand va me5re en place des filtres perme5ant d idenfier les transacons suspectes. Dans ce cas, le risque est de bloquer les clients non-fraudeurs. Ce5e acon a un impact sur la marge, mais également sur la réputaon du site Internet. Les coûts liés à la préven on sont également à prendre en compte. Pour disposer d un système abou de protecon, il faut invesr d importantes ressources (en capital humain, en technologies internes ou externes...) 6/8
Comment faire prendre conscience en interne de la no on de coût total de la fraude? PHILIPPE FRANÇOIS, FNAC Un comité d éthique a été mis en place afin de réunir toutes les direcons. Certains coûts de sécurité doivent être intégrés en amont dans le développement des systèmes. L enjeu, pour les services Sécurité, c est de se manifester le plus tôt possible dans les projets pour ne pas apparaître comme ceux qui empêchent les choses de se faire. Il faut toujours pouvoir raisonner en interne en terme de R.O.I., en sachant prouver qu une dépense pour lu5er contre la fraude perme5ra de rapporter à l entreprise. De plus, le fait de laisser faire les fraudeurs discrédite le management et a un coût social : la mo va on d un salarié s effondre s il constate les voleurs restent impunis... A l avenir, aura-t-on recours de manière systéma que à l authen fica on biométrique? CATHY ROSALIE JOLIE, AVOCATE - ULYS L acteur qu il convient de rassurer en priorité, c est le consommateur. Dans la réglementaon, ce5e nécessité s est traduite par un allongement des durées de contestaon et d opposion (passant de 120 jours en moyenne en 2009, à 13 mois en 2014). La Banque de France incite à l ulisaon massive de 3-D Secure. Cet oul ne résulte pas de la réglementaon, mais d accords conclus entre les banques et les éme5eurs de cartes. On assiste à l émergence de technologies complémentaires pour sécuriser la transacon. Se posent dès lors des quesons liées à la nature des données (empreintes digitales, iris, empreinte vocale...) et à leur pérennité. Puisqu il n existe pas encore d autorité européenne de protecon des données, il faudra obtenir les autorisaons dans chacun des pays. QUESTION DE LA SALLE : De nouveaux acteurs apparaissent sur le marché du paiement. Comment peuvent-ils s intégrer dans la ges on de la fraude? CELINE LAMBERT, VOYAGES-SNCF.COM Je pense que le problème de la fraude est bien pris en compte par ces nouveaux acteurs. Pour la SNCF, ce5e capacité à anciper les risques fera pare des critères de choix d un nouveau moyen de paiement. Il devra obligatoirement émaner d un établissement bancaire connu. Ces changements dans les usages me paraissent bénéfiques pour les parcours clients et la lu5e contre la fraude. 7/8
FABRICE ROTSTEIN, BECHARGE Becharge cherche à intégrer le plus grand nombre possible de moyens de paiement. Nous sommes par exemple en discussion avec Paylib, qui compte actuellement 100 000 ulisateurs. Il faut rester ouvert, car le monde du Web est en constante évoluon et les consommateurs sont sans cesse à la recherche des nouveautés. CATHY ROSALIE JOLIE, AVOCATE - ULYS Le e-commerçant doit toujours se préoccuper de la provenance des services de paiement. Pour être intégré sur une plateforme, un moyen de paiement doit être fourni par une banque, un établissement de monnaie électronique ou un établissement de paiement. Si elle n apparent pas un de ces trois prestataires, la soluon de paiement n est pas encadrée ni régulée par la Banque de France (ou son équivalent à l étranger). 8/8