La Fevad s'inquiète de l'abus d'authentification forte dans le e-commerce

Depuis deux ans, des dispositifs comme 3D-Secure et les outils d’analyse du risque ont permis de faire baisser le taux de fraude sur la vente à distance. (Crédit : Negativespace CC)

Depuis deux ans, des dispositifs comme 3D-Secure et les outils d’analyse du risque ont permis de faire baisser le taux de fraude sur la vente à distance. (Crédit : Negativespace CC)

Des règles applicables au commerce en ligne que l'autorité bancaire européenne (EBA) est en train d'élaborer proposent de mettre en place une authentification forte des cyber-acheteurs pour tout paiement supérieur à 10 euros. Des restrictions vues d'un mauvais oeil par les professionnels du secteur redoutant qu'elles pèsent inutilement sur le développement de la vente en ligne.

Alors que les ventes en ligne ne cessent de progresser en France - 17 milliards d'euros au 3e trimestre, en hausse de 12% sur un an - la Fevad attire l'attention sur des propositions de règles européennes qui, si elles étaient adoptées, pourraient avoir un impact « particulièrement négatif » sur le développement des achats sur Internet, estime la fédération du commerce électronique et de la vente à distance. Il s'agit de dispositions techniques (Regulatory Technical Standards, RTS), complémentaires à la directive sur les services de paiement (DSP2) et qui portent sur l'authentification forte des cyber-acheteurs. En proposant cette dernière pour tout paiement supérieur à 10 euros, le texte que l'autorité bancaire européenne (EBA) a soumis à consultation publique jusqu'au 12 octobre dernier « s'éloigne très sensiblement des orientations prévues par la DSP2 », alerte la Fevad avec de nombreux autres acteurs du commerce en ligne en Europe.

AdTech Ad Ce que pointe ici l'organisation professionnelle française, c'est un recours disproportionné à l'authentification forte, qui ne tient pas compte du niveau de risque lié au service fourni. A travers le système 3D-Secure (cf le rapport 2015 de l'OSCP/Banque de France), elle est déjà en place depuis 10 ans. « Nous sommes pour cette authentification forte », nous a rappelé Bertrand Pineau, responsable de l'innovation, du développement et de la veille à la Fevad, chargé de la commission Paiement, monétique et fraude. « Le problème, c'est qu'elle soit systématique alors qu'il y a de nombreux contextes où elle ne s'applique pas et où il est carrément aberrant de l'exiger », explique-t-il en soulignant qu'au-delà de 10 euros, cela concernerait quasiment tous les paiements. « Nous ne comprenons pas pourquoi ce texte est si restrictif ». Les professionnels du secteur alertent donc les autorités et les parties prenantes sur ce point afin que les législateurs européens puissent, en temps utile, amender ce texte qui ne devrait être appliqué par les régulateurs nationaux qu'à partir de 2018.

25% des paniers abandonnés à cause de lenteurs d'authentification

Grâce aux dispositifs déjà mis en place, tant 3D-Secure que technologies d'analyse du risque, on est parvenu à maîtriser la fraude à la carte bleue. « Les outils commencent à porter leurs fruits, le taux de fraude sur la vente à distance est en baisse depuis 2 ans en pourcentage et en volume », nous a confirmé Bertrand Pineau. « On ne comprend pas pourquoi le texte des RTS sur les modalités de la sécurité des paiements est si restrictif ». Dès septembre, la Fevad a donc, avec la fédération européenne Ecommerce, souligné dans une étude (*) qu'il avait une meilleure alternative à l'authentification forte qui peut s'avérer restrictive et trop lourde. Les professionnels de la banque, du numérique et de l'e-commerce préconisent plutôt une approche mixte dite « par les risques » (les anglo-saxons parlent de « targeted authentification ») qui tient compte des risques associés à chaque transaction. Cette approche mixte « passe par une analyse comportementale », décrit Bertrand Pineau. En fonction de cette analyse de risque, du scoring obtenu, la transaction est associée, ou pas, à une authentification forte.

Dans un communiqué, Marlene ten Ham, secrétaire générale d'Ecommerce Europe, estime que c'est la seule méthode viable pour sécuriser une expérience d'achat sûre et sans couture pour les consommateurs. « Aujourd'hui, 25% des abandons de paniers d'achat résultent de processus d'authentification pesants. Cela entraîne un impact négatif important pour les e-commerçants », pointe-t-elle. Alors qu'il est prouvé que, dans certains cas vérifiés, l'authentification mixte pourrait augmenter les taux de conversion de façon significative, jusqu'à 70%.

(*) avec d'autres acteurs du numérique et de la banque : Edima, Epif, Choice in eCommerce et CCIA. L'association Ecommerce fédère au niveau européen les associations de commerce électronique.

s'abonner
aux newsletters

suivez-nous

Publicité

Derniers Dossiers

Cyberattaques : ces ransomwares qui terrassent les hôpitaux

Cyberattaques : ces ransomwares qui terrassent les hôpitaux

Pour contrer les cyberattaques, en particulier les ransomwares, les établissements de santé s'organisent, de la mise en place d'outils de cybersécurité - avec des sauvegardes...

Publicité