1 le e-commerce et la sécurisation des paiements sorbonne jacques schuhmacher – 28 novembre 2006
TRANSCRIPT
1
Le E-Commerce et la sécurisation des
paiements
SORBONNE
Jacques SCHUHMACHER – 28 novembre 2006
2
LE CONTEXTE De nouvelles façons de vivre… Plus de mobilité
Eclatement des familles et dispersion dans le monde Précarité non synonyme d’exclusion usage universel des moyens de paiement modernes Plus d’expertise technologique dans le monde citoyen, professionnel et privé (MP3, Internet, SMS, déclaration impôts on
line…) Une relation participative (Forum, wikis, …) Délinquance « high tech »
…Vont changer le métier bancaire
Adapter nos services à ces nouvelles attentes
Nouveau canaux de distribution ( mobile, PDA, Internet,…) Offres plus diversifiées ( l’interbancarité va évoluer) adaptées à des conditions de vie différentes
( exemple : + de 60 types de carte VISA)
Extensions à un panel d’usages beaucoup plus importants ( aide à la personnes, fidélité, …) Prendre le train de la dématérialisation Prendre une dimension européenne, intégrer les évolutions du SEPA Tout en conservant un niveau de sécurité optimum
( les nouvelles technologies sont le terrain d’une nouvelle délinquance )
3
Une mutation y compris dans les
risques….
les nouvelles technologies sont le terrain d’une nouvelle délinquance
4
Impact sur les Métiers de la Chaîne de Valeur
ACTIVITEBANCAIRE
VIE COURANTE
Modernisation de l’offre bancaire
Maîtrise de ces plates-formes
CaptationQui, quoi, combien ?
SuiviTransformationEn Débit/crédit
5
Un constat partagé
LES PROJETS MONETIQUES ACTUELS DE 42 BANQUES ( monde)Sondage : EFMA - EDGAR DUNN – Septembre 2005
6
Les Typologies de paiement
Trois catégories :
Les petits montants (identification)
Les montants moyens ( authentification)
Les gros montants (signature)
7
Les Typologies de moyens de
paiement
Deux catégories :
Les moyens de paiement existants éventuellement adaptés
Les nouveaux moyens de paiement
8
Les acteurs
4 catégories :
Les acheteurs
Les vendeurs
Les acquéreurs ( banques ou autre)
Les Banques
Chacun induit son niveau de risque sécuritaire
9
L’EVOLUTION DE L’INTERNETL’EVOLUTION DE L’INTERNET
10
Deux problèmes principaux
Le problème des délais de livraison Est devenu le problème n° 1 aux dires mêmes des commerçants
Pourquoi ? Problème de logistique chez les e-commerçants ?
Problème de fiabilité au niveau de La Poste ?
La loi sur l’économie numérique rend juridiquement responsable le commerçant en cas de non-livraison !
Le problème de la sécurisation des paiements Pour les internautes: 32 % des internautes refusent de donner leur
numéro de carte sur Internet
Pour les commerçants: de multiples types de fraude à éviter
11
Fondement de notre action:
la loi sur la sécurité quotidienne
Article 1er: la sécurité est un droit fondamental(Loi n° 2001-1062 du 15 novembre 2001 art. 34 Journal Officiel du 16
novembre 2001)
12
Article L132-2 (Loi n° 2001-1062 du 15 novembre 2001 art. 34 Journal Officiel du 16 novembre 2001)
La responsabilité du titulaire d'une carte n'est pas engagée si le paiement contesté a été effectué frauduleusement, à distance, sans utilisation physique de sa carte… => Importance de sécuriser et d’authentifier vos clients
Un droit très protecteur pour les internautes:
La loi sur la sécurité quotidienne
13
Les attentes
Les e-acheteurs veulent se protégerSuis-je sûr du commerçant ?Qui va être en possession de mon numéro de CB ?
Les non e-acheteurs égalementPersonne d’autre que moi doit pouvoir utiliser ma carte en proximité et sur Internet ?
Les commerçants aussi Eviter les impayésDisposer de souplesseTemps réel
Et les Banques….
14
Les types de fraudeurs
Les resquilleurs
Les justiciers
Les usurpateurs
Les trafiquants
Les gangs
Les destructeurs
AUJOURD’HUI LE COMM
ERCANT
EST « + OU – » VULNERABLE FACE A
TOUTES CES FRAUDES
15
Comment réagir à la fraude ?
HONNETES
REPRESSION
PRECAUTION
CONTROLE
16
Les solutions sur le marché
Les systèmes basés sur des mots de passe statiques
Les lecteurs de cartes (Cybercomm)
Le cryptogramme visuel (CVV2)
L’E Carte Bleue
Les assureurs
Les cartes pré-payées (micro-paiement)
Le paiement par mobile
Les puces intégrées dans les PC («Trust Computing Group »)
17
Les facteurs-clés de succès
RESTER SIMPLE POUR L’USAGER
Pas de logiciel ni de matériel spécifique à installer, rapide, rassurant
COUT RAISONNABLE POUR LES 3 ACTEURS (COMMERCANT, CLIENT, BANQUE)
GARANTIE DE PAIEMENT POUR LES COMMERCANTS
SECURITE PAR MOT DE PASSE DYNAMIQUE (Recommandation BDF/MEN)
CONFORMITE AUX STANDARDS INTERNATIONAUX
18
3DSecure (Verified by VISA)
La confiance passe par l’émergence de systèmes internationaux : VbV et Mastercard Secure Code
Les principes de la vérification par VISA: La banque émetteur devient responsable du contrôle des paiements
Le paiement est garanti
Comment ça marche ? Le commerçant appelle un annuaire VISA
Grâce au numéro de la carte,VISA appelle la banque de l’internaute
La banque de l’internaute demande à son client de s’authentifier
Chaque banque reste libre de son système d’authentification
Id-tronic est notre système d’authentification forte des internautes
19
2 IMPERATIFS
Disposer d’un système d’authentification tous canaux
Etre averti lorsque qu’un porteur utilise sa carte Par nos propres systèmes
Par des dispositifs de surveillance
20
•LA MOITIE DU NUMERO SUR INTERNET
•LA MOITIE DU NUMERO PAR TELEPHONE FIXE OU MOBILE
Secret Plus: comment ça marche ?
21
Exemple : sondage utilisateurs Secret +1er achat avec Secret + 52%
Intention de réutilisation 100%
Intention de recommandationdont déjà fait
94%
51%
Participation à la confiance
Important
Comme un autre
Moins important
60%
40%
0%
Utilisateurs potentiels du 3 fois sans frais ( avec Secret + ) 55%
Secret + différencie un commerçant de sa concurrence 64%
Si Secret + n’est plus présent sur un site marchand
Je paierais par CB
J’utiliserais le chèque
J’achèterais moins
34%
22%
44%
Certains consommateurs ont besoin de sécurité
22
NOTRE SOLUTION
D’AUTHENTIFICATION
Avec Id Tronic, nous avons construit une base de données centralisée de connaissance clientpermettant d’identifier une personne à tout momentetde lui apporter une ensemble de services
23
ID TRONIC Base d’un ensemble de services
+ 1 MOBILE
}UN POTENTIEL DE
SERVICESA
DISTANCE ET
EN PROXIMITEB2B & B2C
1 INDIVIDU
+ DES DONNEESPERSONNELLESET BANCAIRES
+ 1 CERTIFICAT
24
Id Tronic utilisable à trois niveaux de sécurité selon les
besoins et les enjeuxIdentification :
Ce que je possède ou ce que je sais prouve que je suis Mr X.
Opérations de petits montants ou de faibles enjeux
Particuliers
Authentification « forte » :
Ce que je possède et ce que je sais prouvent que je suis Mr X.
Transactions de montants moyens.
Vente et/ou opérations dans des processus de gré à gré( ex. bon de cde, bon de livr.)
Particuliers
Professionnels
Associations
Entreprises
Notarisation (Signature électronique) :
Par un processus homologué reconnu, je prouve que je suis Monsieur X auprès d’un tiers de confiance et je signe des documents contractuels.
Opérations de gros montants ou à fort enjeux.
Processus ou opérations où GCE est tiers de confiance.
Contractualisation en ligne.
Professionnels
Associations
Collectivités Entreprises
FONCTIONS USAGES CIBLES
25
AUTHENTIFICATION
ID TRONIC s’appuie sur le principe classique de l’authentification :
« Je prétend auprès de la CE être Mr X à l’aide d’un identifiant et je le prouve en relevant un
challenge que me lance la CE et que je suis seul à pouvoir relever par ce que je sais et ce que je possède »
USER ID + MOT DE PASSE DYNAMIQUE
L’identifiant ID TRONIC peut être une données personnelle de
l’usager :
Email, numéro (numéro d’abonné ou numéro de carte),…
Le challenge ID TRONIC
il faut recopier un mot de passe dynamique ( calculé au moment de l’authentification ) et envoyé sur le téléphone mobile de l’authentifié par SMS ( ce que je possède : mon téléphone, ce que je sais : mon code carte SIM)
D’autres solutions sont possibles, mais il est clair qu’aujourd’hui nous avons un déploiement
de 45 millions de mobiles propice à une extension rapide de l’usage d’ID TRONIC.
26
Diverses applications sollicitent ID TRONIC
Plate forme ID TRONIC
REQUETES
IDENTIFICATIONSIGNATURE
ELECTRONIQUEAUTHENTIFICATION
Backoffice
SécuritéPSP
3D SECURE BAD
Commerce
27
Plusieurs raisons de s’identifier
Services BAD et protection CB (clients)
Services deproximité
Services à distance
Id Tronic peut séduire
Soit en renforçant la sécurité
Soit en permettant l’accès pratique et confortable
à de nouveaux services
28
Quelques démonstrations
Accès à des informations privées
3D SECURE
Paiement avec ID TRONIC
29
En conclusion
Les précautions françaises ont eu un impact positif
Les clients souhaitent se protéger même s’ils ne portent pas le risque
Cela ne nous dispense pas de passer à une phase de contrôle, facultative puis obligatoire (comparable modèle puce) et disponible au niveau mondial
Plus la solution est simple et peu couteuse, plus l’adhésion est forte. Les solutions seront nécessairement pratiques et ouvertes, bâties sur des concepts fédérateurs forts parce que simples et internationaux
30
En conclusion
Environ 45% des acheteurs sur nos sites utilisent un processus de sécurisation de leur transaction
Les difficultés sont les mêmes que pour toutes innovations
Satisfaire un panel de profil consommateurs de plus en plus largeSuivre l’évolution des comportementsClarifier les messages consommateurs et commerçants sur des problématiques nouvellesSavoir que nous trouverons pas tout du premier coupFaire évoluer les comportements Faire évoluer la juridiction Anticiper et suivre les évolutions ( nouvelles technologies, CNIL,…)
31
Site
Marchand
ClientClient
CommerçantCommerçant
Banque Client
VERIFICATION VISA (VbV-3D SECURE)
?
OK
LE CLIENT CONFIRMEPAR UNE METHODE PROPREA CHAQUE BANQUE EMETTEUR
OK
BanqueCommerçant
32
La mise en oeuvre de 3D Secure
61 pays l’ont mis en place, representant 99% du e-commerce global.55 000 marchands dont 28 000 en Europe.Les transactions “3D Secure” représentent d’ores et déjà 10 % des flux internationaux.
33
Les précautions françaises ont eu un impact positif
Cela ne nous dispense pas de passer à une phase de contrôle, facultative puis obligatoire (comparable modèle puce) et disponible au niveau mondial
Les solutions seront nécessairement pratiques et ouvertes, bâties sur des concepts fédérateurs forts parce que simples et internationaux
Environ 10% des acheteurs sur nos sites utilisent un processus de sécurisation ou de précaution
Les difficultés sont les mêmes que pour toutes innovations
Satisfaire un panel de profil consommateurs de plus en plus largeClarifier les messages consommateur et commerçants sur des problématiques nouvellesSavoir que nous trouverons pas tout du premier coupFaire évoluer la juridiction Anticiper et suivre les évolutions ( nouvelles technologies, CNI,…)
Premier bilan
34
Près d’1 Français sur 2 est internaute
En trois ans et demi, la part des Français internautes est passée
de 31 % à 47 %.
Au 30 juin 2005, la France compte plus de 24 millions d’internautes
Source : Médiamétrie - Observatoire des Usages Internet - Copyright Médiamétrie - Tous droits réservés
15 65318 057
21 765
23 723
42,6% 46%
35,5%
30,9%
4ème trimestre2001
4ème trimestre2002
4ème trimestre2003
4ème trimestre2004
Nombre d'internautes dernier mois (en milliers)Part dans la population 11 ans et +
Le marché en France
47%
2ème trimestre
2005
24 300
35
06h59mn
16h09mn
Internautes bas débit Internautes haut débit
Grâce au haut-débit, les internautes passent plus de temps en ligne, voient plus de pages, dans de meilleures conditions
Près de 4/5 des internautes qui se connectent à domicile sont en haut-débit
Source : Médiamétrie//NetRatings, Panel France - Domicile et ou lieu de travail – Août 2005 - Applications Internet Exclues - Copyright Médiamétrie//NetRatings - Tous droits réservés
+ 9h10mn+ 9h10mn
Le marché en France
36
Un Chiffre d’Affaires en très forte croissance
Chiffre d’affaires B2C en 2004: 5,5 milliards d’Euros (+ 53%)
Un panier moyen élevé: 100 Euros environ
Source : Médiamétrie - Observatoire des Usages Internet - Copyright Médiamétrie - Tous droits réservés
2,25
3,6
5,5
2002 2003 2004
+ 60 %+ 60 %
+ 53 %+ 53 %
Le marché en France
37
RANG 2004
CATEGORIES ACHETEES EN NOV/DEC 2004
PENETRATION 2004
….PENETRATION
2003DELTA
2003/20041 CD / DVD 50,4% 1 49,7% 0,7%2 Livres 30,6% 2 35,5% -4,9%3 Billet avion / train 25,6% 3 24,9% 0,7%4 Vêtements / Chaussures 20,2% 4 16,9% 3,3%5 Produits Informatiques 17,6% 5 16,9% 0,7%6 Jeux vidéos / Logiciels / CD-Rom 16,8% 6 13,6% 3,2%7 Jeux / Jouets (hors jeux vidéo) 14,2% 9 9,1% 5,1%8 Fleurs / Plantes 9,6% 10 7,4% 2,2%9 Parfums / Cosmétiques / beauté 9,6% 11 6,0% 3,6%
10 Produits Hi-Fi 9,6% 12 6,0% 3,6%…. …. … … … ….13 Développement photos numériques 7,2% 24 N/C
Types de produits achetés en ligne
Remarque complémentaire: une banalisation du profil des acheteurs en ligne
Source FEVAD
38
Le marché en France
Des acheteurs satisfaits : (Source FEVAD – Achats de Noël)
91 % des acheteurs sont satisfaits
98 % ont l’intention d’acheter de nouveau en ligne en 2005
61 % des personnes interrogées ont l’intention d’acheter plus en 2005
39
Le marché en France
Quelques remarques :
Deux idées reçues :
« l ‘explosion de la vente par Internet »
« la fin du commerce de proximité »
Un marché qui s’est structuré:
Des grands généralistes (ex Cdiscount, Rue du Commerce… )
Des grands spécialistes (Nomatica,Lastminute…)
Des PME spécialisés sur une « niche » ( quelques clients SP PLUS: vente de pièces de rechange pour 2CV, produits diététiques et bio, produits régionaux, vente d’articles de pêche, courses à pied, caricatures , …)
Un marché qui s’est professionnalisé et moralisé
Un marché qui concerne tous les agents économiques: Entreprises, Commerçants, Associations, Collectivités locales, Sociétés de HLM, Comités d’Entreprise)
40
Les freins à l’achat
Source Jupiter Research
41
Les freins à la vente
Trois facteurs de risque pour le commerçant :
Les risques liés à la vente à distance: pas de garantie de paiement en VAD
L’ internationalisation des échanges
Le droit très protecteur dont bénéficient les internautes
42
Article L132-2 (Loi n° 2001-1062 du 15 novembre 2001 art. 34 Journal Officiel du 16 novembre 2001)
La responsabilité du titulaire d'une carte n'est pas engagée si le paiement contesté a été effectué frauduleusement, à distance, sans utilisation physique de sa carte… => Importance de sécuriser et d’authentifier vos clients
Un droit très protecteur pour les internautes:
La loi sur la sécurité quotidienne
43
Deux problèmes principaux
Le problème des délais de livraison Est devenu le problème n° 1 aux dires mêmes des commerçants
Une situation qui se dégrade: pour Noël 2004, 60% des internautes disent avoir été livrés en temps et en heure de toutes leurs commandes contre 71,5% pour Noël 2003 (source LeGuide.com)
Pourquoi ? Problème de logistique chez les e-commerçants ?
Problème de fiabilité au niveau de La Poste ?
La loi sur l’économie numérique rend juridiquement responsable le commerçant en cas de non-livraison !
Le problème de la sécurisation des paiements Pour les internautes: 32 % des internautes refusent de donner leur
numéro de carte sur Internet
Pour les commerçants: de multiples types de fraude à éviter
44
Les types de fraudeurs
Les resquilleurs
Les justiciers
Les usurpateurs
Les trafiquants
Les gangs
Les destructeurs
AUJOURD’HUI LE COMM
ERCANT
EST « + OU – » VULNERABLE FACE A
TOUTES CES FRAUDES
45
Comment réagir à la fraude ?
HONNETES
REPRESSION
PRECAUTION
CONTROLE
46
Les solutions sur le marché
Les systèmes basés sur des mots de passe statiques
Les lecteurs de cartes (Cybercomm)
Le cryptogramme visuel (CVV2)
L’E Carte Bleue
Les assureurs
Les cartes pré-payées (micro-paiement)
Le paiement par mobile
Les puces intégrées dans les PC («Trust Computing Group »)
47
Les facteurs-clés de succès
RESTER SIMPLE POUR L’USAGER
Pas de logiciel ni de matériel spécifique à installer, rapide, rassurant
COUT RAISONNABLE POUR LES 3 ACTEURS (COMMERCANT, CLIENT, BANQUE)
GARANTIE DE PAIEMENT POUR LES COMMERCANTS
SECURITE PAR MOT DE PASSE DYNAMIQUE (Recommandation BDF/MEN)
CONFORMITE AUX STANDARDS INTERNATIONAUX
48
Les solutions de la Caisse d’Epargne
Notre objectif: instaurer un climat de confiance entre le commerçant et l’internaute afin de développer le business
SP PLUS est notre service de paiement sécurisé sur Internet
Id-tronic permet d’authentifier fortement les internautes Secret Plus permet aux internautes de payer sans
donner leur numéro de carte bancaire 3D Secure (Verified by VISA) permet de sécuriser les
transactions à l’international
49
SP PLUS
SP PLUS est basé sur les principes suivants :
CONFIANCE : séparation de l’acte d’achat et de l’acte de paiement
SIMPLICITE : un module d’administration des paiements qui permet à chaque commerçant de suivre ses transactions en temps réel
SOUPLESSE : de multiples facilités de paiement: multi-devises,paiement en trois fois,abonnement …
VISIBILITE : une galerie marchande permet d’accroître la visibilité de nos commerçants
=> 1 e-commerçant sur 4 est client SP PLUS
50
Id-tronic
Comment ça marche ? L’internaute s’inscrit en ligne en communiquant ses
coordonnées bancaires sur les serveurs sécurisés de la Caisse d’Epargne
Nous lui adressons par e-mail un numéro Id-tronic A chaque achat, nous lui adressons un code par
SMS sur son téléphone portable Il confirme la transaction en indiquant ce code 50 000 inscrits à ce jour dont près de 50% de non-
clients Caisse d’Epargne Les paiements par Id-Tronic peuvent être garantis
51
3DSecure (Verified by VISA)
La confiance passe par l’émergence de systèmes internationaux:VbV et Mastercard Secure Code
Les principes de la vérification par VISA: La banque émetteur devient responsable du contrôle des paiements
Le paiement est garanti
Comment ça marche ? Le commerçant appelle un annuaire VISA
Grâce au numéro de la carte,VISA appelle la banque de l’internaute
La banque de l’internaute demande à son client de s’authentifier
Chaque banque reste libre de son système d’authentification
Id-tronic est notre système d’authentification forte des internautes
52
La mise en oeuvre de 3D Secure
61 pays l’ont mis en place, representant 99% du e-commerce global.55 000 marchands dont 28 000 en Europe.Les transactions “3D Secure” représentent d’ores et déjà 10 % des flux internationaux.
53
En synthèse: quelques conseils pratiques
Quelques conseils pratiques pour développer un business sur Internet :
Choisir une niche
Etre irréprochable sur la qualité de service: le produit, la logistique de livraison et le SAV
Se doter des moyens d’authentifier vos clients
Ne pas livrer n’importe où, n’importe comment Grosses commandes subites
Livrables à l’étranger (en particulier dans certains pays « à risque »)
Dont le paiement est réparti sur plusieurs numéros de cartes
Prendre conseil Auprès des associations de commerçants en ligne (ACSEL,FEVAD)
Auprès de votre banquier
54
Les précautions françaises ont eu un impact positif
Cela ne nous dispense pas de passer à une phase de contrôle, facultative puis obligatoire (comparable modèle puce) et disponible au niveau mondial
Les solutions seront nécessairement pratiques et ouvertes, bâties sur des concepts fédérateurs forts parce que simples et internationaux
Environ 10% des acheteurs sur nos sites utilisent un processus de sécurisation ou de précaution
Les difficultés sont les mêmes que pour toutes innovations
Satisfaire un panel de profil consommateurs de plus en plus largeClarifier les messages consommateur et commerçants sur des problématiques nouvellesSavoir que nous trouverons pas tout du premier coup
Premier bilan
55
Toute entreprise doit s’interroger sur l’intégration des NTIC dans leur stratégie commerciale
Relation ClientModernisation des échangesAmélioration de la rentabilité
Augmentation du CADiminution des coûts
Amélioration de la trésorerie Réduction des frais d’encaissement
Premier bilan
56
Conclusion
Bonnes ventes sur Internet !!!
Pour en savoir plus :
www.fevad.com
www.acsel.asso.fr
www.spplus.net
www.idtronic.com