Quels sont les moyens de paiement les plus exposés à la fraude ?
Florent Faguer : Le chèque est toujours le moyen de paiement avec le taux de fraude le plus important. Les fraudeurs utilisent des chèques ou des chéquiers volés et des faux chèques. Les paiements liés à la carte bancaire viennent en deuxième position. Rien de surprenant puisque c’est le moyen de paiement le plus utilisé ! Ces derniers temps, les fraudes liées au paiement mobile et au paiement sans contact augmentent fortement, car ces moyens de paiement se généralisent. Citons aussi la fraude au virement qui n’est pas encore très importante en termes de volume, mais qui connait une évolution inquiétante.
Comment peut-on lutter contre ces fraudes ?
Florent Faguer : Pour protéger les transactions, on a commencé par sécuriser fortement l’accès aux supports. Par exemple, lorsqu’on remet une carte bancaire ou un chéquier à son propriétaire, il y a de nombreuses vérifications. Ensuite, si le support était volé, on bloquait les transactions associées. Aujourd’hui, il y a un niveau supplémentaire, puisqu’on peut vérifier l’identité du donneur d’ordre à chaque demande de transaction. Il y a des procédures spécifiques, comme le système 3D Secure. Le problème, c’est quand l’identité du propriétaire du moyen de paiement a été usurpée. Par exemple, les fraudeurs peuvent récupérer un code SMS et valider une transaction qui nécessite pourtant une authentification forte. Il y a alors des outils automatiques pour détecter les incohérences, par exemple, les logiciels de scoring ou de vérification d’adresse IP. Ce qui est sûr, c’est qu’on ne peut pas se satisfaire d’une vérification d’identité seulement à l’onboarding, il faut aussi vérifier l’identité à chaque étape clé du parcours client, de la prise de contact à la résiliation. Et même, entre ces étapes !
Il faudrait donc sécuriser fortement toutes les étapes du parcours client ?
Romain Le Formal : Ce n’est pas si simple ! Aujourd’hui, il existe des mécanismes plus ou moins poussés pour s’assurer de l’identité du porteur du moyen de paiement, répondant à des normes différentes selon le niveau de sécurité. Traditionnellement, on distingue trois niveaux d’identification : faible, substantiel et élevé. Il existe des outils pour sécuriser très fortement chaque étape d’un parcours utilisateur, mais toute la question, c’est l’équilibre bénéfices-risques ! Car les professionnels veulent limiter les risques de fraude, sans altérer l’expérience utilisateur. Les commerçants et les clients recherchent de l’instantanéité, il faut donc réduire au maximum les étapes qui peuvent freiner l’achat. Pour trouver le bon équilibre entre sécurisation et expérience utilisateur, il est crucial d’être bien à jour, parce que de nouvelles menaces apparaissent constamment. Les fraudeurs se professionnalisent et affinent leurs techniques. Pour les éviter, il faut donc être capable de détecter les nouvelles fraudes, les anticiper, et réagir rapidement.
Alors, comment savoir quels outils déployer ? Quelle part de risque est acceptable ?
Romain Le Formal : Dans certains cas, la loi exige des normes spécifiques, par exemple, pour l’ouverture d’un compte bancaire. Sinon, c’est à l’entreprise de décider selon sa stratégie. Bien entendu, elle peut être conseillée par un partenaire de confiance qui peut ensuite déployer des solutions adaptées comme celles de Certigna, tiers de confiance du groupe Tessi.
Faut-il faire évoluer l’identité numérique ?
Romain Le Formal : L’identité numérique, telle qu’on la conçoit dans le futur, doit être un support de confiance réutilisable, bien loin de l’identité numérique constituée d’un identifiant et d’un mot de passe, comme c’est encore souvent le cas sur internet. Le grand espoir dans ce domaine est ce qu’on appelle « l’identité numérique régalienne » ou « la carte d’identité numérique ». Elle sera aussi sûre qu’une pièce d’identité traditionnelle, comme cela existe déjà en Belgique et en Suède notamment. Mais elle risque de ne pas être toujours applicable. C’est pourquoi les réglementations en cours d’élaboration, telles que l’eIDAS 2.0 ou la DSP3, prennent aussi cette direction avec la volonté de créer un ID Wallet : un portefeuille d’identités numériques permettant, via des supports variés et réputés fiables, de s’authentifier sur différent services tels que la Sécurité sociale, ou encore, d’utiliser des moyens de paiement. L’idée est de s’appuyer sur ces éléments sécurisés pour s’assurer de l’identité de la personne à l’origine d’une transaction.
Cette identité numérique sécurisée serait-elle facile à mettre en place ?
Florent Faguer : Aujourd’hui, l’identité numérique professionnelle est déjà assez courante, sécurisée par le niveau RGS 3 étoiles (***) qui est le niveau le plus élevé en termes de sécurité et d’authentification. On peut donc imaginer généraliser facilement le principe d’une identité numérique sécurisée dans un contexte B to B. En revanche, à l’échelle des particuliers, c’est une entreprise ambitieuse et à très grande échelle ! L’idée commence à faire son chemin, par exemple, avec France Connect qui est un agrégateur d’identités numériques des services publics. Pour les démarches les plus sensibles, comme les transactions financières ou l’envoi de justificatifs d’identité, FranceConnect+ se développe et propose un niveau de sécurité supplémentaire. Ce genre de procédé, qui fait intervenir des tiers de confiance, des fournisseurs d’identité numérique qualifiée, est un niveau intermédiaire de sécurisation.
Que faudra-t-il pour atteindre la pièce d’identité 2.0 ?
Florent Faguer : Comme pour les documents d’identité traditionnels, tels qu’un passeport, il faudra se déplacer vers des lieux officiels et rencontrer des personnes physiques, représentant l’Etat. Pour le moment, dans certaines situations à risque, le face-à-face physique reste incontournable, parce que les vidéos et les photos ne constituent pas encore des garanties suffisantes. Il est probable qu’on ait toujours besoin de la validation humaine pour sécuriser complètement certains parcours. C’est pourquoi les solutions Tessi intègrent aussi des Agents Experts Délégués, des hommes et des femmes experts de la vérification d’identité, en complément des technologies.