Recherche
Magazine Commerce Mag
S'abonner à la newsletter S'abonner au magazine

Paiements en ligne: la sécurité avant tout

Publié par le | Mis à jour le
Paiements en ligne: la sécurité avant tout

Qu'il s'agisse de votre banque habituelle ou d'un opérateur spécialiste du paiement sur le Web, les prestataires proposent plusieurs degrés de sécurité afin de fiabiliser les transactions. Revue de détail.

Je m'abonne
  • Imprimer

Qui ne s'est jamais interrogé, en réglant ses achats sur le Web, sur la fiabilité de la transaction ? Qui n'a jamais craint de se faire pirater sa carte bancaire ? Selon le livre blanc de Certissim, opérateur de sécurisation des transactions dans l'e-commerce, la fraude aboutie représentait environ 0,10% des transactions de l'e-commerce en 2012, avec un panier moyen à 297€.

La fraude sur Internet fait l'objet de toutes les attentions et les moyens de sécuriser les transactions ne manquent pas. Tout d'abord, les sites d'e-commerce peuvent rassurer leurs clients en acquérant un certificat de sécurité auprès d'un tiers de confiance. La société Symantec, qui propose le sceau Norton Security (ex-VeriSign) utilise ainsi la norme internationale de cryptage SSL (Secure Sockets Layer) afin de garantir aux internautes qu'ils ont accès à un site légitime et d'éviter que les données sensibles soient interceptées de manière frauduleuse. "Le certificat crée un canal de communication sécurisé entre l'acheteur et le vendeur sur le Net", résume Laurent Heslault, directeur des stratégies de sécurité chez Symantec.

Cryptage des données

Plus spécifiquement lors du paiement, les différents opérateurs insistent tous sur la sécurité. "Un commerçant qui se lance sur le Web va d'abord se tourner vers sa banque habituelle, pour acquérir une solution de paiement en ligne", observe Marc Schillaci, p-dg d'Oxatis, créateur de sites d'e-commerce. Qu'il s'agisse de BNP Paribas avec Mercanet, ou de LCL avec Sherlock's, toutes les banques ont leur offre de paiement par carte sur le Web.

De plus, les banques détiennent les agréments nécessaires pour effectuer les transactions, dont le drastique PCI DSS (Payment Card Industry Data Security Standard), accordé aux organismes qui capturent, stockent et traitent des données de cartes bancaires. Pour obtenir le standard PCI DSS, les sociétés doivent répondre à des points de contrôle concernant leurs techniques informatiques mais aussi leur organisation et leurs procédures (par exemple: le fait de crypter les données stockées).

Autre niveau de sécurité: l'authentification des porteurs de cartes. "Notre offre packagée de paiement Sherlock's intègre le système d'authentification 3D Secure, pour les cartes Visa ou Mastercard, explique Laurent Bergamelli, responsable monétique chez LCL. Nous envoyons à l'internaute un code à usage unique sur son téléphone portable, afin de sécuriser la transaction." Un fraudeur aurait ainsi la lourde tâche de posséder les coordonnées de la carte, le téléphone et le code unique envoyé par la banque pour parachever son piratage.

Vérification de l'identité

Très rassurant, le système 3D Secure n'en est pas moins une étape supplémentaire dans la transaction, que certains jugent contraignante. C'est pourquoi de nombreux sites d'e-commerce recourent aux systèmes de porte-monnaie électronique (ou e-wallet). Qu'il s'agisse de PayPal, Kwixo, Hipay, Buyster ou autres prestataires, tous requièrent que l'acheteur se crée un compte chez eux et communique ses coordonnées bancaires, une seule fois. Après quoi, il n'aura qu'à entrer son identifiant et son code pour utiliser son porte-monnaie électronique (en fait, sa carte de paiement) et payer. Ce qui évite la saisie régulière des données sur le Net, donc les risques de captation. "Nous allons enrichir notre offre e-commerce du portefeuille électronique V.me de Visa, où l'utilisateur pourra payer facilement avec ses cartes sans avoir à indiquer ses coordonnées bancaires à chaque transaction", indique Laurent Bergamelli (LCL).

Filiale de Fia-Net, sceau de confiance qui évalue les sites marchands d'après l'avis de leurs clients, le prestataire Kwixo propose lui aussi un système de portefeuille numérique: "Nous possédons l'agrément PCI DSS, ce qui évite au commerçant d'avoir lui-même à répondre à cette norme très stricte, puisqu'il ne gère aucune donnée bancaire", précise Alain Dias, directeur d'activités de Kwixo. Les prestataires proposent d'autres sécurités, en analysant les données de l'acheteur sur le Web: "nous vérifions si la carte de paiement est française ou étrangère et la comparons avec l'adresse IP de l'ordinateur, explique Bruno Gloaguen, dg Europe d'Hipay, plateforme de paiement sur Internet. Nous pouvons également tracer l'utilisation de la carte au cours des derniers mois, afin de détecter un comportement anormal. L'e-marchand définit lui-même quel degré de contrôle il souhaite instaurer."

Agréments bancaires

Enfin, dans la tendance au développement du m-commerce, certains opérateurs tels Buyster se lancent sur ce créneau: "Notre porte-monnaie électronique est très ergonomique pour les utilisateurs d'appareils mobiles et entièrement sécurisé, puisque nous répondons au standard PCI DSS et que nous sommes agréés par la Banque de France", relate Sébastien Trova, directeur commercial de Buyster. Côté commerçant, ces multiples acteurs sont autant de façons de répondre aux habitudes d'achat des clients. Mais ce sont aussi autant d'intermédiaires qui prélèvent une commission à chaque transaction et dont il faut vérifier les conditions commerciales.

Vérification de l'identité

Très rassurant, le système 3D Secure n'en est pas moins une étape supplémentaire dans la transaction, que certains jugent contraignante. C'est pourquoi de nombreux sites d'e-commerce recourent aux systèmes de porte-monnaie électronique (ou e-wallet). Qu'il s'agisse de PayPal, Kwixo, Hipay, Buyster ou autres prestataires, tous requièrent que l'acheteur se crée un compte chez eux et communique ses coordonnées bancaires, une seule fois. Après quoi, il n'aura qu'à entrer son identifiant et son code pour utiliser son porte-monnaie électronique (en fait, sa carte de paiement) et payer. Ce qui évite la saisie régulière des données sur le Net, donc les risques de captation. "Nous allons enrichir notre offre e-commerce du portefeuille électronique V.me de Visa, où l'utilisateur pourra payer facilement avec ses cartes sans avoir à indiquer ses coordonnées bancaires à chaque transaction", indique Laurent Bergamelli (LCL).

Filiale de Fia-Net, sceau de confiance qui évalue les sites marchands d'après l'avis de leurs clients, le prestataire Kwixo propose lui aussi un système de portefeuille numérique: "Nous possédons l'agrément PCI DSS, ce qui évite au commerçant d'avoir lui-même à répondre à cette norme très stricte, puisqu'il ne gère aucune donnée bancaire", précise Alain Dias, directeur d'activités de Kwixo. Les prestataires proposent d'autres sécurités, en analysant les données de l'acheteur sur le Web: "nous vérifions si la carte de paiement est française ou étrangère et la comparons avec l'adresse IP de l'ordinateur, explique Bruno Gloaguen, dg Europe d'Hipay, plateforme de paiement sur Internet. Nous pouvons également tracer l'utilisation de la carte au cours des derniers mois, afin de détecter un comportement anormal. L'e-marchand définit lui-même quel degré de contrôle il souhaite instaurer."

Agréments bancaires

Enfin, dans la tendance au développement du m-commerce, certains opérateurs tels Buyster se lancent sur ce créneau: "Notre porte-monnaie électronique est très ergonomique pour les utilisateurs d'appareils mobiles et entièrement sécurisé, puisque nous répondons au standard PCI DSS et que nous sommes agréés par la Banque de France", relate Sébastien Trova, directeur commercial de Buyster. Côté commerçant, ces multiples acteurs sont autant de façons de répondre aux habitudes d'achat des clients. Mais ce sont aussi autant d'intermédiaires qui prélèvent une commission à chaque transaction et dont il faut vérifier les conditions commerciales.

De multiples moyens de paiement pour satisfaire les clients

Créé en 2010, le site www.itinbikes.com vend des vélos à assistance électrique, ainsi que leurs accessoires. Il est animé par Régis et Cédric Rossi, deux frères qui possèdent leur boutique physique au coeur de Marseille. "Nous n'avons jamais eu de problème d'encaissement avec nos 1 000 transactions par mois sur le site web", se félicite Régis Rossi. Dès la conception du site, les frères Rossi ont porté le plus grand soin à la sécurité: "d'abord, nous avons voulu rassurer les clients en adoptant le sceau de confiance Fia-Net.

Puis, notre politique a été d'offrir le plus possible de canaux de paiement, pour répondre à toutes les attentes ", explique Régis Rossi. Sur le site d'Itinbikes.com, on peut donc payer par carte bleue (auquel cas la transaction est sécurisée via la banque des commerçants, LCL), via PayPal, Kwixo ou encore Buyster pour les appareils mobiles. Il est aussi possible d'envoyer un chèque bancaire à la boutique. "Grâce à ce choix, nos clients vont jusqu'au bout de la transaction et n'abandonnent pas leur panier au moment de payer", conclut le commerçant dont les ventes, tous canaux confondus, ont progressé de 23% l'an dernier.

Régis Rossi, codirecteur d'Intinbikes.com

 
Je m'abonne

NEWSLETTER | Chaque semaine, l'essentiel de l'actu

La rédaction vous recommande

Retour haut de page