Posté le 18 octobre 2019 dans Actualités
Authentification forte du client
Retour sur la 9ème Rencontre « Authentification forte 3DS V2 »
Le 17 octobre 2019 s’est tenue à Paris la 9ème rencontre, organisée par l’Association du Paiement, présidée par Maurice Blanchard, en collaboration avec le cabinet de conseil MS2ii, consacrée à « l’Authentification forte ». Organisée et animée par Sophia Briouel, CEO de MS2ii et membre du board de l’Association du Paiement, les échanges, autour des invités – bancaires, représentant des commerçants ou prestataire de paiement :
- Loys Moulin, Direction du Developpement, CB
- Franck Quintaine Directeur Marketing et communication, Elitt
- Julien Gabillet Product Marketing & Business development, Equens Worldline
- Bertrand Pineau, Conseil & veille e-commerce, m-commerce, paiement, Fevad
- Christophe Mariette, Directeur Commercial France et Président Lyra Inde
ont porté principalement sur :
- Le contexte et le périmètre DSP2, SCA
- L’état des lieux : plan de migration, acteurs
- La gestion des exemptions
- Les taux de transformation, l’expérience utilisateur et la sécurité.
Cette Rencontre était sponsorisée par la société Okay, éditrice de logiciels et de solutions de protection des transactions digitales, représentée par son VP Sales, Fabien Ignaccolo.
DSP2 ET SCA – De quoi parle-t-on?
Afin de renforcer la lutte contre la fraude et la sécurité des consommateurs (accès aux services bancaires en ligne) et des transactions financières à distance (initiation d’un paiement en ligne par carte ou virement), DSP2, la deuxième directive européenne relative aux services de paiement, instaure des normes techniques de réglementation (RTS) plus strictes appelées « Authentification forte du client » (SCA). Applicable aux Emetteurs, aux Acquéreurs et aux Accepteurs de l’Espace économique Européen depuis janvier 2018, la DSP2 a fixé à septembre 2019 l’échéance à laquelle devaient obligatoirement être mises en place par les banques et autres prestataires de services de paiement les mesures de sécurité en matière d’authentification de l’utilisateur et client. Ces obligations ont d’importantes répercussions pour toute entreprise impliquée dans les paiements en ligne et appellent des réponses aux nombreuses questions qui se posent.
Migration – Quel calendrier ?
Outil de référence – bien que non obligatoire – depuis 2008 pour la sécurisation des ventes à distance, le dispositif 3D Secure, qui repose sur un seul facteur d’authentification (par SMS), ne répond plus aux exigences de « l’authentification forte » (deux facteurs). L’implémentation d’un nouveau protocole dénommé 3D-Securev2 (3DSv2), plus complexe et rendu obligatoire, induit des délais de mise en œuvre plus long et des retards.
Les acteurs concernés de la Place française (Banques, commerçants, PSP…) se sont employés dès 2018 à travailler sur un plan de migration qui soit « raisonnable et pragmatique », reposant sur un diagnostic partagé des impacts concrets du projet. Soumis puis accepté par la Banque de France, ce plan comprend deux phases :
- de septembre 2019 à mars 2020 est prévue une phase de rodage de l’infrastructure 3DSv2 pour les banques et acteurs techniques, l’objectif étant de couvrir 10% des transactions à cette échéance (certaines banques ont déjà commencé à tester le système) ; au cours de cette phase, seront réalisés des tests « bout en bout » sur de premières transactions avec un nombre limité d’utilisateurs.
- les 12 mois suivants permettront la montée en charge de 3DSv2, les commerçants étant incités à cette migration, avec pour objectif d’atteindre 100% des transactions couvertes en mars 2021 ; un jalon intermédiaire de 90% est fixé pour décembre 2020.
Quelles difficultés à surmonter pour une migration réussie ?
Du côté des commerçants, tout d’abord, il faut relever que si 90% d’entre eux utilisent aujourd’hui 3DSv1, cela ne représente que 40% en valeur des transactions et 15% en nombre. Par ailleurs, persiste la crainte que la nouvelle règlementation entraîne un ralentissement de la fluidité du processus d’achat en ligne et pénalise le chiffre d’affaires (rappel : 100 Mds € pour 40 M d’acheteurs). Cela dit, l’intérêt pour eux est réel (une garantie de paiement pour toutes les opérations où l’acheteur est authentifié) et si l’on en juge par l’investissement des plus gros sites, les commerçants, bien informés par des actions de communication et accompagnés par leurs associations professionnelles, devraient s’inscrire dans la montée en charge progressive.
Sur le plan technique, les difficultés ne manquent pas, qu’il s’agisse de la multiplicité des acteurs, véritable écosystème, ou des prérequis indispensables. Il existe une interdépendance forte entre les différents acteurs de la chaîne des paiements et il est donc indispensable que l’implémentation de 3DSv2 se fasse pour tous de la façon la plus efficiente et la plus générale possible, sachant que pour certains ne disposant pas encore de protocole sécurisé, une mise à jour préalable des solutions techniques va s’imposer.
Deux points complémentaires : Il n’existe pas de problème particulier ni de différence majeure en matière de certification pour l’ensemble des acteurs 3DSv2, qui se fait selon le schéma classique : présentation de la solution à CB (Carte Bancaire), test, rapport de test puis émission du certificat. Pour ce qui est de la plateforme Fast’R, plateforme d’appréciation du risque, créée par CB pour être le pivot central dans la mise en relation des commerçants et des éditeurs pour 3DSv2, elle est passée de la phase de rodage à celle de déploiement avec toujours l’objectif de 100% de « branchement » en mars 2021.
Sur le plan strictement opérationnel de la migration, focus sur des sujets essentiels pour la mise en œuvre de la réforme :
Le parcours challenge ou frictionless : à la différence du parcours challenge, le parcours frictionless permet une authentification forte du porteur sans intervention active de sa part. Il s’appuit sur une analyse de risque de la transaction (TRA) basée sur des données complémentaires fournies et partagées par tous les acteurs de la chaîne.
La mise en œvre des opérations sans friction sera donc fortement dépendante de la qualité et de la quantité de données qui pourront être collectées tout au long de la chaîne. Pour chaque transaction, l’Acquéreur et l’Emetteur pourront se positionner, en fonction du risque, pour un challenge, pour une opération sans friction ou être sans avis. Hormis lors du cas où Emetteur et Acquéreur veulent une opération sans friction, c’est l’Emetteur qui porte toujours le risque de la transaction.
Ce mécanisme est une faible contrepartie face à la généralisation de l’authentification forte qui fait craindre une perte de chiffre d’affaires aux e-commercants. Il faudra attendre les premiers retours terrain, qui auront lieu durant la phase de rodage, pour commencer à avoir une idée concrète de l’efficacité de ces mécanismes tant pour la prévention de la fraude que pour la réduction du risque d’abandon de panier.
La gestion des exemptions : qu’il s’agisse des exemptions pour transaction de faible montant (inférieur à 30€ ou en cumul à 100€), transaction récurrente (abonnement) ou réalisée auprès de « bénéficiaires de confiance » (inscription par les clients sur une liste blanche de commerçants qui ne seront pas concernés par le SCA), la gestion des exemptions suppose sur le plan technique une évolution du protocole 3DSv2 vers une version 2.2. Le protocole actuellement déployé n’est donc pas encore compatbile avec la plupart des mécanismes d’exemption.
Il faudra attendre 2020 pour disposer des fonctionnalités de gestion des exemptions (en commençant par celles portant sur petits montants et achats récurrents).
Ainsi, ce sont bien les Emetteurs qui auront le dernier mot dans le calcul du risque. Ils décideront de la mise en œuvre des exemptions et le nombre d’opérations sans friction sera étroitement lié à la fraude.
Enfin, la DSP2 introduit le concept de délégation d’authentification. Les différents acteurs pourront confier l’authentification forte du client à des tiers de confiance. Cependant la complexité du processus, l’expertise nécessaire et le coût pourraient limiter le nombre d’acteur pouvant recourir à de tels solutions.
La fiabilité des systèmes d’authentification biométrique fournis par les géants de la Tech (Apple, Samsung, etc.) fait débat. Ces solutions ont cependant fait leurs preuves et par leur généralisation, se sont imposées comme des moyens d’authentification de fait. Il faut cependant garder à l’esprit qu’aucune solution n’est fiable à 100% et que c’est l’association de plusieurs dispositifs qui offre la meilleure garantie.
#DSP2 #SCA
Rédaction Sophia Briouel, CEO de MS2ii
Rejoignez-la team MS2ii talents@ms2ii.com