Par Patrick Flamant, Country Manager Ogone France
En croissance exponentielle depuis plusieurs années, le e-commerce n’échappe pas aux tentatives de fraude. Certes limité en part relative, le risque existe et doit être pris en compte. Pour autant, il n’existe pas de recette miracle. A chaque e-commerçant de trouver le bon équilibre entre un processus de vente le plus simple possible et des mécanismes pour se protéger de la fraude, sans pour autant décourager les acheteurs potentiels…
Le vol d’informations bancaires : mythes et réalités
Les récentes affaires de piratage informatique le prouvent : le vol de données bancaires n’est plus le fait de passionnés uniquement motivés par le seul défi de “hacker” un système. Il n’est pas non plus dû à des systèmes d’écoute réseau pour capter des numéros de cartes lors de transactions non frauduleuses. En effet, seuls quelques systèmes informatiques d’État disposent aujourd’hui des infrastructures informatiques et de la puissance de calcul nécessaires à l’interception de ces données sur Internet, et à leur décryptage.
En réalité, depuis quelques années, le vol de données bancaires « se professionnalise ». Véritables criminels en col blanc, les pirates sont désormais organisés en réseaux structurés qui subtilisent les informations à l’aide de différentes techniques (skimming, phishing, vol physique, exploitation des failles de sécurité, usurpation d’identité…). Avec comme motivation principale, l’appât du gain : les données de cartes de paiement (numéro, date de validité, code de sécurité…) se négocient ainsi de 2 à 15 dollars l’unité sur Internet, selon la « fraicheur » et le pays d’émission de la carte.
La plupart du temps, ces informations sont utilisées pour effectuer des achats frauduleux (qui seront ensuite revendus sur le marché parallèle), avec une logistique très organisée pour la récupération des objets ou services acquis illégalement.
La fraude en ligne : un risque réel mais mesuré
En part relative, la fraude sur Internet reste faible, s’établissant, selon les périmètres concernés, entre moins de 0,1 % et 0,2%. En valeur absolue, elle représente plusieurs millions d’euros dans un secteur qui en pèse plusieurs milliards. En outre, l’impact pour le marchand est généralement largement sous-estimé. En effet, au montant brut de la fraude s’ajoutent tous les coûts liés à l’acquisition client (référencement, publicité, service client). Ainsi, pour une commande frauduleuse de 120 euros, dont la marge brute était de 25 %, le marchand devra vendre 4 produits identiques pour compenser la perte, ou réaliser 120 euros de marge brute incrémentale sur d’autres produits. Si certains secteurs sont plus exposés que d’autres, il est donc nécessaire de ne pas minimiser le problème car, au-delà des risques financiers, c’est aussi l’image de l’entreprise qui peut être ternie.
Risquer la fraude ou la perte de clients ?
Face au risque – bien réel – de fraude, les boutiques en ligne peuvent opter pour différentes stratégies, qui dépendent principalement de leur secteur d’activité, du type et des prix des biens ou des services vendus, de leur politique commerciale, des pays dans lesquels ils vendent, etc. Si toutes permettent de réduire (ou d’assumer) le risque de fraude, elles peuvent s’avérer plus ou moins pénalisantes pour le marchand et/ou le client final.
– Intégrer le coût de la fraude dans le prix des biens ou services : produits plus chers et/ou marge réduite, le risque de fraude est intégré dans la stratégie commerciale du marchand, et bien souvent inclus dans le prix de revient. Dans ce cas, le risque de perte du client est relativement direct : sur Internet, le critère du prix est bien souvent primordial pour le client final dans le choix d’un e-commerçant. Par ailleurs, cette démarche peut conduire à une augmentation des frais bancaires supportés par le marchand (commissions carte).
– Transférer le risque de fraude sur une entité tierce. Plusieurs mécanismes existent…
– Assurance : certes moins coûteux que l’intégration directe du coût de la fraude dans le prix de vente, ce système pèse sur le prix de revient des produits et donc sur le prix affiché, surtout dans les secteurs où le risque est fort (luxe, transport aérien, tourisme…).
– 3D Secure : pour limiter les tentatives d’usurpation d’identité, le marchand peut activer 3D Secure, qui consiste en une authentification simple (saisie de la date de naissance ou d’un code statique) ou forte (saisie d’un code dynamique à usage unique) du porteur de la carte. Une fois l’authentification réalisée, la responsabilité est reportée vers la banque du titulaire de la carte, ou vers le titulaire lui-même. La contrepartie de 3D Secure : une étape supplémentaire dans le processus de paiement, qui risque de rebuter certains acheteurs (par manque d’information).
– Limiter sa zone de chalandise : le e-commerçant peut décider de limiter la vente au seul territoire français, pour ne pas avoir à maîtriser les subtilités des moyens de paiements locaux. Par exemple, les Allemands utilisent à 50 % l’ELV, qui est un prélèvement automatique électronique… répudiable, sans aucune justification. Dans ce cas, le commerçant s’interdit toute clientèle étrangère, et donc le chiffre d’affaires correspondant.
– Utiliser un outil d’aide à la décision : le scoring, qui peut revêtir 2 formes :
– Le scoring CRM consiste à s’appuyer sur son logiciel CRM pour identifier le comportement « habituel » d’un client. Il se basera notamment sur la récence, la fréquence et le montant des achats effectués par un consommateur. Par exemple, si un internaute a l’habitude de commander un article de temps en temps et qu’il passe une commande de 10 PC portables d’un coup, il peut s’agir d’une opération frauduleuse, à son insu.
– Le scoring transactionnel a pour objectif d’évaluer les risques d’une transaction selon de multiples critères : date et heure, géolocalisation de l’adresse IP pour comparaison avec l’adresse client indiquée, etc.
Parmi l’ensemble de ces stratégies, le scoring en temps réel, s’il nécessite des outils spécifiques, est probablement l’une des méthodes les moins intrusives et pénalisantes pour le client final, parce qu’il permet de combiner processus de vente simple et maitrise du risque de fraude. Il peut être d’ailleurs être combiné à un 3D Secure sélectif, qui ne s’activerait que dans certaines conditions (montant du panier d’achat, pays potentiellement à risque…).
Dans tous les cas, seule une étude approfondie des spécificités et enjeux économiques de chaque e-commerçant permet de trouver le bon équilibre entre risquer la fraude ou la perte de clients. Et quelle que soit la solution retenue, le marchand devra faire évoluer sa stratégie de protection, pour s’adapter aux techniques et méthodes toujours plus créatives des fraudeurs.
A propos d’Ogone
Ogone est un opérateur international de paiement Internet, avec plus de 28 000 marchands répartis dans 40 pays.
Modulaires, personnalisables et s’intégrant facilement au système d’information, les solutions Ogone permettent aux marchands de réduire les coûts administratifs et les risques associés à la gestion de transactions électroniques issues de différents canaux de vente (e-commerce, centres d’appels, vente à distance) et réalisées avec des moyens de paiements hétérogènes.
Bénéficiant d’une connectivité bancaire à l’échelle mondiale, la plate-forme Ogone permet de consolider la gestion de plus de 45 moyens de paiement internationaux et locaux (cartes bancaires, cartes privatives, virement, PayPal, crédits en ligne…) avec le même outil, d’un bout à l’autre de la chaîne, de la vérification de la transaction à la consolidation en comptabilité.
Capitalisant sur plus de 10 ans d’expérience, Ogone joue aussi un rôle de conseil pour accompagner ses clients, quelle que soit leur taille, dans toutes les phases du déploiement de leurs solutions de paiement électronique.
Ogone compte 110 collaborateurs et est implanté en France, en Allemagne, au Royaume-Uni, en Belgique, aux Pays-Bas, en Suisse et en Autriche.
www.ogone.fr