Tribunes

e-commerce : comment lutter contre la fraude en ligne

Pour les e-commerçants et les professionnels du paiement, la lutte contre la fraude en ligne est un combat permanent, dans lequel le risque zéro n'existe pas. Quels sont les secteurs les plus touchés ? A partir de quel taux de fraude faut-il mettre en place des dispositifs de lutte contre la fraude ? Comment remédier au fait que les fraudeurs sont créatifs et trouvent constamment de nouveaux moyens pour contrer les parades ?

PublicitéBien que la fraude en ligne soit répandue, elle ne touche pas toutes les entreprises avec la même intensité. La première étape, pour le e-marchand, consistera en une auto-évaluation des risques encourus. Ceux-ci dépendent de plusieurs facteurs.

Evaluer les risques de fraude

Les principales questions à se poser sont les suivantes : mon secteur d'activité est-il plus particulièrement touché par la fraude ? Mes produits ou mes services peuvent-ils être revendus facilement au marché noir ? Quelle est la valeur de mon panier moyen ? Ma zone de chalandise se limite-t-elle à la France, ou vais-je chercher à vendre dans d'autres pays ?

Les secteurs du tourisme, de la distribution de produits high-tech ou le luxe sont connus pour être plus touchés par la fraude, mais les autres secteurs d'activité ne sont pas forcément épargnés.

Par exemple, les contenus numériques tels que les billets de spectacles ou les places de concert dématérialisés achetés à la dernières minute, les sonneries de téléphone, la musique, la vidéo sont aussi la cible des fraudeurs car la livraison est immédiate.

Un commerçant qui vend à l'international sera également plus exposé qu'un marchand qui limite sa zone de livraison à son strict territoire national.

Pour mieux évaluer les risques qu'il encourt, le e-commerçant se renseignera auprès de son opérateur de paiement ou de sa banque, ou des organisations professionnelles du e-commerce, telles que la FEVAD, l'ACSEL ou la nouvelle Association E-Commerce Europe.

Calculer le ratio risques / coût

Une fois les risques évalués, le marchand doit ensuite se demander quel est le coût d'un développement interne d'un outil de lutte contre la fraude ou de la mise en place d'une solution du marché.

S'équiper en moyens de protection n'est cependant valable qu'à la condition que le coût de la solution anti-fraude soit inférieur au coût de la fraude elle-même. Néanmoins, cet argument est à temporiser, car des éléments extérieurs sont à prendre en compte.

Les marchands qui connaissent des taux de fraude trop élevés, qui vont au-delà de 0,5% à 0,6%, reçoivent des injonctions de prendre des mesures de la part des fournisseurs de cartes tels que Visa ou MasterCard, sous peine de se voir retirer leur licence.

Or, et notamment en France, il est difficile, voire impossible de ne pas proposer la carte de paiement, celle-ci étant le moyen de paiement privilégié pour acheter sur Internet.

Mettre en oeuvre quelques règles simples

Le risque zéro n'existe pas en matière de fraude en ligne. Tout l'enjeu va être de rester sous un seuil « tolérable », aux alentours de 0,1% à 0,2%.

PublicitéQuelques règles simples suffisent pour faire baisser le taux de fraude. La mise en place de règles simples : blocage d'une carte au-delà d'un certain montant ou d'un nombre d'achats successifs réalisés avec une même carte, d'usage d'une adresse IP, d'un e-mail, et la création de listes blanches ou noires, par exemple.

Ou, sur un plan géographique, la mise en oeuvre d'une règle permettant de refuser systématiquement des paiements en provenance de l'étranger, quand le e-commerçant ne livre qu'en France.

La mise en place de 3D Secure, le protocole de sécurisation de Visa et de MasterCard, est un autre axe de réflexion. Ce mécanisme rallonge le processus de paiement, en ajoutant une étape au processus de paiement par la saisie de la date de naissance ou d'un code à usage unique envoyé par SMS, mais il permet de limiter le risque de fraudes liées aux tentatives d'usurpation d'identité.

Pour rester à un taux de fraude tolérable, certains marchands ont aujourd'hui mis en place un 3D Secure « débrayable. » Par exemple, la demande d'authentification ne s'active pas pour les clients réguliers et fiables, ou pour un panier d'achat inférieur à une somme déterminée.

Enfin, d'autres outils existent, tels que des bases de données liées aux fraudes et tentatives de fraudes sur Internet : IATA Perseuss, spécialisée dans le secteur des compagnies aériennes, ou Ethoca, plus généraliste.

Lutte contre la fraude : un métier à part entière

En règle générale, la meilleure solution pour faire baisser son taux de fraude est la combinaison de plusieurs règles ou d'outils, sans pour autant tomber dans l'excès de zèle et risquer de bloquer des transactions légitimes, ou tout simplement décourager les acheteurs.

Pour trouver le bon équilibre, ou quand le risque a d'emblée été évalué comme très fort, un commerçant ne devra pas hésiter à s'entourer d'experts. Après tout, son métier consiste à vendre. Pas à gérer des paiements, et encore moins à lutter contre la fraude.

En la matière, deux solutions s'offrent aujourd'hui : adjoindre à son prestataire de paiement, banque ou opérateur, des services de sécurité complémentaires, tels que FIA-NET ou SECUVAD. Ou opter pour une offre intégrée, combinant les deux. Dans les deux cas, il est essentiel de vérifier la zone de couverture géographique de la protection, en fonction des pays desservis par le marchand, sous peine de multiplier les fournisseurs.

Faire évoluer ses outils et sa stratégie de protection en permanence

Quelle que soit la solution retenue, une phase de paramétrage sera nécessaire pour prendre en compte les spécificités de chaque marchand, afin de ne pas bloquer des commandes qui n'ont rien de frauduleux.

Seuls des experts de la lutte anti-fraude sont capables de procéder à des réglages fins, basés sur les retours d'expérience acquis auprès de leurs clients ; et surtout de faire évoluer la stratégie de protection en permanence, pour contrecarrer les techniques et méthodes toujours plus créatives des fraudeurs.

La lutte contre la fraude sur Internet est très similaire à celle contre les virus informatiques, s'apparentant à un cercle sans fin. Ainsi dès qu'un nouveau virus est identifié, les éditeurs d'antivirus l'intègrent à leur base de données afin de protéger leurs clients de cette nouvelle menace. C'est exactement le même principe avec les outils de protection contre la fraude en ligne.

Ces fournisseurs spécialisés agissent comme des tiers de confiance et cherchent à anticiper les tendances et faire évoluer leurs outils. On note que la plupart d'entre eux s'orientent vers la détection des comportements à risque par l'empreinte numérique.

Il s'agit de l'identification du terminal, de l'ordinateur, de la tablette ou du smartphone, ayant servi à passer commande.