Sécurité du paiement mobile, un changement de paradigme
Selon une étude réalisée par la plateforme de paiement hollandaise Adyen, le paiement mobile a progressé de 75% au cours des 18 derniers mois. Il représente aujourd'hui près de 15% des achats en ligne en Europe (14,5% en France). Un avis d'expert d'EBRC, opérateur de la chaîne confiance au Luxembourg souligne que cette forte augmentation n'est pas sans lien avec la convergence en cours du commerce en ligne et des points de vente. Web to store ou store to web, le parcours client omnicanal se joue des frontières entre le monde physique et le monde numérique. Dans la pratique, les consommateurs utilisent de plus en plus leur mobile pour s'informer avant l'achat, si ce n'est pour acheter en ligne après un passage en boutique. Tout l'enjeu de cette évolution de fond du e-commerce est de continuer à capter ce flux de client qui déserte les PC pour les smartphones et les tablettes. Simple en apparence, cette transition représente un véritable défi pour les sites de e-commerce et leurs RSSIR (Responsable de la sécurité des systèmes d'information). La multiplicité des plateformes matérielles et des systèmes d'exploitation, mais aussi les possibilités de personnalisation laissées aux utilisateurs des smartphones, sans compter la taille de ces nouveaux moyens de communication qui les rend plus vulnérables, de nombreux facteurs se combinent pour faire du mobile une plateforme de paiement à haut risque.
Sous bien des aspects, le développement du paiement mobile s'annonce comme un nouveau départ pour l'industrie. Les banques les premières reconnaissent que le mobile instaure une relation nouvelle avec leurs clients, qui nécessite de revoir l'ensemble des règles de sécurité et d'authentification. Le constat est identique pour le paiement en ligne mobile. Impossible par exemple, de compter sur le contrôle de l'adresse IP pour détecter les transactions mobiles potentiellement frauduleuses. De même, les systèmes d'authentification forte mis au point par les groupements de carte bancaire, le plus célèbre étant 3D Secure, se révèlent, à l'usage, relativement inadaptés aux particularités du paiement sur mobile. Le résultat de ces inadaptations se lit dans les statistiques de conversion des sites de e-commerce.
D'un point de vue métier, les sites marchands sont ainsi confrontés à la difficulté de concilier deux contraintes fortes. D'un côté, les systèmes de contrôle comme 3D Secure leur permettent de bénéficier d'une protection renforcée contre les fraudes et surtout d'une garantie de paiement. De l'autre, et parce que le nombre de clients visitant leur site depuis un mobile va en augmentant, ils doivent tout faire pour ne pas perdre le client en raison d'une procédure de paiement trop complexe, et quelque fois impossible à réaliser. D'un point de vue financier, le paiement mobile se caractérise ainsi par une forme de marche arrière : un transfert inversé, du système bancaire vers l'e-marchand, du risque financier associé aux transactions. Faute de pouvoir mettre en œuvre 3D Secure sur les paiements mobiles, les e-marchands prennent ainsi le risque de devoir assumer seuls le risque financier en cas de fraude.
Les e-marchands seuls face au risque
Le danger est évidemment majeur pour les acteurs de l'e-commerce puisque cette faille expose à la fois à une perte de confiance des internautes et à la recrudescence des tentatives de fraude. Aussi pertinentes que soient les règles de détection des fraudes conçues par les RSSI des sites marchands, celles-ci ne peuvent en effet porter que sur les transactions réalisées sur le site. Les e-commerçants sont d'autant plus démunis que le contexte réglementaire, et notamment les lois Informatique et Libertés, leur interdisent toute forme de partage des informations de paiement qui leur permettrait d'unir leurs forces. Au bout du compte, chaque site marchand se trouve ainsi devant l'obligation d'élaborer seul, et pour lui-même, sa propre solution de sécurisation du paiement mobile, sans pouvoir réellement capitaliser ni sur l'expérience de ses pairs, ni sur les efforts déjà engagés pour sécuriser le paiement e-commerce classique.
Ce fonctionnement en silo est d'autant plus tentant pour les e-marchands qu'il constitue une opportunité à ne pas négliger de se distinguer sur un marché très concurrentiel en sachant capter mieux que les autres les flux de transactions mobiles. Mais cette approche fait peser sur le RSSI du site marchand une très lourde responsabilité sans lui donner le recul stratégique nécessaire pour l'aborder. Encore plus que l'e-paiement traditionnel, le m-paiement se caractérise en effet par une chaîne de communication à la fois plus complexe et plus sensible. En plus des acteurs traditionnels tels que l'e-marchand, son fournisseur de services de paiement et le système bancaire, il faut en effet prendre en compte de nouveaux partenaires tels que les opérateurs des réseaux mobiles. Cette complexité croissante rend totalement contreproductive toute logique qui serait basée sur le transfert du risque entre les différents acteurs. L'adage est bien connu : une chaîne de sécurité n'est jamais plus forte que son maillon le plus faible. Tout l'enjeu pour le RSSI est de s'assurer du bon fonctionnement de la chaîne de communication complexe qui permet le paiement mobile. Cette approche impose ainsi à tous une approche de partenariat dont le RSSI devient nécessairement le chef d'orchestre.
Nouveaux intermédiaires et nouveaux services
En matière de sécurité, le paiement mobile constitue en réalité un changement majeur de paradigme qui se traduit par l'apparition de nouveaux services. La relation entre la banque et l'e-marchand n'est plus aussi directe qu'auparavant car de nouveaux intermédiaires peuvent désormais légitimement y participer, comme les fournisseurs de cartes prépayés ou de portes monnaie électroniques. D'une certaine manière, ces nouveaux tiers de confiance viennent combler le vide relatif laissé par le système bancaire en matière de garantie et de contrôle des paiements mobiles. Ils permettent à l'e-marchand de bénéficier à la fois d'une garantie de paiement, le risque étant pris par le fournisseur d'e-wallet, et de procédure de paiement simplifiées favorable à un taux de conversion élevé.
S'il est encore difficile de prévoir aujourd'hui ce que sera le visage du paiement mobile dans quelques années, les enjeux pour le RSSI sont beaucoup plus clairs : plus les tiers de confiance et les intermédiaires se multiplient, plus la bonne communication entre tous ces éléments joue un rôle essentiel dans la sécurisation de l'ensemble de la chaîne. Tous devront s'élever au standard de communication et de traçabilité du monde bancaire pour assurer la fiabilité de l'ensemble de la transaction, et conserver in fine la confiance des consommateurs. L'évolution du paiement mobile doit ainsi se traduire par une nouvelle génération de services d'infrastructures Cloud, capables d'offrir au client le même niveau de sécurité, de disponibilité et de performance quelles que soient les circonstances de la transaction de paiement mobile. Les acteurs de ce marché devront par exemple pouvoir satisfaire aux contraintes réglementaires qui régissent les transactions financières avec ou entre particuliers dans les différents pays où les sites marchands sont disponibles. Ils devront aussi se conformer aux standards de sécurité des paiements tels que PCI, et apporter à leurs clients e-marchands ou fournisseurs de services aux e-marchands, une véritable garantie de pérennité, au niveau de celle des fournisseurs de services technologiques du monde bancaire.
Au bout du compte, le paiement mobile constitue ainsi une formidable opportunité de progrès pour l'ensemble de la chaîne de valeur. Le RSSI aura pour mission de bâtir autour de lui un écosystème de partenaires à forte valeur ajoutée qui lui permettront à la fois de limiter les risques, de renforcer la sécurité et de simplifier l'expérience de paiement. L'enjeu est en réalité moins technique que stratégique car une grande partie du chemin a déjà été parcouru depuis les premiers sites e-commerce dans les années 1990. Et si le paiement mobile pose sans conteste de nouveaux défis technologiques, il devrait avoir pour conséquence plus immédiate un relèvement au niveau bancaire des exigences de conformité entre tous les acteurs.