.png)
La question du paiement sécurisé se pose à chaque transaction en ligne. Si certains acheteurs semblent moins s’y attarder que d’autres, son importance n’est jamais remise en cause. L’avènement fulgurant d’Internet n’a épargné aucun aspect de l’activité économique. La vente par correspondance traditionnelle a rapidement fait place à la vente en ligne. Cependant, la commodité du commerce en ligne doit toujours tenir compte de l’équilibre délicat entre sécurité des paiements et expérience utilisateur. Il est essentiel tant pour les consommateurs que pour les entreprises. C’est à la fois un prérequis, un argument de vente et une constante préoccupation pour acheter et vendre en ligne.
Par définition, le paiement sécurisé sur Internet est tout paiement effectué en ligne dans le cadre duquel les consommateurs sont protégés de tout risque de piratage ou de fuite de données. Notons toutefois que la notion de paiement sécurisé ne se limite en aucun cas qu’aux clients. En effet, la sécurité des paiements est une priorité autant pour les acheteurs que pour les marchands.
En d’autres termes, le fonctionnement du paiement sécurisé doit permettre de protéger les entreprises et leurs clients de toute activité cybercriminelle. Les données personnelles des clients doivent être protégées, les transactions doivent aboutir effectivement et les marchands doivent être mis à l’abri des différents types de fraude. En somme, il s’agit d’un concept relativement englobant qui régit l’ensemble des transactions réalisées entre vendeurs et acheteurs sur Internet.
Aujourd’hui, le paiement sécurisé sur Internet est un concept en constante évolution. En effet, les nouvelles menaces de cybersécurité conduisent à de nouvelles innovations en matière de sécurité. On peut tout de même retenir que les transactions sécurisées en ligne sont caractérisées par deux mécanismes fondamentaux :
Le chiffrement de la transaction : ce mécanisme permet de garantir que les données échangées lors d’une transaction restent confidentielles et ne puissent pas être interprétées par un acteur tiers. C’est la première ligne de défense mise en place par les établissements bancaires et les divers acteurs du cycle de paiement.
L’authentification de l’acheteur : il s’agit d’un ensemble de mécanismes grâce auxquels l’établissement bancaire de l’acheteur vérifie et confirme que le paiement a effectivement été initié par ce dernier ou avec son consentement. Les solutions d’authentification forte sont nombreuses et continuent d’évoluer de jour en jour.
Si la sécurité du paiement est aussi importante, c’est parce qu’elle permet aux marchands de rassurer les clients quant à la sécurité de leurs données personnelles et des informations bancaires qu’ils communiquent. En d’autres termes, c’est un argument de vente non négligeable qui peut réduire la réticence d’un nouveau client.
Pour comprendre comment fonctionne un paiement sécurisé, il est nécessaire d’examiner les mécanismes de sécurité qui le constituent. Ces mécanismes sont souvent utilisés concomitamment pour garantir une meilleure sécurité des transactions sur Internet. Il s’agit notamment de la double authentification du client, de la tokenisation des transactions, du chiffrement des données et des systèmes de prévention de la fraude.
Également appelée authentification en deux étapes, elle fait partie des mécanismes d’authentification forte. En vertu de ce système, les personnes qui réalisent un paiement sont tenues de confirmer leur identité de diverses manières.
Contrairement à son nom, la double authentification ne se limite pas à l’un ou l’autre de ces mécanismes. Il peut arriver qu’un système de paiement sécurisé ait recours à plusieurs ou à l’ensemble de ces mécanismes en fonction du niveau de sécurité nécessaire. On parle alors d’authentification à facteurs multiples.
La tokenisation est une technique qui permet de protéger les transactions de sorte à ce qu’elles ne puissent pas être interprétées, même dans l’éventualité où elles seraient interceptées. Contrairement à ce qu’on pourrait penser, c’est une technique différente du chiffrement des données. En effet, la tokenisation remplace la donnée à transmettre au lieu de la transformer. Autrement dit, elle consiste à envoyer une séquence unique dénuée de sens propre, que seul le destinataire peut exploiter. Même en cas d’interception, les données transmises n’ont pas de relation directe avec les données originales stockées de manière sécurisée.
Le chiffrement des données consiste à transformer les informations en une séquence chiffrée à l’aide d’une clé de chiffrement. En théorie, seuls l’émetteur et le destinataire sont donc en mesure d’utiliser les données transmises, car seuls eux possèdent la clé de chiffrement appropriée. Dans la pratique, ce système de sécurité est compromis dès lors que la clé de chiffrement est connue. Cependant, pour booster son efficacité, il existe un système de chiffrement asymétrique qui consiste à utiliser des clés différentes pour le chiffrement et pour le déchiffrement des données sensibles.
La prévention de la fraude constitue souvent la dernière ligne de défense des systèmes de paiement sécurisés. Il s’agit d’un ensemble de règles définies par des êtres humains, et d’algorithmes informatiques qui analysent les comportements suspects et bloquent les transactions en cas de doute.
Ces algorithmes sont élaborés grâce au « Machine Learning » et permettent d’analyser des volumes titanesques de données historiques et de données en temps réel pour mieux identifier les caractéristiques et tendances des transactions frauduleuses.
Les caractéristiques suspectes peuvent être l’origine géographique inhabituelle d’une transaction, le montant suspect d’un paiement, la multiplication de plusieurs petites transactions dans un très court intervalle de temps, etc. Tous ces éléments peuvent donner lieu à un blocage du paiement pour cause de suspicion de fraude.
Pour les marchands, le paiement sécurisé est assuré par l’adoption des différents mécanismes et systèmes de sécurité. Cependant, ces dispositifs ne sont d’aucune utilité si les clients n’adoptent pas les bonnes pratiques de sécurité. En tant que marchand, il n’est jamais inutile de rappeler ces bons usages à votre clientèle pour vous mettre à l’abri des réclamations pour cause de fraude.
Généralement, il suffit de faire preuve de méfiance et de vigilance pour limiter les risques d’usurpation d’identité. Ces bons réflexes ne suffisent pas à se prémunir entièrement, mais associés aux autres dispositifs, ils renforcent considérablement la sécurité des achats sur Internet.
En matière de vigilance, il s’agit par exemple de vérifier que la connexion internet est sécurisée. D’une part, ceci consiste à s’assurer que la page de paiement est effectivement une page sécurisée avec le préfixe « https ». De tels sites protègent mieux leurs visiteurs de l’interception des données transmises. D’autre part, évitez de communiquer des informations sensibles lorsque vous êtes sur un réseau WI-FI public. En effet, ces réseaux publics peuvent être surveillés et les informations qui y sont communiquées peuvent être interceptées.
La méfiance quant à elle, se rapporte aux offres « trop alléchantes ». Les sites qui proposent des prix trop bas sans être soldés et les sites qui ont de nombreux avis négatifs relatifs à la sécurité devraient également être évités.
Il faut également se méfier des terminaux et des navigateurs internet qui encouragent l’enregistrement des données bancaires pour simplifier les paiements ultérieurs. Malgré la commodité que cette fonctionnalité peut apporter, elle n’est en rien un gage de sécurité des données bancaires. Pour limiter les risques de fuite de données, n’enregistrez jamais vos données bancaires en ligne.
Si les concepts qui sous-tendent les paiements sécurisés sont globalement les mêmes, leur mise en œuvre peut varier d’une méthode de paiement sécurisé à un autre. Chaque moyen de paiement aborde la question de la sécurité différemment, en fonction de son histoire ou des objectifs visés. Essentiellement, nous pouvons citer quatre systèmes de paiements sécurisés qui sont largement utilisés.
En matière d’achats en ligne, les cartes de paiement Visa et Mastercard figurent parmi les premières solutions mises en place, mais aussi parmi les plus populaires. Dès leur lancement, les cartes de paiement ont élaboré une large gamme de protocoles et de standards de sécurité pour protéger les acheteurs et les commerçants.
Par exemple, tous les acteurs qui interviennent dans le stockage et la transmission des données sensibles doivent être conformes aux normes PCI DSS. Cela implique, entre autres, de satisfaire aux rigoureuses normes de chiffrement pendant la transmission de données, mais aussi de mettre en place des mesures strictes de contrôle d’accès et de réaliser des tests de vulnérabilité périodiques. Tout ceci permet de réduire le risque de fuite de données.
En termes de mécanismes spécifiques, les cartes de paiement utilisent l’authentification forte par le biais des données biométriques, des mots de passe à usage unique (OTP), des jetons de sécurité, etc.
Les cartes prépayées et virtuelles sont émises par les mêmes institutions financières que les cartes de paiement physiques. La différence essentielle tient au fait que les cartes prépayées ne peuvent pas accepter de découvert et que les cartes virtuelles peuvent être configurées pour un usage ponctuel. Autrement dit, hormis les sommes que le détenteur est disposé à dépenser, il est impossible de causer un dommage financier supérieur.
Pour mieux comprendre, on peut considérer que les cartes virtuelles sont des pare-feux. Même en cas d’usurpation ou de subtilisation des données de la carte de paiement, elles n’ont pas un accès direct au compte bancaire du détenteur. Par nature, les cartes prépayées et les cartes virtuelles constituent une couche de sécurité supplémentaire. Leur seul inconvénient tient au fait qu’elles doivent être spécifiquement approvisionnées ou créées pour chaque transaction.
Ces systèmes de paiement sont relativement nouveaux par rapport aux cartes de paiement. Il s’agit de services comme PayPal, Apple Pay ou Google Pay qui permettent de stocker les informations relatives aux cartes de paiement sur un appareil mobile pour procéder aux paiements. Cette solution a le mérite d’être pratique et rapide, ce qui explique sa large adoption à travers le monde. De plus, les dispositifs embarqués répondent aux exigences d’un paiement sécurisé.
D’une part, les portefeuilles électroniques sont presque toujours associés à un appareil personnel dont l’accès est conditionné par l’utilisation d’un code PIN, d’un mot de passe ou de données biométriques. De plus, l’utilisation de l’authentification à plusieurs étapes est courante. Notamment l’utilisation des mots de passe OTP et des données biométriques avant l’acceptation de la transaction. En d’autres termes, même lorsque l’appareil est perdu ou volé, les risques d’accès non autorisé sont réduits.
D’autre part, les données bancaires enregistrées sur ces appareils sont tokénisées. C’est-à-dire qu’en cas de piratage ou d’accès non autorisé, les données stockées sur ces appareils sont inexploitables.
Comme leur nom l’indique, les virements bancaires sont réalisés entre institutions bancaires. Ceci leur confère souvent un degré de sécurité plus élevé que d’autres moyens de paiement. En effet, les banques imposent désormais l’authentification forte et utilisent des techniques sophistiquées de détection de la fraude. En termes simples, cette transaction de banque à banque est moins sujette aux risques de fraude et de fuite d’informations sensibles.
Malheureusement ce niveau de sécurité s’accompagne d’inconvénients quant à l’expérience de paiement. Si la fraude est moins évidente, les arnaques continuent d’être un risque. De même, les marchands peuvent souffrir de paiements incomplets ou retardés lorsque l’acheteur doit confirmer la transaction auprès de sa banque.
Rappelons comment fonctionne le paiement sécurisé. D’abord, les acteurs du cycle de paiement élaborent et implémentent les systèmes de paiement sécurisé utilisés sur Internet. Ensuite, les acheteurs sont censés adopter les bonnes pratiques en matière de sécurité pour limiter les failles de sécurité qui leur sont imputables. Enfin, les marchands ont également des obligations à respecter pour garantir l’efficacité du paiement sécurisé sur Internet.
Si, dans le cadre des paiements, votre entreprise a accès aux données des cartes de paiement, les transmets ou les stocke, vous avez l’obligation d’être en conformité avec la norme PCI-DSS (Normes de Sécurité des Données de l'Industrie des Cartes de Paiement).
En pratique, ceci implique de mettre en place des mesures de sécurité draconiennes, de les actualiser fréquemment et de développer un stack technique à la pointe de la technologie. Tout ceci sera nécessaire pour la gestion des données, mais aussi pour leur transmission et leur stockage. Le moins qu’on puisse dire, c’est que le moyen le plus simple d’être en conformité, c’est de ne pas avoir accès à ces données de cartes de paiement.
Opter pour un prestataire de services de paiement comme Checkout.com est la garantie de rester conforme sans grand effort. En effet, Checkout.com jouit d’une accréditation de Niveau PCI-DSS de Niveau 1, qui est le standard le plus élevé en matière de gestion, de transfert et de stockage des données de cartes de paiement. Pour avoir une idée des exigences en matière de sécurité, il faut savoir que les marchands de Niveau 1 font l’objet d’audits de sécurité trimestriels en ligne et sur le terrain. Cette rigueur prend tout son sens lorsqu’on sait qu’ils gèrent plus de 6 millions de transactions par an.
Ce n’est un secret pour personne : les clients préfèrent utiliser les méthodes de paiement dont ils ont l’habitude ou qu’ils reconnaissent. Leur donner accès à ces moyens de paiement est un argument de vente dont on ne peut pas sous-estimer l’importance.
C’est pour cette raison qu’on recommande typiquement aux marchands d’en proposer un large éventail. Cependant, la popularité grandissante d’un moyen de paiement ne devrait pas être le seul critère d’adoption. En optant pour un prestataire de paiement comme Checkout.com, vous avez la possibilité de proposer tous les moyens de paiement établis. Et par-dessus tout, vous avez la certitude qu’ils répondent aux normes de sécurité qui protègent les marchands et leur clientèle.
Lorsqu’un acheteur inscrit les détails de sa carte de paiement sur votre site marchand, les informations sont transmises de son navigateur au serveur de votre site. Le chiffrement TLS est un moyen de garantir que ces informations soient communiquées de manière sécurisée. Autrement dit, même en cas d’interception, ces informations ne pourront être exploitées que par le bon destinataire.
Le chiffrement TLS est plus efficace lorsqu’il est couplé à l’utilisation d’un certificat SSL sécurisé sur le site web. Idéalement, il faudra utiliser la version TLS 1.2 étant donné que les versions antérieures présentent des vulnérabilités bien connues. Avec Checkout.com, toutes les pages de paiement hébergées supportent le protocole TLS 1.2.
Le rôle de la norme 3D Secure est d’authentifier les transactions de cartes de paiement en ligne. En d’autres termes, elle vise à protéger davantage contre la fraude et les accès non autorisés. Dans la pratique, la norme 3D Secure ajoute une étape additionnelle au cours de laquelle le détenteur désireux d’acheter doit fournir une information supplémentaire. Souvent, il s’agit d’une donnée biométrique ou d’un mot de passe OTP. Ceci permet de s’assurer que c’est effectivement le propriétaire du moyen de paiement qui procède à l’achat.
De toute évidence, cette étape additionnelle peut être pénible pour les acheteurs. En particulier si d’autres mécanismes de sécurité sont déjà mis en place. Cependant, elle permet de réduire considérablement les risques de fraude. Par ailleurs, le détenteur de la carte peut s’authentifier une fois pour de bon auprès du marchand pour être exempté de la vérification lors des paiements ultérieurs.
Spécifiquement élaborée pour combattre la fraude, la norme 3D Secure a le mérite d’apporter plus de détails sur les transactions. En tant qu’entreprise, ceci vous permet de prendre des décisions éclairées quant à l’acceptation ou le refus d’une transaction.
En France et dans le reste de l’Espace économique européen, le protocole 3DSA est imposé aux marchands. Le seul moyen d’être exempté, c’est d’avoir un taux de fraude faible et d’être considéré comme un marchand à faible risque.
Le code CVV ou « Valeur de vérification de la carte » est une série de chiffres qui est demandée lors des paiements par carte en ligne. En fonction de l’émetteur de la carte, cette série peut être composée de trois ou de quatre chiffres à l’arrière ou à l’avant de la carte de paiement.
Pour comprendre comme fonctionne le paiement sécurisé avec CVV, il faut savoir que chaque fois que le code est inscrit, le marchand reçoit une réponse de la banque émettrice de la carte qui indique si le code est effectivement le bon. Ce qui rend la valeur de vérification de la carte si efficace, c’est que contrairement au numéro de la carte et à sa date d’expiration, ce code n’est pas inscrit en relief de la carte, ni stocké sur la bande magnétique. Autrement dit, il faut être en possession de la carte physique pour connaître ce code et il est peu probable qu’il soit obtenu lors d’une fuite de données.
Que votre site ait été développé de bout en bout ou qu’il ait été développé grâce à un CMS, il y a certains bons réflexes que vous devez adopter en matière de sécurité. Ces précautions protégeront vos clients qui achètent sur votre site, autant qu’il protège votre site des vulnérabilités courantes.
D’abord, assurez-vous de mettre à jour le système que vous utilisez ainsi que toutes ses extensions (plugins, thèmes et utilitaires divers). Ceci vous mettra à l’abri des nouvelles vulnérabilités qui sont découvertes chaque jour.
Imposez l’utilisation de mots de passe forts. Mitigez le risque d’usurpation de compte et forçant vos clients à créer des mots de passe forts au moment de créer et d’accéder à leurs comptes.
Utilisez un pare-feu. Bloquez le trafic suspect et empêchez l’accès non autorisé à l’aide d’un pare-feu. En le configurant correctement, vous serez en mesure de créer des règles qui excluent systématiquement certains comportements frauduleux ou suspects.
Adoptez le protocole TLS pour le chiffrement des données. En procédant ainsi, vous garantissez que toutes les informations sensibles, y compris les données bancaires, soient transmises de manière sécurisée entre le navigateur du client et votre site web.
Mettez le réseau CDN à profit. Le réseau CDN (Content Delivery Network) protège votre site des attaques de type DDoS en distribuant le trafic sur un ensemble de serveurs. Vous rendrez ainsi votre site web plus résilient à ce type d’attaques informatiques.
Opérez un suivi méticuleux du trafic suspect. Exploitez les outils de monitoring pour observer, détecter et reconnaître les activités suspectes sur votre site. Notamment, les tendances de trafic et les tentatives de connexion inhabituelles. C’est d’ailleurs un des prérequis pour des outils efficaces de détection de la fraude.
Entre savoir comment fonctionne le paiement sécurisé et le mettre en œuvre, il y a souvent un fossé. De manière générale, les marchands se simplifient la vie en optant pour un prestataire de services de paiement qui se charge d’implémenter les systèmes de paiement sécurisé. De plus, opter pour une solution de paiement tout-en-un permet de réduire le nombre d’acteurs tiers qui interviennent en coulisses dans chaque transaction.
Avec une solution de paiement de bout en bout, les rôles de la banque acquéreuse, de la passerelle de paiement et du processeur de paiement sont endossés par un seul et même acteur. Ceci simplifie et rationalise le processus de paiement en garantissant la transmission sûre et fluide des données, d’une étape à l’autre, tout en minimisant l’accès des tierces parties. Sans oublier que ces solutions de paiement peuvent intégrer le protocole 3D Secure, la tokénisation, la détection de fraude et tous les autres outils de sécurité pour protéger les données de vos clients.
La détection de la fraude s’appuie sur un ensemble de systèmes et logiciels qui analysent et identifient les activités frauduleuses. Les entreprises s’en servent pour détecter les transactions frauduleuses en amont et se protéger de pertes financières. C’est aussi un gage de conformité vis-à-vis des réglementations de l’industrie des paiements. Il existe plusieurs systèmes de détection anti-fraude :
Les systèmes fondés sur les règles qui utilisent des règles et algorithmes pour identifier et signaler les potentielles transactions frauduleuses.
L’analyse comportementale qui observe et analyse le comportement des utilisateurs et de leurs transactions pour identifier les tendances suspectes.
L’apprentissage automatique (Machine Learning) grâce auquel l’Intelligence Artificielle exploite des algorithmes et modèles statistiques pointus pour écumer les données historiques et dresser des portraits-type des activités frauduleuses.
L’authentification biométrique qui consiste à vérifier l’identité des utilisateurs grâce à leurs empreintes digitales, la reconnaissance vocale ou la reconnaissance faciale.
Un mérite additionnel des systèmes de détection de la fraude, c’est qu’ils vous aident à répondre aux exigences des réglementations contre le blanchiment d’argent en signalant les transactions excédant un seuil spécifique. De même, l’apprentissage automatique et les systèmes basés sur les règles vous permettent d’automatiser le processus afin d’effectuer une évaluation plus détaillée des transactions suspectes.
Le meilleur moyen de garantir le paiement sécurisé à votre clientèle, c’est d’intégrer un prestataire de service de paiement tel que Checkout.com. En plus d’être certifié PCI-DSS de Niveau 1, notre solution de paiement unifiée embarque un large spectre de mécanismes anti-fraude afin de vous garantir la pleine conformité vis-à-vis des réglementations de l’industrie. Pour chacune des 6 millions de transactions que nous traitons chaque année, nous assurons la sécurité de vos paiements et la satisfaction de vos clients.
.jpg)
.jpg)
