Lutter contre la fraude aux moyens de paiement ne suffit plus, il faut protéger les données personnelles, sans attendre d’y être forcé par la réglementation… les consommateurs l’exigent !
Depuis quelques années, des événements structurants ont bouleversé l‘écosystème monétique: accélération de la technologie, développement du e-commerce, du m-commerce, monnaies virtuelles, réseaux sociaux, etc.
Cette transformation numérique impacte le paiement à tous les niveaux: nouveaux moyens de paiement électronique, nouveaux acteurs dans les chaînes techniques des paiements, nouveaux comportements d’achats, qui rendent les parcours clients toujours plus simples et rapides, mais qui diluent le paiement dans les données que nous échangeons en permanence.
Les criminels ont compris que l’écosystème des paiements s’ouvrait : leur cible n’est plus le seul tunnel de paiement qui est de plus en plus sécurisé, mais toutes les données du payeur, via différents canaux, créant ainsi de nouvelles failles et de nouvelles menaces.
La fraude à la carte ne concerne plus uniquement l’écosystème du paiement : elle s’inscrit dans une cybercriminalité mondialisée.
Les fraudeurs sont devenus des cybercriminels organisés utilisant de nouveaux outils, dont les impacts peuvent représenter de véritables accidents industriels numériques : usurpation d’identité, attaque des nouveaux maillons des chaines de paiement, etc.
La diffusion des flux et des processus dans un monde numérique éloigné de l’écosystème bancaire et financier, induite par les nouveaux usages, ainsi que leur instantanéité, rendent de plus en plus difficile la détection de la fraude aux moyens de paiement.
La fiabilité des moyens de paiement doit s’intégrer dans une démarche sécuritaire numérique globale.
En effectuant un acte numérique, nous communiquons plus ou moins volontairement des données dites sensibles. Ce n’est plus seulement un numéro de carte, mais un numéro de téléphone mobile, IBAN, adresse email, et bien d’autres informations d’identification.
La sécurité des paiements doit alors évoluer autour de trois axes complémentaires:
- Renforcer encore et toujours le niveau de protection des tunnels de paiement (de la saisie du code PIN ou du numéro de carte à la finalisation de la transaction), en limitant l’exposition des données de paiement lors du traitement de la transaction : évolution PCI-DSS, déploiement de P2PE et de la tokenisation.
- Veiller de plus en plus à la protection des données personnelles qui, au-delà des problématiques sécuritaires, devient non seulement un enjeu économique, sociétal et politique mais commercial. Le prochain règlement européen sur la protection des données (GDPR) sera une première étape pour réguler leur utilisation et établir un équilibre entre développement de l’économie et protection de l’individu.
- Augmenter la protection contre l’usurpation d’identité lors de l’acte de paiement, grâce aux échanges en temps réel de données dynamiques et/ou l’utilisation de la biométrie (recommandations SecurePay, DSP2).
Et ce nouveau paysage sécuritaire va aussi intensifier le cadre réglementaire puisque certains pans de réglementation vont bientôt s’inscrire dans nos lois. Cependant, la réglementation doit vue que comme un cadre de référence. Elle ne doit pas être perçue comme un ensemble de nouvelles contraintes, afin de ne pas freiner le développement de nouveaux usages.
Alors oui, un nouveau paysage de la sécurité des moyens de paiements se dessine, bien plus large que celui que nous avons connu jusqu’à présent : chaque acteur de l’écosystème (commerçants, fournisseurs de services, régulateurs, gouvernements, mais aussi le consommateur) devient maintenant « Data Responsable ».
Les consommateurs qui sont de plus en plus exigeants ont bien compris la valeur de leurs données personnelles. Non seulement ils craignent la fraude aux moyens de paiements et se détournent des sociétés qui ne leur inspirent pas confiance, mais cette méfiance s’étend jusqu’à leurs données personnelles.
Alors, il est temps que chaque acteur de l’ecosystème numérique s’inscrive dans un cercle vertueux de sécurisation des données qu’on lui confie, dès maintenant, sans attendre d’y être contraint pas la réglementation, pour en permettre une saine utilisation au sein de l’économie numérique.
La sécurité devient ainsi un argument commercial et un vecteur de développement de l’économie numérique.
Par Thierry Le Forban, Product Manager, Security & Servicing chez Monext