Cyber-risques : trois raisons de ne pas douter de la sécurité du paiement en ligne et une de rester vigilant
Avis d'expert par Guillaume Ponsard, Président Fondateur de la fintech française CentralPay
Face au cyber-risque grandissant, le gouvernement débloque un milliard d’euros pour renforcer la résilience durable des systèmes des entreprises et des services publics. Mais avec l’industrialisation et à la professionnalisation des assaillants, quid du risque sur les solutions de paiement digitales ? Si certains piratages de comptes bancaires font parfois la une, le paiement en ligne n’a jamais été autant sécurisé.
Des établissements financiers responsables des données et des traitements
La plupart des Prestataires de Services de Paiement français sont certifiés PCI-DSS, et sont donc aptes à héberger les données personnelles bancaires dans les conditions les plus sécurisées possibles.
Ce programme s’impose par extension aux commerçants manipulant des données bancaires, dont les marchands en ligne. Or, la certification PCI-DSS est un processus technologique et administratif long et complexe. C’est pourquoi l’écrasante majorité des marchands en ligne opte pour un intermédiaire de paiement agréé, qu’il soit établissement de crédit (les banques traditionnelles) ou Prestataires de Services de Paiement ou PSP (les établissements de paiement et / ou de monnaie électronique).
À ce jour, aucun prestataire certifié n’a eu à déplorer la compromission des données qu’il héberge, sachant que ces établissements ont pour obligation de rendre publique toute intrusion détectée. S’il demeure encore quelques situations d’hébergement sauvage (on songe à certaines plateformes de réservation), n’offrant pas de protection des données bancaires, elles tendent à considérablement se réduire, d’autant que leur utilisation illégale s’est fortement limitée avec le développement de l’authentification forte du consommateur (Strong Customer Authentification, SCA).
L’Europe reste à la barre
La protection des consommateurs est le cheval de bataille du parlement européen depuis de nombreuses années. La DSP 2, adoptée fin 2015, s’est principalement concentrée sur la problématique grandissante de la sécurité des paiements en ligne. C’est une chose de stocker en sécurité, c’en est une autre de transmettre de manière sécurisée.
Elle a notamment introduit l’obligation d’authentification forte du consommateur. Le 3D Secure est bien connu des consommateurs mais, il s’est généralisé ce début d’année, avec l’abaissement à 30€ du seuil de sécurité. Si son déploiement a quelque peu été retardé à cause de la crise, cette authentification multi-facteurs est la plus sécurisée que l’on sache mettre en place actuellement, sans faire obstacle au processus d’achat.
Avec le déploiement de l’authentification forte, la charge de la preuve du consentement à l’achat est passée des commerçants aux mains des établissements émetteurs des cartes de paiement, chargés de rembourser leurs clients. Cette inversion a d’autant plus accéléré la mise en œuvre de la SCA, compte tenu des délais longs de rétractation accordés aux consommateurs. De fait, le porteur légitime de la carte n’ayant pas participé à la transaction, celle-ci échoue. La SCA rend quasiment impossible (en dehors des cas de friendly fraud) l’utilisation frauduleuse de cartes qui auraient pu être extorquées.
Une collaboration pan-européenne vers plus de sécurité encore
Il est certain que la dissémination des données de paiement s’accélère. En cause, l’enregistrement des données sur les navigateurs et les appareils mobiles. Mais aussi l’utilisation desdites données par de nouveaux acteurs financiers, pour délivrer des services de consultation de compte ou d’initiation de paiement. Si cette dissémination va de pair avec un risque grandissant d’interception, les mesures de sécurité sont aussi à la hauteur et continuent d’être améliorées.
Sans exhaustivité, citons notamment l’usage de la carte virtuelle dynamique (CVV) pour les paiements en ligne, notamment dans le tourisme, avec sa généralisation chez BOOKING et EXPEDIA. La CVV ne permet de débiter le compte que le jour de la réalisation du service et non à sa commande.
Par ailleurs, le projet européen OBSIDIAN vise à établir le partage des IBAN entre établissements bancaires. Il s’agit de mieux lutter contre l’usage, selon les mêmes procédés et dans différentes banques, des IBAN frauduleux.
L’utilisateur, encore au cœur des compromissions les plus courantes
Le plus grand défi de la sécurité des paiements reste la sensibilisation des utilisateurs vis-à-vis des tentatives d’hameçonnage, d’usurpation d’identité. Comme en entreprise les collaborateurs, les particuliers représentent le premier rempart ou la plus grande faille de sécurité, selon l’intérêt que l’on y porte et les connaissances acquises.
C’est pourquoi l’on ne saurait trop inciter chacun à se documenter auprès de la CNIL ou encore de lire les quelques conseils de prudence qu’offre l’observatoire de la sécurité des moyens de paiement en annexe de son dernier rapport.
A propos de CentralPay
Créée en 2002, CentralPay a opéré pendant 15 ans en marque blanche pour des grands noms du e-commerce. Devenue infrastructure de paiement digital, Centralpay délivre aujourd’hui des paiement full services, unifiés et multicanal sous forme de guichet unique. Basés sur des API ouvertes, CentralPay aide ainsi les éditeurs de solutions métiers, plateforme et places de marché à compléter leur offre en y intégrant des processus de paiement complexes et innovants au cœur des chaines de valeur.
Certifiée PCI-DSS de niveau 1 depuis 2007, Centralpay est agréé Etablissement de Monnaie Electronique par la Banque de France à travers son Autorité de Contrôle Prudentiel et de Résolution (CIB 17138).
One Comment