Tandis que je réagissais, l'été dernier, aux propositions dangereusement rétrogrades de l'EBA (European Banking Authority) quant à l'application des dispositions relatives à l'ouverture des données des clients inscrites dans la directive des services de paiement (« PSD2 »), des acteurs du e-commerce ont aussi commencé à s'émouvoir, plus récemment.
Directement concerné par le volume de transactions à distance qu'il gère, bien qu'il ne fasse pas partie du « sérail », Visa était le premier à s'inquiéter des nouvelles exigences d'authentification forte que le texte imposerait pour toute transaction d'un montant supérieur à 10 euros. Depuis, avec d'autres, la Fevad (fédération professionnelle du e-commerce) rejoignait le mouvement, en interpellant les autorités sur les déséquilibres introduits par les mesures envisagées et demandant une concertation plus large.
L'enjeu du débat est extrêmement important, car il est connu (et reconnu) que l'ajout d'une étape supplémentaire dans le parcours d'achat des e-consommateurs conduit à des abandons de paniers massifs et, par voie de conséquence, des baisses significatives de chiffres d'affaires. Visa souligne notamment l'impact potentiel sur les sites où des efforts considérables ont été mis en œuvre afin de fournir une solution de paiement en un clic (Amazon n'est pas le seul !), tout en maîtrisant les risques de fraude.
Car les marchands et leurs représentants rappellent que leur approche de sécurité graduée – qui consiste à exiger un complément d'authentification (par exemple via un code 3D-Secure envoyé par SMS) pour les transactions considérées suspectes – constitue aujourd'hui une réponse satisfaisante à la cyberciminalité. Ils ne manquent d'ailleurs pas de s'indigner que ce principe soit entièrement écarté du texte de l'EBA, alors qu'il est explicitement inscrit dans la directive européenne qu'il est censé implémenter.
Naturellement, les intérêts divergents entre les banques et les commerçants seront toujours difficiles à concilier. Alors que les seconds veulent réduire les frictions dans l'expérience client, les premières privilégient exclusivement la sécurité et, de préférence, sans avoir à y consacrer trop de ressources. Pour elles, une authentification forte systématique est la solution de facilité, alors qu'elles sont parfois très attardées – et je suis convaincu qu'il s'agit d'un choix délibéré – en matière d'analyse contextuelle et en temps réel des risques (comme j'ai pu moi-même en faire l'amère expérience).
Cette stratégie pourrait s'avérer extraordinairement dangereuse, d'abord parce que la dépendance excessive vis-à-vis d'un seul mécanisme de protection (non exempt de failles, comme il a été démontré à plusieurs reprises) tient de l'inconscience. Il est au contraire impératif de multiplier les niveaux de défense et de developper les expertises de sécurité dans toutes les directions afin d'être prêt à répondre aux progrès constants des menaces. À plus long terme, il faudrait également préparer les futurs modèles de paiement qui permettront (rêvons un peu) de s'affranchir des problèmes de sécurité.