Le 31 décembre prochain entrera en application la deuxième Directive sur les Services de Paiement de l’Union européenne, plus connue sous le nom de « DSP2 ». Pour les établissements financiers et les prestataires de services de paiement, c’est une véritable révolution à mettre en œuvre, qui approche à grands pas.
Le phénomène de la fraude bancaire n’en finit plus de s’accroître : en France, le Rapport annuel de l’Observatoire de sécurité des moyens de paiement indique qu’il représente un total de 1,182 milliard d’euros et 7,5 millions de transactions frauduleuses en 2019. La fraude à la carte bleue enregistre un montant record de 470 millions d’euros, le renforcement sécuritaire de la DSP2 tombe donc à point nommé.
La fin programmée de l’envoi de code unique par SMS
L’ « authentification forte » telle que définie par l’UE imposera désormais de recourir à deux des trois types de facteurs d’authentification existants : la connaissance (mot de passe, question secrète, code secret, code PIN, numéro d’authentification, etc.), la possession (téléphone mobile, appareil connecté, carte à puce, jeton d’authentification, etc.) et l’inhérence (empreinte digitale, reconnaissance faciale, reconnaissance vocale, biométrie comportementale, etc.). Le système 3D Secure tel que nous avons pu le connaître pendant plus de 10 ans est amené à se complexifier, l’envoi de code unique par SMS étant désormais trop facile à corrompre.
Dans ce contexte, la catégorie « inhérence » – qui consiste à s’identifier avec ce que l’on a de plus unique et de moins complexe, c’est-à-dire soi-même ! – est amenée à tirer son épingle du jeu. Ce n’est pas un hasard si les utilisateurs de smartphones plébiscitent déjà la biométrie pour déverrouiller leurs appareils. En plus d’apporter une couche de sécurité supérieure par le recoupement d’une multiplicité de caractéristiques, elle offre l’expérience utilisateur la plus simple et fluide, ne créant presque aucune interruption dans l’action entreprise.
L’opportunité de se doter d’un niveau de sécurité à la hauteur des prochains défis
Bien sûr, les prestataires de services de paiement pourraient prendre le parti du « minimum », en combinant l’usage d’un mot de passe prédéfini (« connaissance ») et l’envoi d’un code unique par SMS (« possession »), mais ce serait là une belle occasion manquée. A mesure que la technologie se complexifie, les techniques de fraude se perfectionnent et deviennent sans pitié pour les méthodes de sécurité qui ont fait le plus long feu.
Si la remise à niveau imposée par la DSP2 est fortement contraignante pour les organismes financiers, elle leur offre finalement l’opportunité de faire un pas de géant technologique et de prendre une décision hautement stratégique à double niveau : tout d’abord parce que les consommateurs s’attendent de plus en plus à bénéficier d’un service facile d’utilisation et leur assurant une meilleure protection. Une stratégie du moindre changement pourrait se voir sanctionnée par une perte de clients. Ensuite, l’un des bouleversements majeurs de la DSP2 est le changement de « coupable » en cas de problème : les prestataires de services de paiement seront désormais les seuls responsables des transactions frauduleuses, et devront immédiatement rembourser le montant total à leurs clients si ceux-ci n’ont pas autorisé le paiement. Les entreprises concernées ont donc tout intérêt à s’équiper au plus vite de la technologie qui les exposera le moins à ce risque.
Avec l’entrée en application de l’authentification forte dans l’Union européenne, la fraude à la carte bancaire a peut-être de moins beaux jours devant elle. L’année à venir va marquer une révolution des usages de paiement, dont les consommateurs devraient se rendre compte d’ici peu. Les prochains mois leur donneront l’occasion de constater quelles entreprises ont adopté les solutions de sécurité les plus abouties pour protéger leurs données personnelles et leurs biens.