Les paiements numériques se situent à la croisée des chemins de la commodité et de la sécurité. À mesure que les entreprises se développent, leur besoin de solutions de protection des données de leurs clients qui préservent l'expérience en ligne va grandissant. 3D Secure, un protocole d'authentification de référence pour la protection des paiements permet de relever ce défi. Avec 3D Secure 2, ce cadre établi est actualisé plus particulièrement par le biais d'un renforcement des défenses et d'une amélioration de l'expérience client.
L'essor des transactions numériques et mobiles a induit le développement de protocoles tels que 3D Secure 2 : selon un rapport de Grand View Research, le marché mondial de l'authentification des paiements 3D Secure a été estimé à 1,1 milliard de dollars en 2022. Les entreprises ont besoin d'un système qui s'intègre efficacement à leurs plateformes existantes, et qui leur offre une protection solide tout en améliorant l'expérience de paiement dans son ensemble. Nous aborderons ci-après les spécificités de 3D Secure : son objet, son fonctionnement et son mode d'implémentation qui doit permettre aux entreprises de s'adapter et d'optimiser leurs systèmes de paiement tout en répondant aux exigences de leurs clients.
Sommaire
- Qu'est-ce que 3D Secure ?
- Fonctionnement de 3D Secure
- 3D Secure 1 et 3D Secure 2
- Avantages de l'implémentation de 3D Secure
- Idées reçues à propos de 3D Secure
- Défis et inconvénients de 3D Secure
- Implémentation de 3D Secure dans votre système de paiement
Qu'est-ce que 3D Secure ?
3D Secure, nom abrégé de « Three-Domain Secure » est un protocole d'authentification conçu pour prendre en charge la sécurité des transactions par carte de crédit ou de débit. Il a été initialement développé par Visa sous la dénomination « Verified by Visa ». Il implique trois acteurs majeurs : l'émetteur de la carte bancaire, l'acquéreur et le domaine d'interopérabilité.
La première fonction de 3D Secure est d'ajouter une couche de vérification pour les paiements en ligne. Alors que les transactions conventionnelles nécessitent uniquement la communication des informations de carte bancaire et d'un code de sécurité, une transaction 3D Secure invite le titulaire de la carte à fournir un mot de passe supplémentaire ou envoie un code à usage unique sur son appareil mobile. Une opération réalisable par l'intermédiaire d'une fenêtre contextuelle ou de l'interface d'une application.
Fonctionnement de 3D Secure
Le processus 3D Secure est une opération qui s'effectue en plusieurs étapes et implique différentes parties. Il ajoute une couche de sécurité pour les transactions en ligne. Chacune de ces étapes contribue à créer un système d'authentification fiable et efficace.
Le protocole repose sur une interaction complexe entre trois domaines, l'émetteur de la carte bancaire, l'acquéreur et le domaine d'interopérabilité. Nous vous présentons ci-après chacune des étapes de ce processus.
Lancement de la transaction
Lorsqu'un client décide d'effectuer un achat en ligne, il saisit ses informations de carte bancaire sur le site Web de l'entreprise, comme cela est l'usage. À ce stade, le serveur de l'entreprise établit la nécessité d'une authentification 3D Secure et envoie une requête à l'acquéreur, l'institution financière qui traite les transactions par carte bancaire de l'entreprise.
L'entreprise joue un rôle majeur lors de cette étape, car le serveur détermine s'il est nécessaire de recourir à une authentification 3D Secure selon la nature de la transaction et les politiques de l'émetteur de la carte bancaire applicables en la circonstance. Il est important de savoir quand il convient de recourir à ce niveau de sécurité supplémentaire, car cela peut réduire substantiellement le taux de transactions frauduleuses.
Demande d'authentification
L'acquéreur transfère cette demande au réseau de cartes bancaires, souvent Visa ou Mastercard, qui facilite la communication entre l'émetteur et l'acquéreur.
Une communication précise et intervenant au moment opportun entre l'acquéreur et le réseau de cartes bancaires peut faire la différence entre la réussite ou l'échec d'une transaction. Les erreurs et retards peuvent conduire à l'abandon d'une transaction, ce qui a un impact négatif sur l'expérience client et les revenus de l'entreprise.
Processus d'authentification
Le réseau de cartes bancaires identifie l'émetteur de la carte bancaire et lui transmet la requête d'authentification. L'émetteur invite ensuite le titulaire de la carte à fournir des informations complémentaires, généralement par l'intermédiaire d'une fenêtre contextuelle ou de l'interface d'une application.
Lors de cette étape, l'émetteur doit établir s'il convient de privilégier la sécurité ou l'expérience client. La confirmation de l'identité du titulaire de la carte reste extrêmement importante, mais multiplier les invites compliquées et chronophages peut décourager les clients et entraîner la perte de ventes.
Confirmation ou refus
Une fois que le titulaire de la carte a fourni les informations de carte bancaire requises, l'émetteur les évalue afin d'authentifier la transaction. L'émetteur renvoie une réponse à l'acquéreur par l'intermédiaire du réseau de cartes bancaires, qui informe ensuite l'entreprise.
Cette étape est au cœur du processus de transaction. Une authentification positive donne le feu vert à la transaction et contribue souvent à réduire la responsabilité de l'entreprise dans les contestations de paiement liées à la fraude. À l'inverse, une réponse négative peut se traduire par l'annulation de la transaction, en dépit du fait que cela permet de se prémunir contre une utilisation non autorisée de la carte bancaire.
Finalisation de la transaction
Si l'émetteur confirme l'identité du titulaire de la carte, l'entreprise procède à la transaction et fournit les biens ou services. À ce stade, elle doit alors clairement informer le client de l'aboutissement de la transaction, ce qui permet de passer aux étapes de la phase post-achat, telles que la livraison du produit et le service après-vente.
3D Secure 1 et 3D Secure 2
EMVCo a présenté 3D Secure 2 (mise à jour de 3D Secure 1) en octobre 2016, mais l'adoption et l'implémentation complète par les entreprises, les émetteurs et les plateformes de paiement n'ont pas été immédiates. 3D Secure 2 a été plus largement adopté en 2019, suite à l'entrée en vigueur de nouvelles réglementations, notamment la directive révisée sur les services de paiement (DSP2) de l'Union européenne et ses obligations en matière d'authentification forte du client (SCA).
3D Secure 1 et 3D Secure 2 sont tous deux des protocoles d'authentification des transactions par carte bancaire, mais ils diffèrent de par leur conception et leur expérience client. Voici les éléments qui les distinguent.
Expérience client
- 3D Secure 1 : les clients sont redirigés vers une page d'authentification séparée, ce qui se traduit parfois par une expérience de paiement plus perturbatrice.
- 3D Secure 2 : conçu notamment pour améliorer l'expérience client, ce protocole minimise les interruptions lors du paiement. En général, seules les transactions hautement à risque nécessitent une authentification supplémentaire.
Intégration mobile
- 3D Secure 1 : ce protocole n'ayant pas été optimisé pour les expériences de paiement mobile, les pages d'authentification peuvent ne pas être opérationnelles sur les appareils mobiles ou leur affichage peut être perturbé.
- 3D Secure 2 : conçu pour une utilisation sur mobile, il est optimisé pour permettre des intégrations mobiles fluides et fonctionner facilement avec des applications ou des navigateurs mobiles.
Points de données
- 3D Secure 1 : utilisait moins de points de données lors du processus d'authentification.
- 3D Secure 2 : utilise beaucoup plus de points de données (notamment un historique des transactions et des informations sur les appareils utilisés) pour évaluer les risques. L'authentification est donc plus pertinente, car les transactions présentant un risque moindre ne requièrent pas de vérification supplémentaire.
Flux d'authentification simple
- 3D Secure 1 : nécessite habituellement un mot de passe ou une forme d'identification statique de la part du titulaire de la carte bancaire.
- 3D Secure 2 : permet de passer à un « flux d'authentification simple », certaines transactions pouvant être authentifiées sans l'interaction du titulaire de la carte bancaire.
Couverture des transactions
- 3D Secure 1 : principalement dédié aux transactions sans présentation de la carte.
- 3D Secure 2 : couvre plus largement différents types de transactions, telles que les paiements mobiles et les transactions payées grâce aux cartes bancaires enregistrées dans les espaces clients.
Réglementation et conformité
- 3D Secure 1 : a devancé certaines des réglementations modernes relatives aux paiements en ligne.
- 3D Secure 2 : conçu pour respecter la directive révisée sur les services de paiement (DSP2) de l'Union européenne, en particulier ses obligations en matière d'authentification forte du client (SCA) pour les transactions en ligne.
Communication entre l'émetteur et l'entreprise
- 3D Secure 1 : disposait de possibilités de communication limitées entre les émetteurs et les entreprises à propos des transactions.
- 3D Secure 2 : permet des communications plus directes entre les émetteurs et les entreprises, ce qui favorise une prise de décision en temps réel sur la base du risque estimé des transactions.
Ces deux protocoles fournissent un environnement sécurisé pour les transactions par carte bancaire, mais l'implémentation de 3D Secure 2 permet de bénéficier des avancées en matière d'expérience client, d'optimisation des paiements mobiles et de méthodes d'authentification adaptatives. Cette nouvelle version permet au commerce en ligne de disposer d'une solution plus moderne et plus simple à utiliser.
Avantages de l'implémentation de 3D Secure
Risque de transactions frauduleuses réduit
La technologie 3D Secure évalue les transactions en temps réel en imposant des étapes d'authentification supplémentaires de la part des clients. La majorité des transactions non autorisées sont ainsi éliminées, ce qui entraîne une baisse des coûts induits par la fraude pour les entreprises. Des contestations de paiement moins nombreuses sont synonymes d'une meilleure notation bancaire. En 2022, selon les données présentées par Statista, la fraude au paiement a engendré des pertes pour l'e-commerce à hauteur de 41 milliards de dollars dans le monde, ce qui met en évidence l'ampleur du phénomène auquel les entreprises sont confrontées.Confiance accrue des clients
Une couche d'authentification supplémentaire envoie un signal positif aux clients et les incite à poursuivre leurs achats en toute sécurité. Cette confiance accrue présente des avantages à long terme. Elle peut avoir une incidence sur le cycle de vie du client en contribuant à transformer des clients ponctuels en clients réguliers et des clients occasionnels en ambassadeurs de la marque.Conformité avec les normes du secteur
À l'ère du numérique, la conformité juridique constitue un impératif pour les entreprises. Les instances réglementaires actualisent régulièrement leurs recommandations, ce qui complique la tâche des entreprises qui souhaitent se tenir informées. L'intégration de 3D Secure peut vous aider à préserver votre conformité, à éviter de lourdes amendes et à échapper à des complications sur le plan juridique. Une réputation de respect rigoureux des réglementations peut également devenir un élément différenciateur et convaincre des clients réticents de choisir votre plateforme plutôt que celle d'un concurrent moins sûr.
Idées reçues à propos de 3D Secure
Plusieurs idées reçues à propos de 3D Secure peuvent constituer un frein à l'adoption de cette technologie par les entreprises. Il convient de les dépasser afin de pouvoir prendre une décision éclairée. Examinons-les de plus près.
Idée reçue no 1 : cela effraie les clients.
L'idée selon laquelle des mesures de sécurité supplémentaires se traduisent par des paniers abandonnés n'est pas tout à fait exacte. Les données suggèrent que lorsque des personnes constatent que des entreprises prennent des mesures pour protéger les informations personnelles de leurs clients, elles ont davantage tendance à finaliser leur achat. Ces mesures peuvent aider les clients à associer votre marque à l'idée de confiance et de sécurité et favoriser ainsi leur rétention et leur fidélité à long terme.Idée reçue no 2 : c'est une solution imparable pour lutter contre la fraude.
Même si 3D Secure réduit substantiellement le risque de transactions frauduleuses, aucun système n'est parfait. Une stratégie équilibrée consiste donc à multiplier les couches de mesures de sécurité, incluant 3D Secure, sans toutefois s'y limiter, afin de combattre différents types d'activités frauduleuses plus efficacement.Idée reçue no 3 : les transactions sont ralenties.
3D Secure est perçu comme un processus qui allonge inutilement le temps nécessaire à la réalisation d'une transaction. Cependant, les quelques secondes supplémentaires nécessaires à l'authentification peuvent représenter un gain de temps à long terme, puisque le nombre de transactions qui doivent être examinées en raison d'une suspicion de fraude se voit réduit. La possibilité offerte de réduire les frais de contestations de paiements et les autres coûts induits par la fraude peut compenser les retards minimes occasionnés dans la conclusion des transactions.Idée reçue no 4 : cela ne concerne que les secteurs à haut risque.
Certains considèrent que 3D Secure n'est pertinent que pour des secteurs tels que le luxe ou les jeux en ligne, pour lesquels la valeur des transactions est généralement très élevée. Toutefois, cela n'est pas le cas. Les entreprises qui exercent leurs activités dans de nombreux secteurs différents, sans que ceux-ci soient à haut risque, peuvent tirer parti de cette sécurité accrue. 3D Secure est comparable à une police d'assurance : il vaut mieux en avoir une et ne pas en avoir besoin plutôt que l'inverse.
Défis et inconvénients de 3D Secure
Même si 3D Secure présente de nombreux avantages, l'implémentation de cette technologie peut également présenter certains défis et inconvénients pour les entreprises.
Augmentation du taux d'abandon de panier
Un des défis auxquels peuvent être confrontées les entreprises qui ont recours à 3D Secure est celui de l'augmentation du taux d'abandon de panier. Lorsqu'ils sont soumis à un processus d'authentification supplémentaire, les clients interrompent parfois le traitement de la transaction, car ils trouvent cela fastidieux ou n'en voient pas l'utilité. Même si l'objet de 3D Secure est d'ajouter une couche de sécurité, les clients qui considèrent cela comme un inconvénient sont moins enclins à finaliser leur achat.Complexité de l'expérience client
L'ajout de multiples étapes au processus de paiement peut complexifier l'expérience client. Moins le processus de paiement est intuitif, plus le client a tendance à l'abandonner. Une expérience de paiement doit être aussi fluide que possible, tout en conservant des mesures de sécurité nécessaires ; un équilibre qui est parfois délicat à assurer avec l'intégration de 3D Secure.Exigences opérationnelles
L'implémentation de 3D Secure implique souvent d'apporter des changements aux systèmes et processus existants. Il convient parfois de procéder à u ne mise à niveau de l'infrastructure informatique, de veillez à la formation des employés et de s'assurer que le personnel du service après-vente dispose de tous les éléments pour répondre aux questions qui ne manqueront pas d'être posées. L'investissement initial en temps et en ressources peut être considérable, ce qui peut décourager certaines entreprises d'adopter cette technologie.Préoccupations en matière de responsabilité
Même si 3D Secure transfère une part de la responsabilité qui incombe pour aux entreprises pour les transactions frauduleuses, les conditions de cette exonération peuvent être complexes. Tous les scénarios de fraude ne sont pas couverts, et les entreprises doivent rester vigilantes dans la prise de mesure antifraude. Un sentiment de sécurité sans fondement peut rendre les entreprises moins prudentes, ce qui peut avoir des répercussions à long terme.
En dépit des défis que présente potentiellement 3D Secure, une planification adaptée peut contrebalancer ces inconvénients. Pour ce faire, les entreprises peuvent choisir de travailler avec un prestataire de services de paiement solide et aux compétences étendues tel que Stripe.
Implémentation de 3D Secure dans votre système de paiement
L'intégration de 3D Secure à votre système de paiement fournit une couche de sécurité supplémentaire qui permet de prévenir les transactions frauduleuses. Stripe propose une assistance complète pour 3D Secure 2, une version plus avancée et plus simple à utiliser de ce protocole de sécurité. Voici quelques étapes à suivre et certains éléments importants à prendre en considération lors de son implémentation.
Réaliser une intégration avec les API Stripe
Stripe donne accès à 3D Secure 2 par l'intermédiaire de ses API de paiement et de sa fonctionnalité Checkout. L'intégration de ces outils dans votre système protège les transactions à haut risque d'une fraude potentielle. Elle vous permet d'avoir recours à 3D Secure 2 lorsque la banque du titulaire de la carte bancaire prend ce protocole en charge, et de revenir à 3D Secure 1 si nécessaire.Accorder une attention particulière aux applications mobiles
Les applications mobiles exigent un flux de transaction fluide. Les SDK iOS et Android permettent une authentification dans les applications, ce qui permet aux clients d'interagir directement. Ils ne sont donc pas redirigés vers des pages externes, ce qui serait susceptible d'interrompre le processus de paiement. Même si une banque ne prend pas en charge 3D Secure 2, les SDK mobiles Stripe afficheront 3D Secure 1 dans une vue Web intégrée à votre application.Privilégier l'expérience client
L'utilisation des smartphones a été prise en compte lors du développement de 3D Secure 2, ce qui permet aux banques d'actualiser leurs méthodes d'authentification. Les clients peuvent ainsi, par exemple, authentifier un paiement en utilisant une empreinte d'identification ou la reconnaissance faciale. Cette nouvelle technologie contribue à améliorer l'expérience de la transaction et limite les interruptions.Adopter les flux de paiement Web et mobile
La conception de 3D Secure 2 permet de gérer le flux entre les paiements Web et mobiles, rendant inutiles les redirections de pages complètes. Si un client confirme son identité sur votre site Web ou sur votre application, l'invite 3D Secure s'affichera dans une fenêtre modale sur la page de paiement.Suivre l'évolution des réglementations
Si vous exercez vos activités en Europe, vous êtes dans l'obligation d'appliquer l'authentification forte du client (SCA). Cette dernière impose des conditions d'identification strictes pour les paiements européens, ce qui rend l'expérience client de 3D Secure 2 des plus précieuses. En ayant recours à ce protocole, les entreprises peuvent minimiser tout impact négatif potentiel sur les taux de conversion.Tirer parti de la flexibilité de 3D Secure 2
L'adaptabilité au protocole 3D Secure 2 proposée par Stripe permet de se dispenser de l'étape d'authentification pour certaines transactions, en particulier lorsqu'elles sont associées à un risque faible, et d'opter pour une expérience de paiement « fluide ». Cependant, si le prestataire de services de paiement demande à bénéficier de cette exemption et que ses transactions sont traitées dans le cadre de l'expérience de paiement « fluide », les avantages liés au transfert de responsabilité peuvent ne pas s'appliquer.
L'intégration de 3D Secure 2 à votre système de paiement peut aider à prévenir la fraude tout en garantissant une expérience de paiement aussi simple que possible. Les entreprises peuvent allier sécurité et facilité d'utilisation de façon équilibrée grâce aux outils proposés par Stripe et aux recommandations ci-dessus.
En savoir plus sur 3D Secure 2 avec Stripe
Le contenu de cet article est fourni uniquement à des fins informatives et pédagogiques. Il ne saurait constituer un conseil juridique ou fiscal. Stripe ne garantit pas l'exactitude, l'exhaustivité, la pertinence, ni l'actualité des informations contenues dans cet article. Nous vous conseillons de solliciter l'avis d'un avocat compétent ou d'un comptable agréé dans le ou les territoires concernés pour obtenir des conseils adaptés à votre situation particulière.