Retardée dans sa mise en application, la nouvelle directive sur les services de paiement inclut un volet authentification forte, dont l’objectif est de renforcer les normes de sécurité pour les transactions en ligne.
La DSP2 est officiellement entrée en vigueur l’automne dernier, mais sa mise en œuvre se heurte aujourd’hui aux réalités du confinement, rapporte la Fevad, la fédération de l’ e-commerce et de la vente à distance. Elle souligne qu’une récente réunion du groupe de travail Migration de l’OSMP (Observatoire de la sécurité des moyens de paiement) a acté l’impossibilité de respecter, dans le contexte actuel, les actions nécessaires pour se conformer au plan relatif à la mise en application de la DSP2. Les différentes échéances, en particulier la date butoir du 31 décembre 2020, sont gelées tant que l’état de confinement est maintenu, et sont même prolongées jusqu’à 2022.
Ce délai devrait inciter les différents acteurs (banques, intermédiaire de paiement, opérateurs de cartes bancaires et e-commerçants) à approfondir les tests en cours et identifier les problèmes techniques, estime la Fevad. Car, en plus de chercher à simplifier et automatiser les parcours client en ligne à travers des API interopérables, l’objectif de la DSP2 est de rendre obligatoire l’authentification forte du payeur en instituant deux niveaux d’identification au moins parmi trois : fournir un mot de passe personnel, posséder un téléphone ou une carte à puce ou bien exploiter une caractéristique biométrique (empreinte digitale ou reconnaissance faciale ou vocale).
La fin ou l’évolution du 3D Secure
Déjà répandu dans le commerce en ligne, l’usage d’un dispositif 3D Secure permet de s’assurer de l’identité du payeur et de réduire les risques d’usurpation d’identité ou de fraude. Mais ce protocole pourrait être remplacé par la DSP2 d’ici 2022. Il est toutefois possible que l’envoi du code unique par SMS propre au 3D Secure actuel soit conservé car il a l’avantage d’être simple et déjà rentré dans les mœurs pour le consommateur français, estime Arnaud Gallut, directeur des ventes pour la région sud EMEA chez Ping Identity. Le 3D Secure devra alors être complété par un deuxième facteur, mot de passe ou identification biométrique.
Alors que les e-commerçants les plus expérimentés suivent de près ces évolutions qui impactent des infrastructures mises en place depuis des années, les nouveaux venus dans le commerce en ligne sont eux aussi concernés par ces changements et devraient dès à présent s’y adapter.
Mais comment se conformer à la sécurisation des transactions lorsqu’il s’agit d’une activité éloignée de son cœur de métier et que l’on ne dispose pas d’expertise dans ce domaine ? Beaucoup de prestataires mettent à disposition de ces marchands des sets d’intégration technique conformes à la DSP2. Dans la pratique deux niveaux sont à prendre en compte. « Il y a d’abord l’aspect réglementaire et juridique qui revient à ouvrir un compte bancaire dans le respect des exigences du KYC. Il y a ensuite la partie technique dans lequel le marchand choisit le mode d’intégration que lui propose son prestataire de services de paiement. Il peut alors opter pour la connexion par API, qui constitue l’approche la plus complexe mais aussi la plus dangereuse si elle ne respecte pas la conformité PCI DSS, ou le marchand peut alors, et c’est ce que nous préconisons, exploiter des modules d’intégration personnalisables compatibles PCI DSS, ce qui permet de développer la meilleure expérience client possible tout en déportant des problèmes de sécurité chez le prestataire plus que chez le marchand », résume Grégoire Bourdin, CEO d’HiPay.