Le fléau de la fraude en ligne

Pouvez-vous dresser un état des lieux de la fraude en ligne en France ?

Elle est apparue aux États-Unis dans les années 2000. Dès cette époque, les Américains se sont mis à lutter contre ce fléau de manière sérieuse. Avec le développement de l'e-commerce en Europe, cette fraude s' est déplacée. Jusqu' alors, le phénomène était limité en Europe du fait du développement des cartes à puce, qui sont difficiles à frauder...

Pourquoi ce développement de la fraude sur Internet, selon vous ?

Plusieurs facteurs l' expliquent. La fraude internet est moins risquée que le trafic de drogue, d'armes ou de personnes, mais ce sont les mêmes mafias qui ont commencé à se dédier à la fraude en ligne. L' activité est donc moins dangereuse et finalement relativement facile. En effet, afin de favoriser l' e-commerce, le consommateur n'est jamais affecté lorsqu'il est victime d'une fraude. Le commerçant ou la banque le rembourseront toujours et cette règle est valable dans tous les pays. C'est la grosse brèche qui s' est ouverte et les chiffres sont édifiants. Après les États-Unis, la France se situe en deuxième position en termes de tentatives de fraude en ligne. Ce sont des bandes organisées qui opèrent la plupart du temps. Par ailleurs, s'il y a la fraude organisée par les mafias, il y a aussi la fraude plus amicale. Si vous cherchez sur Google comment ne pas payer vos achats sur Internet, vous avez environ 800 000 entrées avec des articles qui vous expliquent comment faire...

Sait-on évaluer le coût de cette fraude en ligne ?

Le coût total de la fraude, c' est non seulement la marchandise perdue mais aussi le coût lié aux systèmes informatiques de lutte contre la fraude, aux ressources humaines dédiées à ces thématiques, au manque à gagner des bons de commande rejetés. Ce coût total est évalué en France à une perte de 1,5% du chiffre d'affaires, dit coût total de la fraude (et non le taux de fraude). Cela peut monter, sur certains secteurs, jusqu' à 2%. Si la France est dans la moyenne en termes de taux paiements non reçus (taux de fraude), elle est très mal placée en termes de coût total de la fraude (ce fameux 1,5%) car elle rejette beaucoup plus de transactions que les autres pays. La moyenne européenne du coût total de la fraude est aux alentours de 1 %, tous secteurs confondus...

Nicolas Vedrenne, Merchant Risk Council

Qui gère ces problématiques au sein des sites ?

Le responsable de la fraude est souvent le numéro 2 des sites, c' est le cas par exemple chez Go Voyages, Expedia, Opodo... Les CEO commencent à se rendre compte de l'importance de ces sujets. Et à considérer la gestion de la fraude non pas comme un centre de coût mais de profit. Chez certains membres, les effets leviers de la gestion de la prévention de la fraude ont permis de réaliser des gains de chiffre d'affaires très importants...

Les acteurs doivent-ils s'inquiéter ? Y a-t-il une recrudescence des attaques ?

Les acteurs de l'e-commerce ne doivent pas être confiants. Si leur taux de fraude est bas, on sait que les acteurs de la fraude sont subtils et que les mafias changent de cible en permanence. Ensuite, il faut s' équiper pour pouvoir faire face à ces attaques subites. Elles sont plus fréquentes que par le passé et plus irrégulières. Avant, il y avait de la fraude amicale, alors que nous parlons ici de fraude organisée capable de décimer les résultats d'un mois d'activité. Un phénomène se produit également en France. Le coût du vol en magasin, dans le retail physique, aussi appelé démarque inconnue, est souvent plus élevé que le taux de fraude en ligne. Aussi les CEO ont parfois tendance à ne pas prioriser le sujet.

Quelles sont les parades pour lutter contre la fraude en ligne ?

Il n'y a pas une recette miracle. C'est l'accumulation de recettes qui est efficace. Les grands commerçants mondiaux que je représente disposent, en moyenne, d'une dizaine d' outils différents. Cela va de différentes techniques qui étudient les comportements des consommateurs à des bases de données externes qui permettent de détecter des comportements frauduleux...

Vous parlez d'une exception française qui nous pénalise. Quelle est-elle ?

La France est le pays le plus restrictif en ce qui concerne l'utilisation des données. Nous avons la Cnil, mais le problème est que, longtemps, un amalgame a été fait entre l'usage des données marketing et l'utilisation des données pour la prévention du crime. Il y a un lien entre ces mafias et la fraude internet. Aujourd'hui en France, on ne peut pas utiliser des données que d'autres concurrents, non français, utilisent pour prévenir le crime. Ce qui fait que les grandes marques françaises ne sont pas à égalité avec des marques allemandes ou anglaises. Et les fraudeurs le savent. Notamment dans le secteur du vêtement, les sites basés en France sont plus attaqués que d'autres marques étrangères.

Y a-t-il des acteurs exemplaires en matière de lutte contre la fraude internet ?

Les techniques de prévention font l'objet de nombreux partages entre les marques et les acteurs. Et les échanges de bonnes pratiques sont nombreux. Un acteur comme Microsoft va parler avec Apple. Nike va échanger avec Adidas. Certaines marques mettent leurs informations en commun depuis longtemps et se sont enrichies de ces échanges. Vente-privée, par exemple, est avancé en termes de lutte contre la fraude. Dans l'univers du jeu, World of Craft est également à la pointe de ces sujets.

Pouvez-vous nous présenter votre action au sein de votre association, le MRC ?

Le Merchant Risk Council (MRC) est l'organisme international à but non lucratif qui représente les responsables des paiements et de la prévention de la fraude des plus gros acteurs e-commerce du monde. Lancé aux États Unis en 2000 puis en Europe en 2011, le MRC fournit un réseau d' experts, des formations, des statistiques et autres bonnes pratiques à un groupe de plus de 400 acteurs e-commerce dans le but d'améliorer leur efficacité. Les grands acteurs français comme Vente Privée, Air France, LVMH, Voyages SNCF, Accor, Bouygues Telecom, Yves Rocher, etc. en sont membres.

Quelles sont les tendances fortes à venir en termes de sécurité Internet ?

Un phénomène, qui ne connaît pas encore une grande ampleur en Europe, touche les États-Unis. Il s'agit du vol de données avec les affaires Target et Neiman Marcus. Malgré leur haut niveau de sécurité, ces entreprises se font attaquer, tout comme le Pentagone par exemple. Il est à craindre que de grosses fuites de données touchent l'Europe. Des cas se sont produits avec des vols de numéros de téléphone. Conséquence ? Vous trouvez sur Internet des données de consommateurs qui peuvent intéresser des fraudeurs ou des mafias, lesquelles ont des call-centers et se font passer pour vous pour réaliser des achats sur Internet. Cela risque d'arriver en France mais on ne sait pas quand... Les grands acteurs se préparent d'ailleurs pour pouvoir réagir rapidement. Aux États-Unis, on parle de 120 millions de numéros de cartes de consommateurs qui étaient illégalement disponibles sur Internet au moment de Noël. Autre phénomène, le multicanal, qui multiplie les points d' entrée de la fraude...

Le risque à terme n'est-il pas une perte de confiance des cyberacheteurs ?

À force d'acheter sur Internet, le cyberacheteur comprend qu'il n'y a pas de risques pour lui. Car il est protégé soit par sa banque, soit par le marchand. Les consommateurs savent qu'il n'y a pas de souci pour utiliser leur carte sur le Web, ce qui n' était pas encore le cas il y a seulement trois ans. On sait aussi que le consommateur, de la même manière que dans le monde physique, fait confiance aux marques qu'il aime. Quand les marques sont bien protégées, les fraudeurs le savent. Sur le black web, la nuit, les fraudeurs échangent. Ils ont des "chats" où ils s' avertissent des remparts et des acteurs armés pour les contrer. Les réseaux sociaux marchent chez les consommateurs, ils marchent aussi chez les fraudeurs !

Quels conseils donneriez-vous aux e-marchands ?

Investir, impliquer le marketing, les CEO pour qu'ils comprennent la fraude et vous aident dans votre lutte. Et se positionner comme un apporteur d'affaires dans l'entreprise. Enfin, exiger des partenaires les dernières techniques de prévention. Je suis très neutre vis-à-vis des partenaires mais certains, comme Ingenico ou Worldline, sont très forts sur les sujets de la fraude. Cela n' est pas le cas de l'ensemble du secteur bancaire. Il ne faut pas fixer des plans de bonus sur le critère du taux de fraude car, pour descendre ce taux, il suffit de refuser les transactions. Enfin, trop souvent encore, le responsable de la trésorerie doit attendre les données trop longtemps pour être efficace. Le temps réel et la data restent primordiaux pour lutter efficacement contre la fraude en ligne.