Structurer la gestion de la fraude, une première mesure anti-crise pour le e-commerce ?
Avec des taux de croissance en forte chute, l'âge d'or pour le e-commerce en France est désormais révolu. Longtemps habitués à une croissance ininterrompue, les sites doivent désormais optimiser leurs processus de gestion pour préserver leur rentabilité et assurer leur avenir. Parmi les domaines d'amélioration, la lutte anti-fraude.
En augmentation continue depuis 2007, le taux de fraude sur les paiements e-commerce en France a atteint, selon l’Observatoire de la sécurité des cartes de paiement, le taux de 0,34% en 2011, en progression de plus de 20% par rapport à 2010 et sans aucun signe de retournement de tendance pour 2012. Cette évolution contraste de façon flagrante avec la situation constatée chez nos plus proches voisins, et fait partie de ces exceptions françaises dont notre économie pourrait fort bien se passer.
Arguant du fait que le remède est pire que le mal, c’est-à-dire que les pertes dues à la fraude sont inférieures aux ventes perdues en raison des mesures de sécurité trop restrictives pour le consommateur, force est de constater que la majorité des sites marchands français n’ont pas encore mis en place des mesures leur permettant de structurer la gestion de la fraude.
Or cette situation n’est plus aujourd’hui tenable, et ce pour trois raisons principales. D’une part en raison de l’apparition de techniques de fraude de plus en plus sophistiquées, difficiles à détecter avec les moyens de contrôle traditionnels. D’autre part, en raison de l’inefficacité et des coûts très élevés des opérations de contrôle manuel. Enfin, en raison de l’évolution en cours de l’e-commerce mondial, marquée par deux tendances de fond : l’internationalisation et le multicanal.
En vérité, l’absence d’une stratégie anti-fraude efficace a un triple impact négatif sur la rentabilité des sites marchands. Elle génère des pertes croissantes dues à la fraude, de moins en moins maîtrisables. Elle génère un nombre non négligeable de clients perdus car rejetés pour de mauvaises raisons. Elle génère des dépenses inutiles car inefficaces dans les opérations de contrôle manuel, qui pourraient être affectées ailleurs.
Un impératif : la détection automatisée
Les principaux indicateurs de fraude, qui doivent être surveillés en priorité, sont connus par la plupart des sites marchands. Il s’agit dans l’ordre, des achats de produits de valeur élevée, aisément revendables ; de l’occurrence de nombreux achats provenant d’un même client ; d’achats multiples d’un même produit ; d’achat provenant de l’international, notamment de pays ‘à risque’.
En revanche les principales menaces liées aujourd’hui à la fraude pour les sites marchands le sont moins. Parmi celles-ci figurent en première place les fraudes « propres » au cours desquelles les fraudeurs fournissent des données de commande qui sont correctes et complètes, donc difficiles à détecter, et les fraudes amicales, au cours desquelles les clients effectuent un achat valide, mais contestent de mauvaise foi la transaction auprès de leur banque en invoquant une usurpation d’identité, une absence de livraison ou une non-conformité du produit.
Figurent également dans ces menaces en croissance le « phishing » bien connu, et le « pharming », qui vise à attirer l’acheteur sur un faux site en lieu et place du vrai.
Pour lutter contre ces nouvelles menaces, toujours plus sophistiquées, difficiles voire impossibles à détecter par des méthodes traditionnelles, les e-commerçants n’ont plus d’autre choix que d’utiliser de concert de nouveaux outils ou méthodes de contrôle (par exemple l’empreinte numérique, l’analyse de trames IP, le recours à des bases de données externes , la cohérence entre localisation GPS et triangulation opérateurs…), et de mettre en place des systèmes automatisés à base de règles pour interpréter les résultats, et déterminer au fil de l’eau si les transactions doivent être acceptées, rejetées ou soumises à vérification.
La menace croissante que représentent les nouvelles fraudes propres est la meilleure preuve de la nécessité d’une telle stratégie. Leur détection efficace impose en effet l’utilisation conjointe de nouveaux outils tels que la consultation des réseaux sociaux, la vérification de l’ancienneté des adresses email ou encore l’analyse comportementale.
Optimiser les contrôles manuels, sources d’inefficacité et de coût
Le contrôle manuel des commandes à risque reste la règle pour la quasi-totalité des sites marchands français. Or l’expérience prouve que ces contrôles n’ont pas, loin s’en faut, l’efficacité voulue. D’une part car un certain nombre de commandes à risque passent entre les mailles du filet et ne sont pas vérifiées. D’autre part, car le plus souvent la majorité des commandes vérifiées sont finalement validées. Ce qui tend à prouver qu’un grand nombre d’entre elles ont été mises de côté, donc retardées pour de mauvaises raisons, avec les conséquences que cela implique en termes de pertes de clients. A l’heure de la livraison à J+1 voire à J, la rapidité d’expédition est une préoccupation majeure des e-commerçants. Enfin, car ces contrôles, bien que peu efficaces, n’en mobilisent pas moins dans le cas général la plus grande partie des ressources et des budgets consacrés à la lutte anti-fraude.
Les sites marchands doivent donc améliorer leur retour sur investissement en optimisant l’efficacité de leurs équipes chargées du contrôle des transactions suspectes.
La première mesure à prendre est évidemment de réduire au maximum le nombre de transactions effectivement vérifiées, en améliorant la détection en amont des commandes valides ou à rejeter.
Ensuite, la mesure la plus efficace et la plus simple à mettre en œuvre semble être de fixer des indicateurs de mesure, et d’évaluer dans le temps les opérations des équipes de contrôle sur ces bases. Par expérience, cette méthode permet de trouver progressivement le juste équilibre entre le rendement et l’efficacité des équipes de contrôle.
Traquer la fraude sur tous les canaux de vente
Le développement des ventes à l’international est une tendance de fond qui touche la majorité des e-commerçants dans le monde, et la France ne fait pas exception.
Pénétrer sur de nouveaux marchés permet évidemment d’accroître les ventes, mais en contrepartie les taux de fraude sur les transactions provenant de l’international sont notoirement plus élevés, en particulier en raison de l’existence de pays dits ‘à risque’ dépourvus d’infrastructures de contrôle efficaces, mais aussi car les fraudes y sont plus difficilement identifiables. La typologie des fraudes varie d’une zone géographique ou d’un pays à un autre, et ces subtilités sont parfois difficilement appréhendables, soit par manque d’ancrage local, soit par manque de moyens.
La multiplication des canaux de vente, et notamment le mobile, est une autre tendance de fond. Or beaucoup d’e-commerçants ne traquent encore que très imparfaitement ou pas du tout la fraude sur ce nouveau canal, pourtant en forte croissance. Alors que la vaste diffusion de terminaux mobiles, la diversité du type de terminaux et leurs capacités de connexion internet démultiplie les opportunités pour les fraudeurs
D’autant que l’authentification 3D Secure (basé en France à plus de 80 % sur l’envoi d’un code dynamique par SMS) sur un smartphone requiert de la part de l’utilisateur un certain niveau de dextérité combinée à une connaissance intime du mode multitâche de son appareil, si tant est qu’il en soit pourvu.
Ces deux nouvelles tendances ont pour conséquence immédiate d’accroître les risques de fraude, lesquels ne peuvent être adressés par les méthodes traditionnelles de contrôle.
Elles renforcent donc encore la nécessité pour les e-commerçants français de mettre en œuvre des stratégies de lutte anti-fraude centralisées et structurées pour traquer efficacement la fraude sur tous les marchés et tous les canaux de vente.