Login to your account

Username *
Password *
Remember Me

PING IDENTITY : Tribune Libre accordée à Arnaud GALLUT, Directeur des Ventes Europe du Sud «Paiements sécurisés en ligne : quel avenir pour l’authentification 3D Secure ?»

PING IDENTITY : Arnaud GALLUT, Directeur des Ventes Europe du Sud PING IDENTITY : Arnaud GALLUT, Directeur des Ventes Europe du Sud ©2018 SecteurVert.com

Le report de la mise en vigueur en France de la directive européenne sur les services de paiement (DSP2 ou PSD2 en anglais) a suscité beaucoup d’interrogations, notamment sur la date exacte et les modalités de l’abandon de 3D Secure, la méthode standard d’authentification pour les paiements en ligne utilisée par les banques françaises. Quelle sera donc la nouvelle méthode d’authentification en vigueur en France d’ici la fin 2022 ?

Examinons les faits. La directive européenne PSD2 est officiellement entrée en vigueur en janvier 2018, mais la fin du délai de sa transposition par les différents états membres de l’UE était initialement prévue le 24 septembre 2019. Cette date butoir a été repoussée par l’autorité bancaire européenne (ABE) à fin décembre 2020, certains pays décidant d’accorder un délai supplémentaire.

La France de son côté, avec l’aval de l’autorité bancaire européenne, a décidé d’accorder deux années supplémentaires, en repoussant la date de mise en vigueur définitive à fin 2022 pour le seul volet de l’authentification forte. La raison de ce report est simple à comprendre. Le respect de la directive nécessite pour l’écosystème des paiements la mise en place de nouvelles infrastructures et procédures et ses membres – banques en tête, étaient loin d’être prêts.

Une réglementation en deux volets

Rappelons que la nouvelle directive a pour objectif de favoriser l’innovation, la transparence de la concurrence et l’efficacité du marché des services financiers dans l’Union Européenne, et plus précisément de moderniser les services de paiement en Europe au profit tant des consommateurs que des entreprises, pour rester en phase avec un marché en évolution rapide. Concrètement la directive comporte deux volets.

Elle oblige d’abord les banques dans l’UE à fournir l’accès aux données de leurs clients, en obtenant leur accord au préalable, à des acteurs tiers que sont les initiateurs de services de paiement (traditionnellement les sites de commerce électronique) ou les fournisseurs de services d’informations sur les comptes (agrégateurs offrant des outils de gestion des finances personnelles rassemblant plusieurs comptes).

Les banques doivent pour cela assurer une communication sécurisée et standardisée en mettant à disposition un ensemble d’API ouvertes et interopérables, briques logicielles permettant à deux applications – celle de la banque et celle de l’acteur tiers – de communiquer entre elles. L’objectif, grâce à ces API, est de simplifier et d’automatiser les parcours client en ligne, en supprimant les intermédiaires, et de donner aux différents prestataires concernés l’opportunité d’offrir de nouveaux services financiers innovants.

Deuxième volet, conséquence immédiate du premier, la mise à disposition de ces API ouvertes impose de garantir l’authentification de l’initiateur de chaque transaction. C’est là qu’intervient l’authentification forte, ou SCA (Strong Customer Authentification). On le sait, pour lutter contre la fraude contre les paiements en ligne liée au vol des numéros de carte de crédit, l’écosystème des paiements a imposé depuis une quinzaine d’années une authentification plus poussée, baptisée 3D Secure, reposant sur l’envoi par l’acheteur d’un code supplémentaire pour valider la transaction.

Les banques dans les différents pays européens ont interprété 3D Secure de différentes manières. En France, celle qui s’est imposée est l’envoi d’un code à usage unique par SMS, désormais quasi généralisé pour les paiements en ligne et les transactions bancaires.

Or l’obligation de l’authentification forte imposée par DSP2 remet en cause cette méthode. Pour l’autorité bancaire européenne comme pour les spécialistes de la lutte contre la fraude, elle n’offre en effet pas un niveau de sécurité suffisant.

Le consommateur devra désormais s’authentifier grâce à au moins deux facteurs distincts parmi trois : quelque chose qu’il sait (mode de passe par exemple), quelque chose qu’il possède (ordinateur, smartphone) et/ou quelque chose qui le caractérise en tant qu’individu (empreinte digitale, etc.).

3D Secure : abandon ou intégration dans un nouveau processus ?

Quelle sera donc la nouvelle méthode d’authentification en vigueur en France d’ici la fin 2022 ? Le délai supplémentaire accordé par les autorités françaises est une excellente opportunité pour l’ensemble des intervenants de se réunir autour d’une table pour définir une solution commune qui réponde au mieux à leurs intérêts distincts.

Ces intervenants sont en effet classés en quatre catégories : les banques, les intermédiaires de paiement, les opérateurs de cartes bancaires et les e commerçants, qui tous n’ont pas les mêmes besoins et les mêmes objectifs. 

La solution adoptée devra nécessairement offrir le meilleur compromis entre les impératifs de sécurité et la simplicité d’utilisation pour le consommateur. Il est très probable qu’elle sera standardisée pour toutes les banques, comme l’est aujourd’hui 3D Secure, et qu’elle sera propre à la France, chaque pays se définissant en fonction de ses préférences nationales.

Il est tout à fait possible que l’envoi du code unique par SMS propre au 3D Secure actuel soit conservé car il a l’avantage d’être simple et déjà rentré dans les mœurs pour le consommateur français. Mais il devra être complété par un deuxième facteur, qui pourra prendre la forme d’un mot de passe ou d’une identification biométrique, l’objectif étant qu’il soit le moins astreignant possible pour l’utilisateur.

Sur le volet des API ouvertes, dont la mise en vigueur définitive est prévue le 31 décembre 2020, beaucoup de travail reste également à faire. En effet, seules entre 35 et 40% des banques dans l’UE étaient en conformité en septembre 2019.

Pour respecter le nouveau délai, les établissements retardataires devront mettre en place dans l’année qui vient de nouvelles solutions basées sur l’identité numérique capables, en toute transparence, d’obtenir le consentement du demandeur et de sécuriser l’ensemble des transactions entre le client, la banque et l’acteur tiers.

Arnaud Gallut, Directeur des Ventes Europe du Sud Ping Identity

À propos de Ping Identity :

  • Ping Identity révolutionne l’identité Intelligente. Ping Identity aide les entreprises à mettre en place un modèle de sécurité Zero Trust défini par l'identité et des expériences utilisateurs plus personnalisées.
  • La plateforme Ping Intelligent Identity™ fournit un accès aux API et applications cloud, mobiles, SaaS et sur site aux clients, collaborateurs, partenaires et objets connectés tout en gérant les identités et données de profil à l’échelle de l’entreprise.
  • Plus de la moitié des 100 plus grandes sociétés au monde font confiance à l’expertise de Ping Identity en matière d’identités, de leadership dans les standards ouverts et aux partenariats avec des entreprises telles que Microsoft et Amazon.
  • Ping Identity propose des options flexibles pour étendre les environnements IT hybrides afin d'accélérer les projets de transformation digitale des entreprises grâce à des fonctionnalités d’authentification multifacteur, de single sign-on, de gestion des accès, de sécurité intelligente des API, d'annuaire et de gouvernance des données. 

Source : Ping Identity

Évaluer cet élément
(0 Votes)
Dernière modification le jeudi, 21 novembre 2019 13:04

Laissez un commentaire

Assurez-vous d'entrer toutes les informations requises, indiquées par un astérisque (*). Le code HTML n'est pas autorisé.

A propos de Secteur-Vert :

Créé en 2010, SecteurVert.com « le site 100% Jardin & Espaces Verts » est historiquement, en France et en Europe entre autres, LE premier portail d’information multimédia qui s’adresse non seulement à l'ensemble des professionnels du Jardin, du Paysage et de la Distribution mais aussi à tous les consommateurs ! Une offre éditoriale « à 360° » unique, complète et originale à la fois pour les :
Utilisateurs Professionnels ;
Distributeurs et Revendeurs ;
Jardiniers Amateurs.

 

 

 

5 Sites Web Secteur-Vert !

Vous êtes un Paysagiste, une Entreprise du Paysage, un Distributeur spécialisé Jardin-Motoculture ou un particulier passionné de Jardinage ?

1- Réagissez et donnez votre avis ;
2- Recrutez ou recherchez un emploi ;
3- Trouvez des astuces et des conseils ;
4- Découvrez des événements ;
5- Publiez vos petites annonces...

Précurseur incontestable depuis 2010, Secteur Vert a développé ses activités face au constat de l’essor d’internet dans les processus d’achat.

Les Nouveaux Tweets...

Sur notre page Facebook...

Création site internet agence web paris Formation en alternance Commerce de gros desherbant selectif gazon