E-commerce : comment les solutions de lutte contre la fraude misent sur la DSP2

La DSP2 introduit de nouvelles exigences en matière d’authentification forte sur le paiement en ligne. Des dérogations (ou exemptions) seront cependant mises en place pour fluidifier le paiement, à condition que les acteurs puissent prouver leur capacité à réaliser des analyses de risque efficaces en temps réel. Une exemption sera par exemple possible lorsque le marchand sera inscrit par la banque acquéreur dans une liste blanche de partenaires de confiance, ou bien sur la base d’une analyse des risques de toutes les transactions traitées par l’acquéreur ou le PSP. Ainsi, si son taux de fraude est inférieur ou égal à 0,13%, l’acteur pourra débrayer l’authentification forte pour les transactions allant jusqu’à 100 euros (le taux monte à 0,01% pour la tranche 250-500 euros).

De quoi pousser tous les acteurs de la chaîne, des marchands aux banques émettrices et banques acquéreurs, à recourir à une solution de lutte contre la fraude innovante et performante. Les acteurs se positionnant sur ce créneau sont nombreux : Ingenico, Adyen, Payline, Stripe, CyberSource (filiale de Visa), Experian, Oneytrust, Global Collect, Fraugster, Feedzaï, Ravelin, Threatmetrix, Accertify, Signifyd, Sift Science… Mais ces solutions se positionnent différemment sur la chaîne de valeur du paiement en ligne.

Périmètre de la solution

Certains PSP acquéreurs, comme Stripe ou Adyen, gèrent à la fois l’acquisition et l’acceptation du paiement et intègrent aussi un module de lutte contre la fraude. Ces solutions mettent en avant les volumes de paiements gérés pour leurs clients et la masse de données leur permettant d’améliorer la détection des fraudeurs. Surtout, en opérant le rôle d’acquéreur et de PSP, elles ont directement accès à toutes les informations de paiement (nom du client, e-mail, adresse de facturation et de livraison…).

D’autres solutions, comme CyberSource (filiale de Visa), sont également des opérateurs de paiement en ligne mais ne sont pas acquéreurs et ne gèrent que le volet PSP. “Nous ne sommes pas acquéreurs puisque nous ne pouvons pas être en concurrence avec des banques qui sont clientes de Visa par ailleurs, indique Julien Duméry, responsable de CyberSource en France et en Belgique. Nous sommes une plateforme PSP, un hub qui propose plusieurs fonctionnalités dont l’acceptation de paiement, la tokenisation mais aussi la lutte contre la fraude.”

Chez Ingenico, le périmètre est fonction du choix du client : la société peut à la fois gérer l’acquisition, faire office de PSP et proposer aussi un module contre la fraude, réservé aux clients qui utilisent a minima Ingenico comme PSP. “Réaliser l’acquisition est un atout : dans ce cas, nous avons directement accès aux informations relatives aux impayés et nous pouvons agir plus rapidement, collecter les informations pour régler le cas, etc.”, souligne Laurent Auerbach, risk and fraud manager.

D’autres acteurs, comme Ravelin ou Threatmetrix, éditent des solutions cloud spécialisées qui ne gèrent pas le paiement en parallèle. Ravelin, par exemple, créé à Londres en 2004, s’est positionné principalement à ses débuts sur la détection de la fraude pour les marketplaces, sur lesquelles les schémas de fraude sont complexes . La société utilise à la fois les données de la marketplaces et sa propre base alimentée par des fournisseurs de données et par les données de tous ses autres clients. La solution veut désormais toucher tous les e-commerçants et a aussi lancé récemment un produit dédié aux PSP, mais elle n’a pas encore signé de clients sur ce créneau.

Identité numérique

ThreatMetrix, solution américaine créée en 2005 et depuis rachetée par LexisNexis Risk Solutions, s’est spécialisée sur l’identité numérique. Elle détecte les fraudeurs ou clients légitimes en temps réel en authentifiant leur identité numérique. “Nous utilisons le device fingerprinting et la détection des réseaux comme les VPN ou Proxy ; nous analysons les données contextuelles sur la transaction et surtout nous comparons de manière anonymisée les informations du client avec notre réseau d’identité numérique, qui est un énorme différenciateur puisqu’il regroupe 1,4 milliard d’identités numériques uniques”, indique Carine Cartaud, directrice de vente pour la France et l’Europe du Sud. Nous avons réalisé près de 40 milliards d’analyses de risque en 2018.” Threatmetrix revendique 6 000 clients, parmi lesquels des e-commerçants comme eBay, Cdiscount, Airbnb, Netflix ou Tripadvisor mais aussi des banques, comme Banque Casino qui l’utilise pour le crédit en ligne. CyberSource, la solution de Visa, est d’ailleurs également cliente. Elle utilise Threatmetrix pour l’authentification de l’identité numérique.

Big Data et règles métiers

La quantité et la qualité des données analysées par les solutions représentent le socle des offres de lutte contre la fraude. CyberSource, par exemple, assure bénéficier de toutes les données Visa, “soit 65% des transactions cartes dans le monde, ce qui représente 68 milliards de transactions par an”, décrit Julien Duméry, mais aussi “de la donnée complémentaire issue des acquéreurs connectés au réseau Visa, les émetteurs de cartes et aussi les commerçants”. CyberSource effectue des “tests de corrélation en temps réel”. Parmi les techniques utilisées : device fingerprinting, velocity check (analyse de la vitesse de l’utilisateur), ID morphing (capacité à récupérer l’information dans le volet transactionnel pour restituer l’identité)… “En plus du scoring de fraude, nous effectuons 260 tests de corrélation”, ajoute le responsable.

Quant au scoring, il est élaboré à partir de données “statiques et fraîches”, grâce à des techniques de machine learning couplées au moteur de règles de chaque commerçant. “3 à 4 collaborateurs de CyberSource sont affectés à chaque projet client : une personne pour gérer la relation, un ingénieur pour l’intégration, un technicien manager pour expliquer comment fonctionne la plateforme mais aussi un risk analyst, expose Julien Duméry. Ce dernier regarde l’historique de fraude du marchand et les tendances de son marché pour établir la version bêta du moteur de règles, puis la solution apprend d’elle même.” Le volet automatisé d’émission du score en temps réel est donc accompagné du moteur de règles puis du volet de prise de décision : selon son appétence au risque, le marchand ajuste les critères d’acceptation, de rejet ou de revue manuelle.

Chez Ingenico, une équipe dédiée de consultants avec un “risk and fraud manager” aide aussi au déploiement de la solution chez le client puis suggère des changements et assure un suivi des transactions. “Notre produit phare consiste en une analyse de la transaction en temps réel avec deux éléments : l’expertise du marchand d’une part, et celle d’Ingenico d’autre part, égrène Laurent Auerbach. En fonction des analyses, le commerçant choisit ou non de demander le 3DS.” Les marchands doivent établir des barèmes de risque en fonction de leur expérience précédente et Ingenico établit aussi une série de règles en se basant sur les données de tous ses clients. Ingenico, qui revendique un taux de chargeback (remboursement du paiement à un client) de 0,02% sur l’année 2018, n’utilise pas encore de techniques de machine learning, même si le sujet est en réflexion.

Machine learning

Au contraire, de nouveaux acteurs spécialisés tablent principalement sur l’utilisation de nouvelles techniques. Ravelin mise ainsi sur le machine learning pour détecter les schémas de fraude, extrêmement mouvants. “Avec les modèles de règles traditionnels, le marchand se retrouve avec de plus en plus de règles dont il ne sait plus lesquelles sont efficaces ou non, déplore Martin Sweeney, CEO. Ravelin couple ses techniques de machine learning avec une connaissance fine du marchand : nous travaillons avec lui pour comprendre son business et y adapter nos modèles statistiques et de machine learning.” “La solution est très adaptée pour les sociétés tech en très forte croissance comme Deliveroo ou MyTaxi, indiquait de son côté Maxime Mandin, directeur d’investissement chez BlackFin Capital Partners (qui a investi dans Ravelin en septembre 2018), lors d’une conférence de presse en octobre dernier. Ces start-up ouvrent de nombreux pays rapidement et se retrouvent démunies face à la fraude. Ravelin analyse le comportement avant même l’acte d’achat.”

Agrégation de modules : le positionnement d’Experian

Le spécialiste du scoring (notamment pour le risque de crédit) Experian propose aussi aux commerçants une solution de lutte contre la fraude, baptisée FraudNet. “Nous mettons en place des règles liées à la typologie de transactions, d’achat, des événements de navigation, du device ID, du fingerprinting…”, énumère Eric Levé, directeur commercial France. Vente-privée utilise par exemple la solution, qui lui a permis d’améliorer son tunnel de conversion à hauteur de 1%.

“Plus récemment, nous avons créé une couche d’orchestration destinée à pouvoir piloter différentes solutions, indique Eric Levé, car un dispositif de fraude s’appuie souvent sur plusieurs composantes, dont certaines développées en interne, d’autres par des partenaires…”. Baptisée Crosscore, cette “couche va articuler différentes composantes de lutte contre la fraude, comme le score d’Experian, des outils de type Fraudnet adaptés au digital, des solutions d’authentification forte de partenaires, etc.”. Lancé aux Etats-Unis fin 2017, Crosscore commence désormais sa mise en marché en France. Avec cette plateforme, Experian vise des acteurs disposant déjà d’une infrastructure contre la fraude et qui disposant d’une volumétrie importante leur permettant de piloter leurs propres règles.

Couvrir la fraude pour diminuer les faux positifs

Des acteurs comme l’israélien Fraugster ou l’américain Signifyd ont quant à eux adopté une approche originale: elles prennent la responsabilité d’accepter ou non la transactions et couvrent les pertes de l’e-commerçant en cas de fraude. “Cela permet aux marchands d’augmenter leur taux d’acceptation car ils craignent moins le coût de la fraude, et donc de diminuer les faux positifs qui sont une énorme friction pour les clients”, argue Stefan Nandzik, directeur marketing de Signifyd.

Fraugster passe par le réassureur Munich Re et commercialise sa solution via des partenaires comme Ingenico en France. Aux Etats-Unis, Signifyd revendique 10 000 clients et vise les petits marchands ayant créé leur site via un outil comme Shopify… ou bien des plus gros acteurs souhaitant se couvrir sur un pays particulièrement touché par la fraude ou pendant un pic d’activité comme le Black Friday. La société assure que sa solution permet d’augmenter le volume d’affaires de ses clients de 3 à 5%. Signifyd a développé un partenariat avec CyberSource, qui peut commercialiser sa solution auprès de ses propres clients.

KPIs

Il est difficile d’évaluer le ROI de chaque solution, puisque les déploiements sont adaptés à l’appétence au risque du marchand et à ses choix stratégiques. Ravelin revendique cependant 0,05% de fraude environ, Ingenico 0,02% de chargeback en 2018, Signifyd une hausse de 3 à 5% du chiffre d’affaires chez ses clients…

Pour Julien Duméry, de CyberSource, il s’agit en tout cas “de diminuer le coût total de la fraude, qui est représenté à la fois par la perte financière qui en découle et l’impact des faux positifs sur le business mais aussi par tout ce qui est mis en place pour gérer la fraude. Utiliser une solution comme CyberSource permet d’éviter les rejets, de générer des gains de processus en supprimant des tâches manuelles, et surtout de gérer les phases de pics.”

Selon lui, “le commerçant connaît déjà bien la zone verte et la zone rouge des paiements à refuser absolument. La solution va surtout l’aider sur la zone grise, pour réduire le faux positif qui est très problématique.” Objectif, donc : réduire le nombre de transactions rejetées et diminuer celles qui doivent passer par une revue manuelle, afin de diminuer les coûts des dispositifs de lutte contre la fraude.