Connexion Pro

Conseils pour votre quotidien d'entrepreneur

Page mise à jour le 26/12/2023

Authentification forte : quel impact sur votre site e-commerce ?

Terminé le simple code envoyé par SMS pour valider un paiement en ligne. Pour mieux lutter contre les fraudes bancaires, une directive européenne dite DSP2 impose une authentification forte pour toutes les transactions de plus de 30 €. Dans quelle mesure cette nouvelle norme impacte votre site e-commerce et le parcours d’achat de vos clients ? Éléments de réponse.

Depuis le 15 mai 2021, la 2e Directive européenne sur les Services de Paiement (DSP2) a pour objectif de renforcer le système de contrôle des paiements en ligne grâce à une authentification forte.
© stock.adobe.com - Arlem Varnitsin

Les paiements en ligne font l’objet d’une fraude croissante, avec une progression en valeur de 16,4 % en 2020 par rapport à 2019. En cause : le développement du e-commerce et l’intérêt grandissant des pirates informatiques pour ce canal de vente plébiscité par les consommateurs. En 2020, le taux de fraude sur les paiements à distance était ainsi 19 fois supérieur à celui des paiements de proximité ou sur automate*. 

* « Rapport annuel de l’Observatoire de la sécurité des moyens de paiement 2020 », Banque de France, juillet 2021.

Authentification forte : définition

La 2e Directive européenne sur les Services de Paiement (DSP2), entrée pleinement en vigueur en France le 15 mai 2021, vise à renforcer le système de contrôle des paiements en ligne. Elle prévoit pour cela la mise en place de ce qu’on appelle l’authentification forte, ou « authentification à deux facteurs » ou « double authentification ». 

Ce dispositif concerne tous les paiements en ligne d’un montant supérieur à 30 €. Il consiste à demander au client au moins 2 preuves d’identification pour pouvoir valider sa transaction. Il revient aux établissements bancaires de le mettre en place, et aux commerçants, de s’assurer que leur site e-commerce est bien conforme à la norme DSP2.

À noter : il est possible de demander à votre banque des exemptions d’authentification forte, notamment pour :   

  • Les transactions de moins de 30 €, jugées peu risquées (au regard du niveau de risque de fraude, de votre solution technique de paiement…) ;  
  • Les transactions récurrentes et d’un montant identique, dans le cadre d’un abonnement par exemple (l’authentification forte ne sera alors demandée que lors du premier paiement).
     

DSP2 et authentification forte, comment ça marche ? 

Votre client a validé son panier et souhaite désormais payer sa commande en ligne. Dans le cadre de la directive DSP2, au moins 2 des 3 facteurs d’identification suivants doivent être proposés pour lui permettre de finaliser la transaction : 

  • Une information connue uniquement de votre client (tel qu’un code confidentiel à saisir dans son application bancaire ou un code à usage unique envoyé par SMS ou serveur vocal…) ;  
  • Un appareil que seul votre client possède (par exemple un smartphone ou une tablette enregistrés comme appareils de confiance auprès de sa banque…) ; 
  • Un système de reconnaissance propre à votre client (reconnaissance faciale ou vocale, empreinte digitale…). 

Si votre client commet une erreur sur l’un et/ou l’autre de ces éléments, sa demande de transaction est rejetée. Dans ce cas de figure, il est important de vérifier qu’une solution lui est proposée dans votre tunnel d’achat (retour à la boutique, vérification des informations…). 
 

Comment appliquer l’authentification renforcée sur votre site e-commerce ?

De nombreuses banques ont mis au point leur service d’authentification forte. Il en existe plusieurs types : 

  • Le plus fréquent consiste pour le client à télécharger l’application mobile de sa banque. Application à laquelle il est invité, en cas d’achat, à s’authentifier par le biais d’un code ou de son empreinte biométrique ; 
  • Une autre solution d’authentification forte repose sur la saisie d’un code à usage unique reçu par SMS, et d’un code personnel. Elle est particulièrement utile aux clients dont le téléphone ne dispose pas d’un accès à internet.

Si ce n’est pas déjà fait, il est conseillé de vous rapprocher de votre banque et le cas échéant, de votre prestataire de paiement, afin de vérifier la conformité de votre site e-commerce à la réglementation DSP2. Ils pourront vous accompagner dans le déploiement de l’authentification forte et l’adaptation si nécessaire de votre site e-commerce, ainsi que dans vos demandes d’exemption. 

À noter : le site officiel Cybermalveillance.gouv.fr a récemment alerté sur la multiplication des campagnes d’hameçonnage relatives à la norme DSP2. De nombreux SMS et mails frauduleux ont en effet été signalés, dans lesquels les pirates informatiques se faisaient passer pour des banques et prétextaient un problème de sécurité sur un compte bancaire pour tenter de dérober des informations personnelles. N’hésitez pas à sensibiliser vos clients via votre site internet pour lutter contre ce type de cyberattaque.

Voir tous les sujets de la thématique

.

© contrastwerkstatt/AdobeStock
Protection juridique professionnelle(1)

Si votre site e-commerce est visé par une cyberattaque, la protection juridique MMA(1) vous accompagne(2) dans vos démarches (information juridique, négociation amiable auprès de votre banque ou prestataire de paiement, aide au signalement de fraude sur la plateforme « Perceval »… ). En cas de procédure, les frais de justice et honoraires d’avocats peuvent être pris en charge(2).

(1) Assurée et gérée par Covéa Protection Juridique - Société anonyme d’assurance au capital de 88 077 090,60 € entièrement versé. Entreprise régie par le Code des assurances - 442 935 227 R.C.S. Le Mans - APE 6512Z - Siège social : 160 rue Henri Champion - 72045 Le Mans Cedex 2
(2) Dans les conditions, limites et exclusions de garanties fixées au contrat.

Protection juridique professionnelle

Plus d’infos sur la cybersécurité

Votre Agent Général MMA

Trouver l'agence MMA la plus proche de chez vous.
Annuaire des agences MMA