Pour les entreprises qui œuvrent au sein d’une économie numérique, les atteintes à la protection des données sont perturbatrices et coûteuses. Des statistiques récentes de Ponemon, compilées au nom d’IBM, démontrent que le coût moyen d’une atteinte à la cybersécurité au Canada est de 5,78 M$. Malgré cela, Ovum rapporte que moins de la moitié des membres dirigeants des entreprises canadiennes prévoient augmenter les dépenses associées à la sécurité des données. Il s’agit d’une statistique inquiétante et d’une situation qui ne devrait pas être prise à la légère par les entreprises qui acceptent les paiements de consommateurs canadiens.
Les entreprises peuvent se protéger ainsi que protéger leurs clients efficacement en surveillant les transactions selon des moyens traditionnels et en mettant en œuvre des solutions liées à la sécurité des paiements afin d’aider à réduire les risques. Cependant, afin de mieux comprendre les pratiques exemplaires, les entreprises doivent comprendre les plus fréquents types de fraudes auxquelles leurs entreprises font face.
La fraude en personne, communément appelée la fraude liée aux transactions avec carte présente, est amorcée par une personne qui intercepte les données d’une carte ou le NIP d’un titulaire de carte afin de dupliquer cette carte pour une utilisation ultérieure, par exemple, afin d’accéder à de l’argent au moyen de guichets automatiques ou d’effectuer des achats en ligne ou en magasin. L’introduction des cartes de paiement à puce a rendu impossible la reproduction des données sécurisées de cette puce. Cependant, des techniques évoluées pour intercepter les données de base d’une carte, comme le numéro de la carte, au point de vente (PDV) sont encore utilisées. Les fraudeurs exploitent ces techniques à des fins d’activité frauduleuses au sein de l’environnement numérique.
Au fur et à mesure que les entreprises canadiennes adoptent le commerce électronique (achats mobiles et en ligne), les préoccupations en matière de fraude font un virage vers les transactions avec carte absente. La fraude liée aux transactions avec carte absente comprend les achats illégitimes effectués en ligne (ordinateur personnel, tablette, téléphone mobile), par téléphone ou par la poste. Les fraudeurs obtiennent les données des consommateurs au moyen de méthodes comme l’écrémage, l’hameçonnage et les rançongiciels, ainsi que d’autres tactiques manipulatrices.
L’industrie de la fraude en ligne est de plus en plus préoccupante. Par exemple, les cas d’hameçonnage se produisent lorsqu’un fraudeur prétend être une source de confiance par téléphone ou par courriel et persuade les titulaires de carte de dévoiler des renseignements confidentiels, par exemple, des mots de passe ou des numéros de carte de crédit. Au cours du premier trimestre de 2016, PhishMe a signalé une augmentation de 789 % des incidents d’hameçonnage dans le monde entier. Les données sont précieuses et, dans de nombreux cas, elles sont vendues à des fraudeurs sur le Web invisible, une partie anonyme et indétectable d’Internet.
Afin de créer une liste de numéros de carte de crédit viable, les criminels testent souvent les données des cartes en ligne. La fraude sur liste de cartes emploie des robots pour mettre à l’essai des milliers de cartes en quelques secondes sur des sites Web dotés d’une vérification des paiements insuffisante dans le cadre de leur processus de paiement, ce qui permet aux fraudeurs de déterminer la validité des renseignements de carte.
Lors d’une fraude liée à une carte de paiement, les entreprises peuvent subir des pertes monétaires en raison des débits compensatoires et de la perte des biens achetés frauduleusement, entre autres, si les bons dispositifs de protection ne sont pas mis en place. Le tableau de la situation n’a pas à être sombre pour les entreprises. Des processus de sécurité des données efficaces et des pratiques exemplaires sont en place pour aider à réduire certains de ces risques.
Prévention de la fraude liée aux transactions avec carte présente
Il existe des moyens simples et abordables de prévenir la fraude liée aux transactions avec carte présente. L’utilisation d’un fournisseur de service de paiement, la mise en œuvre d’une technologie de paiement sécuritaire, le chiffrement de bout en bout et les logiciels de transformation en jetons peuvent réduire, voire même bloquer, l’accès aux données sensibles requises pour commettre des fraudes, et même le bloquer. De plus, les entreprises doivent être diligentes en matière de procédures d’acceptation des paiements, et veiller à surveiller leur équipement, à restreindre son accès et à vérifier régulièrement les terminaux afin de percevoir les signes d’altération. D’autres pratiques exemplaires se trouvent à l’adresse www.moneris.com/fraude.
Prévention de la fraude liée aux transactions avec carte absente
Des mesures de sécurité accrue au PDV, comme la technologie à puce et à NIP, ont poussé les fraudeurs à se tourner vers l’environnement avec carte absente. Afin d’éviter la fraude liée aux transactions avec carte absente, les entreprises peuvent faire appel aux meilleures techniques de prévention des fraudes en ligne de leur catégorie, y compris les outils de validation des paiements, comme la vérification de l’adresse et les codes de sécurité des cartes de crédit qui se trouvent au dos des cartes physiques. De plus, il existe des outils offerts par l’entremise des acquéreurs de transactions et des fournisseurs tiers qui peuvent analyser des centaines de points de données en temps réel, ce qui permet aux entreprises d’évaluer le facteur de risque d’une transaction précise. Par exemple, un paiement provenant d’Afrique d’un titulaire de carte qui habite en Amérique du Nord déclenche une alerte, particulièrement si les biens sont expédiés à un endroit autre que l’adresse inscrite au dossier du titulaire de carte. Ces outils peuvent aider à éliminer la fraude, à diminuer les pertes potentielles et à réduire le besoin d’une vérification manuelle.
Puisque j’ai vu l’évolution des solutions logicielles de sécurité, je recommande également aux entreprises d’éliminer le risque lié au stockage local des données de l’industrie des cartes de paiement (ICP) en adoptant des solutions comme la transformation en jetons. La transformation en jetons permet à une entreprise de transférer la responsabilité de stocker des données de l’ICP à un acquéreur de transactions et de remplacer ces données par une valeur ou un jeton non identifiable qui peut être enregistré, ce qui limite le risque d’exposition des données du client en cas d’atteinte à la protection des données.
Les acquéreurs de transactions ont commencé à adopter des technologies infonuagiques et prévoient l’adoption continue par le public des applications de paiement avec carte enregistrée, qui sont en constante évolution. Prenons les parcomètres en exemple : on peut maintenant payer au moyen d’une carte de plastique physique ou d’une application qui accède aux renseignements de la carte enregistrés de façon sécuritaire, soit une capacité du nuage.
Alors que l’innovation numérique se poursuit, nous pouvons nous attendre à ce que les criminels parfassent les méthodes de fraude et créent de nouvelles façons d’exploiter les entreprises par ces moyens. Les acquéreurs de transactions, comme Moneris, travaillent étroitement avec les entreprises pour aider à contrecarrer la fraude en offrant des outils de sécurité applicables. Avec la mise en place des bons dispositifs de protection et un partenariat éprouvé entre les entreprises et les acquéreurs, nous pouvons continuer de prospérer au sein d’un environnement des paiements en constante évolution.
Amer Matar, le chef de la technologie de Moneris, a travaillé plus de vingt ans dans le domaine de la gestion des données, et prend en charge tous les aspects technologiques de Moneris, notamment le développement logiciel, l’ingénierie des infrastructures technologiques, la sécurité des renseignements et l’ingénierie de l’intégration des systèmes. Il est titulaire d’un baccalauréat en informatique de l’Université de Montréal ainsi que d’une maîtrise en administration des affaires (MBA) de la Rotman School of Business de l’Université de Toronto. Pour obtenir d’autres conseils concernant la prévention de la fraude par carte de crédit, consultez moneris.com/fraude.
Share