AirPlus a organisé une nouvelle Matinale, ce mardi 19 novembre, en présence d’une vingtaine de travel managers et acheteurs voyage. Grégoire Toussaint, directeur adjoint chez Edgar Dunn & Company, est venu leur présenter la mise en place de l’authentification forte, prévue désormais pour fin 2020, laquelle ajoute une étape d’authentification avant l’autorisation de paiement.
La seconde directive européenne sur les services de paiement (DSP2) est en marche. Elle concerne notamment la mise en place de l’authentification forte pour les clients, et va fortement impacter les déplacements professionnels. Le régulateur l’avait initialement prévue pour le 14 septembre 2019, mais a finalement fixé une période de transition dans l’ensemble des pays européens jusqu’au 31 décembre 2020. «L’écosystème n’était pas du tout prêt» a d’ailleurs rappelé Grégoire Toussaint, directeur adjoint chez Edgar, Dunn & Company, conseil en stratégie spécialisé dans les paiements, présent dans de nombreux pays.
Qu’est-ce que l’authentification forte ? Il s’agit de nouvelles mesures de sécurité visant à lutter contre la fraude, à vérifier l’identité du payeur avant que les paiements ne soient autorisés. Dans ce cadre, au moins deux facteurs, parmi trois catégories d’authentification, doivent être utilisés : 1) la connaissance (un mot de passe ou un code pin) ; 2) une possession (un téléphone portable, une carte à puce, un appareil connecté) ; 3) quelque chose propre à l’utilisateur et relevant de la biométrie (reconnaissance faciale ou vocale, empreinte digitale).
Des transactions sortent bien sûr du périmètre de l’authentification forte. Des exemptions permettent de ne pas y recourir, notamment lorsque les montants sont faibles ou récurrents, ou encore quand il s’agit de bénéficiaires de confiance, un concept qui peut s’avérer d’une certaine complexité. On peut aussi opter pour l’approche d’analyse par les risques, lorsque le taux de fraude de l’émetteur ou l’acquéreur sont en dessous d’un taux de fraude de référence.
Grégoire Toussaint a ensuite montré le processus de prise en charge des différentes expériences utilisateur, dans le cadre d’une transaction via un smartphone avec 3DSecure v2.2, la mise à jour de la version 3DSv1.
Le directeur adjoint d’Edgar Dunn & Company a ensuite souligné un dernier point important : les transactions du business travel sont exclues de la réglementation de l’authentification forte dans le cadre de paiements corporate, via les cartes logées, les cartes virtuelles et les cartes corporate sauvegardées dans le profil client du voyageur d’affaires au sein de la TMC.
Grégoire Toussaint a enfin résumé, à l’adresse des travels managers, les cinq points pour mieux se préparer pour l’authentification forte :
1) vérifier que son émetteur de cartes commerciales connaît et est prêt pour l’authentification forte ;
2) prendre connaissance des types de paiements que ses voyageurs d’affaires effectuent ;
3) demander à ses émetteurs s’ils ont déjà des demandes auprès des régulateurs pour bénéficier des exemptions nécessaires ;
4) mettre à jour sa politique de voyage et de formation pour y inclure l’authentification forte dans les paiements des déplacements professionnels ;
5) assurer une bonne communication interne sur les changements des voyageurs d’affaires.
