Sur Internet, les achats s'effectuent dans la spontanéité. Difficile, dans ces conditions, d'allécher le client par un somptueux catalogue en ligne s'il ne peut rien acheter faute de moyens de paiement ! L'heure n'est plus en effet aux " sites vitrines ". S'il ne peut pas faire ses emplettes d'un simple " clic " de souris, l'internaute ira voir ailleurs. Résultat, le commerce électronique ne peut plus se passer de système de paiement en ligne. Et la transmission des coordonnées de la carte bancaire via Internet reste le moyen le plus souple, le plus économique et le plus simple à mettre à oeuvre, notamment en matière de transactions internationales. Transmettre des coordonnées bancaires sur un réseau public comporte toutefois des risques. Aujourd'hui, différentes technologies de paiement électronique permettent de les maîtriser. Elles se différencient par les caractéristiques de leur mise en oeuvre (la gestion des petits montants, par exemple). Or, certaines de ces caractéristiques ont un impact sur la conception du catalogue en ligne. Il est donc préférable de choisir son système de paiement avant de concevoir son site. Faute de quoi, l'entreprise risque d'être obligée de reprendre l'intégralité de ses développements. Rassurer l'utilisateur en simplifiant la saisie Première chose à savoir : Internet propose des solutions de paiement électronique bien plus sécurisées que celles du Minitel ou que la transmission de coordonnées bancaires par fax ou encore par téléphone. Ces solutions font en effet transiter les données en clair. Sur Internet, toute transmission est sécurisée par des algorithmes de chiffrement qui rendent les don- nées illisibles par des tiers. " Aujourd'hui, les systèmes de paiement sont fiables, même s'ils ne peuvent à eux seuls parer à toutes les éventualités de malversation, assure Grégory Desmot, responsable du marketing du site de commerce électronique Wstore. Chez nous, toute commande est contrôlée par une personne, et la moindre anomalie, telle qu'une adresse de livraison dans un hôtel, est aussitôt vérifiée par un coup de fil au client. " " Le frein à l'achat est avant tout psychologique ", rappelle Claude Cosson, directeur d'OpenMarket, éditeur de solutions de paiement en ligne. La saisie d'informations confidentielles engendre une certaine paranoïa chez les consommateurs. Les rumeurs mal fondées n'y sont pas étrangères... Pour lever les réticences, le site doit adopter une démarche simple et claire. Il faut placer l'utilisateur dans un con- texte rassurant en lui expliquant clairement que la transmission des informations est sécurisée. Ne pas profiter de l'occasion pour alimenter sa base clients avec des questions purement commerciales. Et, surtout, faire en sorte que toutes les modalités liées au paiement s'effectuent très vite : " Un tiers des utilisateurs abandonnent leurs achats au moment de remplir le formulaire de renseignements personnels et bancaires ", estime le cabinet d'analyse américain Jupiter. La contrainte de remplir un formulaire en ligne va à l'encontre de la spontanéité qui régit les achats sur le Web. Des solutions dites de " Wallet " (ou portefeuille) tentent de contourner cette saisie. Mais, attention ! elles soulèvent quelques problèmes éthiques. Protéger ses clients du risque d'interception Indispensable pour protéger la transmission des coordonnées bancaires sur un réseau public, le chiffrement des données est géré, jusqu'à présent par le protocole SSL (Secure Socket Layer). La majo- rité des systèmes de paiement l'utilise. Simple, son fonctionnement repose sur un serveur SSL installé chez le marchand (ou chez le prestataire quand le site est hébergé). Celui-ci chiffre la session dès que l'utilisateur bascule en mode sécurisé, au moment de saisir des in- formations confidentielles, par exemple. Côté client, le processus est transparent : SSL est intégré aux navigateurs. Il ne suppose donc aucune installation, contrairement aux solutions propriétaires ou en- core aux porte-monnaie électroniques. En revanche, SSL est un protocole ouvert : ses spécifications sont publiques, et donc plus facilement piratables que les solutions propriétaires. Reste que " casser " un algorithme de chiffrement suppose des moyens colossaux, en hommes et en matériel de calcul. Les pirates ont généralement mieux à faire que d'intercepter les coordonnées bancaires d'un malheureux consommateur du Web. Le risque d'interception des coordonnées est donc minime. D'autant plus que chaque opérateur utilise ses propres algorithmes de chiffrement tout en respectant les spécifications SSL . Réduire le " risque client " du marchand Le transfert des données sur Internet ne représente qu'un aspect des problèmes soulevés par le paiement en ligne. Au dire des experts, il est même mineur, comparé au défaut d'authentification du client et du marchand. En effet, si SSL protège les données des regards indiscrets, il ne garantit, en revanche, ni l'identité du client ni celle du marchand. Faute d'authentification, la commande n'est pas signée et le client peut aisément se rétracter. Enfin, rien ne garantit que le marchand ne va pas conserver les informations sensibles pour les utiliser par la suite à mauvais escient... Pour l'heure, les opérateurs de systèmes de paiement jouent le rôle de tiers de confiance entre les clients et le marchand. Ils récupèrent les données et les transmettent directement à la banque qui crédite ou débite le compte. Ils évitent ainsi de les faire transiter par le marchand, qui ne peut donc plus les stocker à des fins de malversation. Pour résoudre le défaut d'authentification des acteurs, de nouveaux systèmes de paiement électronique vont se développer autour de l'architecture de sécurité baptisée PKI (Public Key Infrastructure). Cette architecture de chiffrement ne sécurise pas seulement les échanges de données. Elle garantit l'identité des intervenants, ainsi que l'intégrité des données qui transitent. Le système s'assure ainsi que les données n'ont pas été modifiées en cours de route. La signature électronique bientôt reconnue en France L'architecture PKI repose sur l'emploi de deux clés de chiffrement : l'une publique, connue du marchand et du client ; l'autre privée et nominative. Le système de paiement émet un certificat numérique identifiant chaque intervenant. Résultat : ce certificat tient lieu de signature électronique et élimine ainsi les risques de répudiation d'une commande. Dans quelques semaines, la signature électronique sera reconnue dans le droit français. Progressivement, des systèmes plus complexes devraient remplacer le protocole SSL. D'ores et déjà, de nouvelles solutions de paiement s'appuient sur l'architecture PKI, le protocole SET (Secure Electronic Transaction) et sa version européenne, adaptée à la carte à puce, C-Set. En France, C-Set est sou- tenu par un consortium baptisé E-Comm, qui rassemble, entre autres, la BNP, le Crédit lyonnais, Visa, France Télécom, etc. Depuis quelques semaines, un lecteur de cartes à puce destiné aux particuliers et reposant sur C-Set permet de mieux sécuriser les échanges. Mais, prudence ! Aux Etats-Unis, SET n'a pas vraiment convaincu, et C-Set est pour le moment une solution franco-française. Il faudra très certainement attendre des mois avant de voir les promesses de PKI se généraliser sur Internet. Complexe à mettre en oeuvre, un tel système suppose des processus rigoureux d'authentification (contrôle d'identité à l'aide de documents manuscrits, gestion et mise à jour d'annuaires de certificats valides, etc.) avant l'obtention d'un certificat auprès d'un organisme légalement habilité. Adopter le porte- monnaie électronique pour les petits paiements Principe des systèmes de paiement en ligne : le montant des achats est débité par carte bancaire. Le " hic ", c'est que cette solution n'a pas été prévue pour gérer des montants inférieurs à 80 francs. Et ces petits achats représentent un important potentiel d'affaires sur Internet. La solution ? Proposer aux cyber-acheteurs d'utiliser un porte-monnaie électronique. Le client ouvre un compte à son nom auprès de l'opérateur de paiement et le crédite du montant de son choix. Au fur et à mesure des achats, son compte sera débité sans que son numéro de carte ou ses coordonnées bancaires ne soient dévoilés. Selon les prestataires, le compte peut être directement géré par l'opérateur de paiement ou la banque du client. Cybercash et BlueLine (ex- KLELine) ont ouvert le marché. Mais le projet de porte-monnaie électronique annoncé en 1998 par un consortium de banques françaises commence également à prendre forme : la région de Tours a été choisie pour étrenner la solution. Enfin, le système de paiement Mercanet de la BNP intègre, lui aussi, un porte-monnaie électronique. Vérifier la compatibilité avec la technologie du site Attention, le choix entre les différents systèmes de paiement n'est pas infini. Selon la solution de développement retenue pour le site, on arrive très vite à des im- passes. Exemple : " Aujourd'hui, si l'on développe un catologue en ligne avec les outils d'Intershop, il est impossible d'utiliser le système de paiement Télécommerce de France Télécom ", indique un prestataire de services. Pourtant, Intershop comporte des interfaces pour vingt-cinq systèmes de paiement différents. " Il y a tellement de solutions spécifiques à chaque pays que nous ne pouvons répondre à toutes les demandes ", reconnaît Stephan Schambach, le président d'Intershop. Autre écueil au moment des choix : l'entreprise doit tenir compte de sa banque. Incontournable pour mettre en oeuvre une solution de paiement en ligne, celle-ci doit disposer d'un serveur compatible avec le système de paiement choisi pour traiter les transactions bancaires. L'Ecole supérieure de commerce et de management de Tours en sait quelque chose : elle a dû attendre que le Trésor public, dont elle dépend, accepte les transactions en ligne pour proposer le paiement sur son site. Faire ses comptes avant de signer Enfin, outre les frais de mise en oeuvre, il faut également compter avec les coûts cachés des systèmes de paiement. Au pourcentage normalement prélevé par la banque pour toute transaction par carte, il faut notamment ajouter celui de l'opérateur du sys- tème. Souvent négociables, ces taux de commission sur transaction viennent s'ajouter à la location mensuelle du système de paiement, payante chez la majorité des prestataires. Ensuite, gare à la facturation des services annexes ! Ainsi, certains opérateurs de paiement prévoient le contrôle des cartes bancaires (Experian-Intrinsec ou encore Atos) en standard, tandis que d'autres le proposent en option payante. Enfin, le nombre de langues ou de cartes gérées par le système peut devenir critique quand l'activité du site est consacrée à l'exportation. Avant de signer, il est donc préférable de bien peser l'intégra- lité des coûts. Et, finalement, si le site ne gère pas un nombre important de transactions, il est peut-être préférable d'opter, comme Fromages.com, pour une solution plus simple et plus économique reposant sur un simple serveur SSL. Tout en gardant à l'esprit que la priorité, c'est de gagner la confiance des clients. Des solutions spécifiques Selon le prix des produits vendus et la cible du site, les solutions ne sont pas les mêmes. L'entreprise doit tenir compte de paramètres techniques, des services proposés par sa banque. Et rassurer le client en simplifiant ses démarches sur le site. Les risques Interception des données bancaires par un tiers. Fraude sur l'identité de l'utilisateur. Répudiation des commandes faute de signature électronique. Deux témoignages contradictoires sur le paiement sécurisé Pour www.wstore.fr Distributeur informatique sur Internet. 75 millions de francs de chiffre d'affaires en 1999 (5 % avec les particuliers, 95 % avec les professionnels). Wstore utilise le système de paiement en ligne d'Atos, reposant sur le protocole SSL. " Il a été retenu pour sa fiabilité ", explique Grégory Desmot. Il était très important de pouvoir garantir à nos clients qu'aucun de nos employés ne pouvait à un moment ou à un autre détenir leurs cordonnées bancaires. Le transit par l'opérateur de paiement, et non par notre entreprise, nous protège également : en cas de délit, c'est Atos qui est responsable. Les paiements par carte en ligne ne représentent toutefois que 5 % du chiffre d'affaires de Wstore. " Il est essentiellement utilisé par les particuliers, précise Grégory Desmot. Pour les entreprises, nous nous sommes adaptés à leur mode de fonctionnement habituel en proposant des paiements de type chèque à la commande, ouverture d'encours et autres mécanismes de financement. " Intégralement gérés sur Internet (transmission des numéros de Siret en ligne, demande et validation de financement transmises sur le Web, etc.), les paiements des professionnels n'ont jamais posé de problème. En revanche, Wstore a enregistré six fraudes courant 1999 émanant de particuliers utilisant le système de paiement en ligne. " Les coupables ont été interceptés ", précise Grégory Desmot, qui ne remet pas en cause la fiabilité du système Atos. Contre www.fromages.com Exportation de fromages en ligne. 1,5 million de francs de chiffre d'affaires en 1999. Pour mettre ses clients en confiance, Fromages.com propose différents modes de paiement (chèque et transmission de coordonnées bancaires par fax). Mais son président, Marc Refabert, privilégie la solution de paiement en ligne, moins coûteuse à gérer. Pour autant, Fromages.com n'utilise pas de système de paiement d'un tiers ou d'une banque : la transmission des coordonnées bancaires est sécurisée par le protocole SSL mis en oeuvre par un serveur chez son prestataire d'hébergement. Simple, le système reprend les principes des paiements effectués par carte au restaurant ou dans n'importe quel autre magasin : le client saisit ses coordonnées en ligne. Elles sont ensuite transmises à Fromages. com, toujours en mode sécurisé SSL, qui les saisit sur son terminal de paiement afin de débiter le compte du client. Pour Marc Refabert, ce système " est la solution la plus simple et la plus économique pour débuter sur Internet, il ne pose aucun problème aux clients, une fois leur confiance gagnée. Le coût de notre solution ne représente que 1,7 % du montant de la transaction, contre 3 à 4 % avec les systèmes de tiers. Si je devais traiter 150 commandes par jour, j'opterais pour un système de paiement. Mais il ne faut pas se leurrer, les sites gérant un tel nombre de commandes sont rares. " Microsoft, Novell et IBM veulent simplifier la saisie des informations Pour éviter la saisie répétitive des mêmes informations à chaque achat (coordonnées bancaires, adresse de livraison, etc.), Microsoft, Novell et IBM proposent des solutions baptisées Wallet. Dans la pratique, le client remplit une bonne fois pour toutes un formulaire. Les informations sont ensuite stockées dans une base et ressorties à chaque nouvelle emplette. Assez similaires dans leurs fonctions, les solutions proposées par les trois groupes informatiques diffèrent en revanche dans leur mise en oeuvre. Microsoft se positionne en prestataire : pour bénéficier du service, le marchand s'abonne auprès de l'éditeur et peut ainsi récupérer automatiquement les informations sur son client. Encore faut-il que le consommateur veuille bien confier à un éditeur de logiciels des informations personnelles et confidentielles sans avoir la garantie qu'elles ne seront pas utilisées à des fins commerciales. IBM, pour sa part, commercialise sa solution auprès des opérateurs de paiement, et notamment des banques, qui peuvent à leur tour proposer un système similaire à celui de Microsoft. Novell, enfin, navigue entre Microsoft et IBM : pour l'instant l'éditeur propose ses services en ligne, mais prétend qu'il s'agit d'un test, avant, comme IBM, de commercialiser sa solution auprès des opérateurs de paiement.
![[WEBINAR] SCC VMware - Quand migrer dans le cloud devient un jeu d’enfant](/mediatheque/9/6/1/000932169_104x65_c.jpg)
