Le point

de vue des

consommateurs

et desexperts

Conseil & ServicesSystèmes de paiement

et transactions électroniques sécurisées

OmOda Observatoire

des nouveaux MOdesd’Authentification

Etude Multi-clients 20161ère édition

2

L’OMODA en 3 questions clés

1 Pourquoi cet observatoire ? > Les modes d’authentification s’accroissent dans l’univers du paiement • La part des transactions de paiement à distance augmente • Les techniques biométriques font de plus en plus parler d’elles

2 Quels sont les objectifs de cet observatoire ? > Faire un état des lieux de la connaissance et des usages actuels en termes d’authentification > Evaluer l’intérêt pour de nouveaux modes d’authentification et leurs impacts sur les modes de paiement utilisés, les retraits au distributeur et les achats en ligne

3 Quelle est notre méthodologie ?

> Une approche quantitative auprès des Français (800 interviews téléphoniques représentatives) et qualitative auprès des intervenants sur le marché de l’authentification (20 interviews d’une heure) > Une analyse des décalages entre la vision des experts, la perception des Français et la déduction de recommandations opérationnelles

3

Les points forts de notre observatoire

1 Une double approche

> Le volet BtoC (consommateurs)

> Le volet BtoB (e-commerçants, banques, fournisseurs de solutions)

2 Une méthodologie fiable et neutre s’appuyant sur > Un recueil téléphonique pour le volet BtoC > La réalisation d’entretiens par les consultants de Galitt/GM pour le volet BtoB

3 Un questionnement complet, validé par les souscripteurs, abordant toutesles méthodes actuelles et futures d’authentification, au sens juridique mais également au sens plus large. Cette démarche permet ainsi de chiffrer le marché et d’appréhender le comportement des consommateurs, des commerçants et des professionnels

4 Un décodage d’experts sur les informations clés permettra de mieux comprendreles enjeux et perspectives. Associé au décryptage technique de Galitt, l’observatoire apportera un panorama complet de la problématique

5 Un suivi dans le temps sera proposé et permettra d’analyser les résultats au plus près de l’évolution du marché

4

Un outil pour tous les acteurs du paiementet de la sécurité bancaire

> Responsables de Marchés Particuliers, Entreprises, Professionnels, Collectivités

> Directeurs/Responsables Marketing concernés par la bancarisation, les moyens de paiement, la stratégie des concurrents

> Directeurs/Responsables Développement et Innovation concernés par la stratégie, l’innovation marketing et le contexte concurrentiel

> Chefs de produit ou de projet concernés par les sujets moyens de paiement, cartes et services associés, applications mobile, etc.

> Chargés d’études concernés par les usages en matière de paiement, la concurrence

Banques

Opérateursde téléphonie

Réseauxnationaux et

internationaux

Commerçantset

E-commerçants

Emetteursde Moyens

de Paiement

Fournisseursde solutions

ProcesseursPrestatairesmonétiques

SSII

Réglementeurset banquescentrales

72% 2015

2009 2011 2013 2015

Banque en ligne Commerce en ligne

20132011

201520132011

2009

43%

53%

56%

76%

76%

5% 11%

15% 21%

69%

72% 2015

2009 2011 2013 2015

Banque en ligne Commerce en ligne

20132011

201520132011

2009

43%

53%

56%

76%

76%

5% 11%

15% 21%

69%

5

Le contexte 1/2Un e-commerce en progression continuemais une confiance limitée> dans un contexte où le e-commerce est en forte progression : en 2014, les français ont dépensé

57 milliards d’euros sur internet (+11%) sur plus de 157 000 sites, le nombre de transactions augmente de 15%

> …la confiance des français et en particulier concernant le e-commerce reste limitée :

• 60% des français estiment que l’usage d’Internet est risqué et 40% ont globalement confiance dansl’usage d’Internet, mais de fortes variations selon les domaines : banque en ligne (72% des français ont confiance), commerce (43% des français ont confiance) *

• Des freins persistants : l’usurpation d’identité et la fraude associée (86% des français en ont peurpour le commerce, 66% des français en ont peur pour les banques en ligne), la consultation des données personnelles par un tiers ou leur utilisation abusive

• Dans une étude réalisée en 2015, 21% des français se déclaraient réticents à la communication d’attributs d’identité en ligne (5% en 2009)

* Source FEVAD

6

Le contexte 2/2L’authentification forte : une priorité du législateur

> Le législateur européen dans le cadre de la Directive sur les Services de Paiement (DSP2) a placé l’authentification forte au cœur des débats

• L’authentification forte doit utiliser au moins deux des éléments suivants : quelque chose que seull’utilisateur connaît (mot de passe statique, numéro d’identification personnel...), quelque chose que seul l’utilisateur possède (téléphone mobile, jeton d’authentification...) ou quelque chose qui caractérise l’utilisateur (données biométriques)

• Au moins un de ces éléments ne doit pas être réutilisable et réplicable (sauf pour le troisième)

> L’Autorité bancaire européenne (EBA) recommande que l’initiation de paiements sur Internet ainsique l’accès à des données de paiement sensibles (y compris l’enregistrement d’une carte au sein d’un wallet) soient protégés par une authentification forte du client afin de s’assurer que c’est un utilisateur légitime qui ordonne le paiement

• Elle enjoint les prestataires de services de paiement (PSP) de renforcer leur gouvernance, de mieuxévaluer et contrôler les risques, d’accroître la traçabilité des transactions, d’informer le client des meilleures pratiques ou encore d’affiner les paramétrages (nombre d’essais d’authentification, limite de temps pour la validité de l’authentification...)

• Les PSP collaborant avec des e-commerçants dans le domaine des cartes devront également s’assurerque ces derniers ne stockent pas de données sensibles ou qu’ils respectent les mesures de sécurité nécessaires

Ces nouvelles directives pourront à terme s’appliquer pour le paiement,le paiement en ligne et les retraits aux DAB

e-carte bleue 3D Secure

Wallet mobile

Cryptogrammedynamique

Touch IdApple Pay

Biométrie

Paiement(proximité)

Biométrie vocale

Retrait DAB

Analysecomportementale

Paiementà distance

7

Notre Périmètre Les modes d’authentification concernés

> Comment les consommateurs apprécient-ils ces techniques d’authentification ? > Leur facilitent-elles la vie ?> Ont-ils des a priori sur telle ou telle proposition non encore testée ?> Quels impacts auraient-elles sur leur relation avec la banque, le marchand ?

En situation de

8

Notre Périmètre* L’authentification au sens large

> Le Service e-Carte Bleue est un service rattaché à la carte bancaire qui permet de régler des achats à distance (Internet, téléphone) sans avoir à transmettre les coordonnées de la carte

> Le CVV dynamique : la carte est équipée d’un microcontrôleur générant régulièrement un nouveau cryptogramme

> Le «3D Secure» consiste en général à envoyer par SMS un code OTP que le consommateur saisit sur le site du e-commerçant pour valider son paiement

> Les techniques biométriques

• Les plus connues - Empreintes digitales sur mobile ou matériel dédié (proximité et DAB) - Empreintes vocales (distance comme dans le cas de Talk To Pay de LBP)• Analyse comportementale et physiologique - Reconnaissance gestuelle - Dynamique des frappes au clavier - Dynamique des signatures…

• D’autres solutions moins connues (Iris, réseau veineux du doigt…)

> Un substitut aux modes d’authentification : le wallet mobile évite d’avoir à saisir le numéro de sa carte bancaire lors d’un achat sur Internet, pour des raisons de sécurité et de praticité

• Le parcours client peut lui imposer de taper un code confidentiel ou de s’identifier avec une technique de type touch id

* La liste de solutions sera validée avec les participants à l’étude

9

Faire un état des lieux de la situation actuelleen mesurant > La connaissance

> La perception

> Les différents usages

> Les préférences

> Les freins

…des modes d’authentification existants

Faire une projection sur l’avenir en > Identifiant les leviers pour un développement de l’usage des modes d’authentification actuels

> Evaluant la perception et l’intérêt pour de nouveaux modes d’authentification, notamment biométriques…

> Mesurant leur impact sur les modes de paiement utilisés, la pénétration des banques et les usages

> Analysant les services d’authentification que les consommateurs seraient prêts à payer

…pour les achats en proximité, achats à distance, retraits DAB

Evaluerle présent :

les chiffres clésdu marchéet le profil

des utilisateurs

Se projeterdans le futur :

appétencedans l’aveniret impact sur

l’offre bancaire

Un double objectif pour cet observatoire

10

Notre méthodologie 2 volets complémentaires

> Une démarche quantitative

> Via une enquête par téléphone d’une quinzaine de minutes

> Auprès d’un échantillon de 800 personnes représentatives de la population française sur les critères âge, sexe, CSP et Région

> Une démarche qualitative

> Via une vingtaine d’entretiens d’une heure

> Auprès de banques, e-commerçants, fournisseurs de solutions

Le voletBtoC

Le voletBtoB

11

L’échantillon du volet BtoC

800 interviews doivent permettre une analyse par critèresociodémographique (âge, sexe, CSP, IDF/Province) > Auprès des e-acheteurs

En 2014, 62% des français ont effectué un achat sur Internet (source FEVAD), soit 500 enquêtes

> Auprès des clients des banques les plus dynamiques en termes d’authentification

• BPCe (cryptogramme dynamique) : 260 enquêtes (33% de pénétration)• Crédit Agricole (biométrie) : 230 enquêtes (29% de pénétration)• La Banque Postale (Biométrie vocale) : 200 enquêtes (25% de pénétration)• Le Crédit Mutuel (biométrie) : 100 enquêtes (13% de pénétration)• BnPP (biométrie, cryptogramme dynamique) : 80 enquêtes (10% de pénétration)• La Société Générale (3D Secure, cryptogramme dynamique) : 80 enquêtes (10% de pénétration)• LCL (3D Secure) : 70 enquêtes (9% de pénétration)

> Auprès des non-détenteurs de carte bancaire (pour évaluer l’impact des nouveaux modes d’authentification sur leur équipement potentiel)

Une récente étude de GM Consultants sur 900 particuliers faisait apparaître que 6% n’avaient pas de carte bancaire, ce qui aboutirait à environ 50 enquêtes pendant l’observatoire

12

Banques5 interviews

> Banques et banques en ligne> nouveaux acteurs du secteur bancaire > Fédération et organisme public du secteur

E-commerçants5 interviews

> Sites marchands> Marketplaces> Sites collaboratifs

Acteurs techniques10 interviews

> TPE, solution sécurisée en ligne…

En première approche nous avonsidentifié les sociétés suivantes

• Dictao/Morpho : offre Cloud Card - intègre Touch ID

• Vasco : offre Mobile avec Cronto Technology

• Gemalto : offre PIN-Paid avec lecteur Ezio

• Oberthur : offre carte CVV dynamique

• In-WebO : offre HexaTrust mobile logicielle SAAS

• Morpho : offre 3DBioSecure pour le paiement mobile

• Natural Security Alliance : standardise l’utilisation de la biométrie dans le paiement grand commerce

• Fido Alliance : standardise l’authentification double facteur, PayPal, Lenovo, Google, MicroSoft, Samsung, Visa, MC, BoA

• CNIL

• Orange, Compte Nickel

• Worldline

L’échantillon du volet BtoB

13

Le questionnaire 15 minutes (1/2) *

> Profil sociodémographique sexe, âge, CSP, situation familiale, niveau d’études

> Equipement informatique ordinateur, téléphone portable, tablette numérique, logiciel installé, navigateur utilisé, profil technophile et appétence vis-à-vis des nouvelles technologies

> Equipement bancaire banque, nombre de banques, nombre et type de cartes

> Usage d’Internet temps passé, types de sites consultés, sites de e-commerce

> Usages en termes de paiement et retrait au global, par type de commerce et pour le commerce en ligne • Informations comparées avec les informations CB

* Le questionnaire sera construit et validé avec les participants à l’étude

14

Le questionnaire 15 minutes (2/2) *

> Perception de la sécurité du paiement par carte dans différentes situations d’achat et de retrait

> Perception de la sécurité des données sur Internet au global et concernant le paiement sur Internet

> Connaissance et usage actuel des modes d’authentification e-carte bleue, cryptogramme dynamique, 3D Secure, biométrie, wallet

> Intérêt pour les différents modes d’authentification • Aujourd’hui, à court, moyen et long terme • En proximité, à distance, pour les retraits au DAB

> Influence des modes d’authentification sur • La fréquence des achats en ligne • L’usage de la carte bancaire et des autres moyens de paiement • Le choix d’une banque et d’une carte bancaire • Aujourd’hui et à l’avenir

* Le questionnaire sera construit et validé avec les participants à l’étude

15

Vos interlocuteurs

responsable de l’étude Cécile ROUHAUDConsultante, ancienne directrice d’études de CSAMob : 06 11 74 11 22Mail : c.rouhaud@galitt.com

Sous la direction de François FLOURIOT ManagerMob : 06 89 11 18 64Mail : f.flouriot@galitt.com

Groupe Galitt GM Consultants & Associés 17 route de la Reine92100 Boulogne-Billancourtwww.galitt.fr

OO-OPAMSCO-v1 ©Copyright Galitt 2016 – Tous droits réservés