Tokenisation du réseau : paiements sécurisés, taux d’autorisation plus élevés
Les numéros de carte bancaire sont des identifiants de paiement extrêmement vulnérables. Un numéro de compte principal à 16 chiffres reste le même d'un commerçant à l'autre, sa validité se maintient pendant des années et il est stocké dans des dizaines de bases de données, dont chacune peut être piratée. Le secteur des paiements en est conscient depuis longtemps, mais la solution n'est devenue applicable à grande échelle que récemment.
La tokenisation réseau est la solution. Visa, Mastercard et Amex remplacent le numéro de carte enregistré par une valeur de substitution – un jeton réseau – valable uniquement chez un commerçant spécifique et dont le cryptogramme unique est généré pour chaque transaction. Si ce jeton est volé, il est inutilisable ailleurs. Les chiffres de Visa : une réduction moyenne de 26 % de la fraude et une augmentation de 4,6 % du taux d’autorisation des transactions sans présentation de la carte chez les commerçants utilisant des jetons réseau.
Cet article aborde les mécanismes, la comparaison avec la tokenisation de passerelle (qui diffère sur des points qui ont une réelle importance financière) et ce à quoi ressemble la mise en œuvre en pratique.
Qu’est-ce que la tokenisation de réseau ?
Le numéro de compte principal (PAN) de votre carte est un identifiant fixe à 16 chiffres. Il reste inchangé d'un commerçant à l'autre et d'une transaction à l'autre ; cette même valeur est enregistrée dans une douzaine de bases de données différentes jusqu'à ce que la banque réémette la carte physique. C'est là le problème : les identifiants fixes, stockés à grande échelle, sont des cibles faciles.
Les réseaux de cartes bancaires (Visa, Mastercard, American Express) résolvent ce problème grâce à la tokenisation réseau. Ils remplacent le numéro de carte principal (PAN) par une valeur numérique aléatoire, le jeton réseau, qui ne permet d'identifier la carte réelle qu'au sein de l'infrastructure du réseau. Ce jeton est spécifique à chaque commerçant. Un jeton intercepté dans un magasin ne peut être réutilisé dans un autre ni servir à cloner la carte.
La tokenisation de passerelle (également appelée tokenisation PCI) fonctionne différemment. Un prestataire de services de paiement, ou passerelle, génère son propre jeton et le conserve dans son propre coffre-fort numérique. Les jetons de passerelle ne fonctionnent qu'au sein de cet écosystème. Les jetons de réseau, quant à eux, proviennent des réseaux de cartes eux-mêmes et véhiculent des signaux de confiance que les émetteurs reconnaissent, ce qui permet d'augmenter le taux d'autorisation.
Comment fonctionne la tokenisation de réseau
Le cycle de vie se déroule en trois phases : provisionnement, traitement des transactions et gestion du cycle de vie.
L'approvisionnement a lieu avant la première charge :
- Le commerçant ou le fournisseur de services de paiement soumet les données de carte à un fournisseur de services de demande de jeton (TPSP), généralement le PSP ou la passerelle avec des intégrations directes au réseau de cartes.
- Le TPSP achemine la requête vers le réseau de cartes concerné (Visa Token Service, Mastercard Digital Enablement Service, etc.).
- Le réseau de cartes vérifie la carte auprès de la banque émettrice. Une fois la carte approuvée, il génère un jeton réseau lié au commerçant et à l'appareil concernés.
- Le jeton est renvoyé au prestataire de services de paiement (TPSP) et stocké. Le numéro PAN brut n'est plus nécessaire.
Le traitement des transactions suit le chemin suivant :
- Le client paie.
- Le commerçant envoie le jeton réseau au processeur de paiement.
- Le processeur demande un cryptogramme au réseau de cartes. Ce cryptogramme est un code à usage unique, valable 15 minutes, lié à cette transaction spécifique.
- Le jeton et le cryptogramme sont envoyés à la banque émettrice pour autorisation.
- L'émetteur voit une authentification vérifiée par le réseau et traite la transaction.
La gestion du cycle de vie s'effectue en arrière-plan. Lorsqu'une carte est réémise suite à son expiration, sa perte ou une fraude, le réseau de cartes met à jour le mappage des jetons. Le jeton stocké chez le commerçant reste fonctionnel sans intervention du client.
Jeton réseau vs jeton de passerelle : principales différences
La plupart des commerçants stockent déjà les données de cartes tokenisées via leur prestataire de services de paiement. Les jetons de passerelle protègent ces données au sein d'un seul environnement de paiement, mais ils atteignent une limite que les jetons de réseau n'atteignent pas.
| Fonctionnalité | Jeton du réseau | Passerelle / Jeton PCI |
|---|---|---|
| Délivré par | réseau de cartes (Visa, Mastercard, Amex) | passerelle de paiement ou PSP |
| Portée | Portable à travers l'écosystème du réseau de cartes | Verrouillé à un seul processeur ou coffre-fort |
| Mises à jour automatiques lors de la réédition | Oui, géré par le réseau de cartes | Non, cela nécessite une intervention du client ou une mise à jour manuelle. |
| Transfert de responsabilité en cas de fraude | Transferts à l'émetteur sur les transactions approuvées | Le commerçant conserve la responsabilité |
| Signal de confiance de l'émetteur | Les émetteurs reconnaissent les jetons de réseau comme vérifiés | Risque équivalent à un PAN standard |
| Augmentation du taux d'autorisation | 4,6 % (Visa), 2,1 % (Mastercard) sur CNP | Aucune amélioration mesurable |
| réduction des frais d'interchange | Jusqu'à 10 points de base de moins sur les transactions éligibles Visa | Aucun |
| Réduction du périmètre PCI DSS | Important : absence de PAN brut dans l'environnement marchand | Modéré, réduit la portée au sein de l'écosystème PSP |
Un jeton de passerelle est un contrôle de sécurité. Un jeton de réseau est un contrôle de sécurité qui permet également d'accroître les revenus.
Avantages de la tokenisation du réseau pour les commerçants
Les données sont suffisamment précises pour permettre d'élaborer une analyse de rentabilité :
- Réduction de la fraude de 26 %. L'étude de Visa sur les commerçants utilisant des jetons de réseau montre cette baisse moyenne des taux de fraude. Un jeton intercepté ne peut pas être réutilisé chez un autre commerçant : il est verrouillé par conception et ne peut être utilisé que par ce dernier.
- Taux d'autorisation plus élevés. Visa enregistre une hausse de 4,6 % de son taux d'autorisation global pour les transactions sans présentation de la carte par rapport aux demandes de numéros PAN bruts. Mastercard, quant à elle, affiche un taux de 2,1 %. Sur des millions de transactions mensuelles, cela représente un gain de revenus considérable.
- Mise à jour automatique des cartes. Lorsqu'une carte expire ou est remplacée, le jeton réseau est mis à jour automatiquement. Les commerçants ne constatent plus d'échecs de renouvellement d'abonnement de la part de clients ayant simplement obtenu une nouvelle carte sans mettre à jour leurs informations de paiement.
- Transfert de responsabilité en cas de rétrofacturation. Pour les transactions effectuées avec un jeton réseau et un cryptogramme, la responsabilité en cas de rétrofacturation est transférée du commerçant à la banque émettrice. Réduction du volume de litiges et des frais opérationnels.
- Des frais d'interchange réduits. Le taux d'interchange de Visa sur les transactions tokenisées éligibles est jusqu'à 10 points de base inférieur au taux appliqué aux transactions non tokenisées. Pour un commerçant réalisant 100 millions de dollars de chiffre d'affaires mensuel, cela représente une économie mensuelle de 100 000 dollars.
- Périmètre PCI DSS réduit. L'absence de numéros PAN bruts stockés dans l'environnement du commerçant signifie que moins de systèmes sont soumis aux exigences d'audit PCI. Cela diminue les coûts de mise en conformité et le nombre de processus exposés à un contrôle.
L'étude de ClearSale apporte un éclairage nouveau : 39 % des titulaires de carte cessent d'acheter chez un commerçant après un premier refus injustifié. Aux États-Unis, les commerçants perdent 3,75 $ pour chaque dollar de fraude avérée (Statista). Ces chiffres plaident en faveur de toute optimisation visant à améliorer l'acceptation des paiements et à réduire les pertes liées à la fraude.
Cas d'utilisation : Qui a le plus besoin de jetons réseau ?
La tokenisation du réseau est particulièrement avantageuse dans les situations où les informations de carte sont stockées et utilisées de manière répétée, et non pas seulement une seule fois lors du paiement.
- Entreprises par abonnement et SaaS. La facturation récurrente exige un identifiant enregistré pour rester valide lors des renouvellements. Les cartes expirées entraînent des désabonnements involontaires : le client n’a pas annulé son abonnement, le paiement a simplement échoué. Les jetons réseau sont mis à jour automatiquement lors du réémission des cartes, garantissant ainsi la validité des identifiants.
- Les commerçants en ligne utilisant des cartes enregistrées sont particulièrement exposés à la fraude lors des transactions CNP (paiement sans contact). Ceux qui stockent les données de carte pour le paiement en un clic sont des cibles privilégiées pour le vol d'identifiants. Les jetons réseau suppriment totalement le stockage brut des numéros de carte bancaire (PAN) chez les commerçants.
- Places de marché et plateformes. Les plateformes multifaces qui gèrent les moyens de paiement pour le compte des utilisateurs bénéficient de la portabilité : les jetons restent valides même lorsque la carte sous-jacente change, quel que soit le processeur de paiement.
- Voyages et hôtellerie. Les hôtels, les compagnies aériennes et les plateformes de réservation débitent régulièrement les cartes après la réservation initiale : frais supplémentaires après le séjour, surclassements, modifications d’horaires. La mise à jour automatique des jetons empêche les débits refusés de dégénérer en litiges.
- Jeux et contenus numériques. Les achats intégrés et les recharges de portefeuille fonctionnent sur des cartes enregistrées avec une fréquence de transactions élevée. Les jetons de réseau réduisent les contraintes de réauthentification sans augmenter les risques de fraude.
Comment implémenter la tokenisation du réseau
La plupart des commerçants n'intègrent pas directement Visa ou Mastercard. Les réseaux de cartes les contactent via des fournisseurs de services de demande de jetons (TPSP), et la plupart des principaux prestataires de services de paiement (PSP) ont déjà intégré ces intégrations.
La voie pratique :
- Choisissez un prestataire de services de paiement (PSP) ou une passerelle prenant en charge nativement la tokenisation réseau. Stripe, Adyen, Checkout.com et Braintree gèrent automatiquement la génération des jetons réseau lors de l'enregistrement d'une carte. Aucune intégration supplémentaire n'est requise de votre côté.
- Activez cette option dans vos paramètres de paiement. Pour les prestataires de services de paiement qui la prennent en charge nativement, l'activation de la tokenisation réseau se fait généralement via un paramètre de configuration, et non par une modification du code. Consultez la documentation de votre fournisseur ; cette option est peut-être déjà activée.
- Tokenisez rétroactivement vos cartes enregistrées. Vous disposez d'un coffre-fort de numéros PAN ? Votre prestataire de services de paiement peut les soumettre par lots via l'approvisionnement en masse, convertissant ainsi le coffre-fort d'un système basé sur les numéros PAN à un système basé sur les jetons sans toucher à aucun compte client.
- Intégrez le jeton et le cryptogramme à votre flux de paiement. Le prestataire de services de paiement (PSP) génère un cryptogramme pour chaque transaction. Votre intégration envoie la référence du jeton au lieu du numéro PAN brut lors de l'initiation des paiements.
- Vérifiez que la gestion du cycle de vie des cartes est activée. Assurez-vous que votre fournisseur de services de paiement (PSP) a activé la mise à jour automatique des comptes et la gestion du cycle de vie des jetons. C'est ce module qui permet le renouvellement automatique des cartes sans intervention du client.
Un scénario à anticiper : si vous travaillez avec plusieurs fournisseurs de services de paiement (PSP) ou si la portabilité des jetons entre processeurs est nécessaire, gérez-la explicitement. Vous pouvez opter pour un fournisseur de coffre-fort de jetons autonome ou un PSP prenant en charge la migration des identifiants entre passerelles.
Tokenisation du réseau et conformité PCI DSS
La tokenisation du réseau réduit le périmètre de la norme PCI DSS, mais elle n'élimine pas les obligations PCI.
Voici l'avantage concret : un jeton réseau stocké n'est pas considéré comme une donnée de titulaire de carte selon la norme PCI DSS, car il ne s'agit pas du numéro de carte. Les systèmes qui n'accèdent qu'au jeton et jamais au numéro PAN brut peuvent être totalement exclus du périmètre PCI. Cela réduit le nombre de systèmes, de personnes et de processus métier nécessitant une évaluation annuelle, ce qui diminue les coûts et les risques.
Ce transfert de responsabilité renforce ce constat. Pour les transactions tokenisées effectuées à l'aide d'un cryptogramme, les émetteurs approuvent la transaction en sachant que l'identifiant a été vérifié par le réseau. En cas de fraude sur une transaction approuvée par l'émetteur, la responsabilité incombe à ce dernier, et non au commerçant. Il s'agit d'un changement structurel dans le fonctionnement des rétrofacturations.
Limite : la tokenisation du réseau ne couvre pas l’étape de provisionnement. Lors de la première soumission du PAN brut au TPSP, cette transmission doit être sécurisée, et tout système traitant le PAN à ce moment-là reste soumis à la norme PCI. L’objectif est de réduire cette exposition au minimum : le PAN doit quitter votre environnement le plus rapidement possible et ne doit apparaître nulle part ailleurs dans votre infrastructure.
La conformité PCI exige toujours le chiffrement, le contrôle d'accès et la segmentation du réseau. La tokenisation constitue un contrôle efficace, mais ne remplace pas l'ensemble du dispositif.
Les commerçants acceptant les paiements par carte constateront que la tokenisation du réseau est désormais une infrastructure de base, et non plus une option. Des taux d'autorisation plus élevés, une réduction de la fraude, une gestion automatisée du cycle de vie des cartes et des économies sur les frais d'interchange se font rapidement sentir dès qu'un volume de transactions significatif est atteint.
Pour les entreprises qui souhaitent s'affranchir totalement des systèmes de cartes bancaires traditionnels, les passerelles de paiement crypto comme Plisio offrent une solution alternative exempte de ces contraintes. Les paiements natifs de la blockchain ne nécessitent aucun stockage d'informations de carte, aucune configuration de numéro de carte bancaire (PAN) et aucun émetteur dans le flux de la transaction : un modèle de sécurité fondamentalement différent pour les commerçants qui le recherchent.
