La tokenisation, nouvel allié des sites de e-commerce

La tokenisation, nouvel allié des sites de e-commerce

La tokenisation ne date pas d’hier, puisqu’elle a longtemps été utilisée pour anonymiser des bases de données par exemple. Elle commence à faire son entrée sur les sites de e-commerce pour optimiser et sécuriser les parcours d’achat.

La tokenisation consiste à remplacer des données sensibles (numéros de compte, sécurité sociale ou autres) par une valeur de substitution que l’on appelle le token. Les risques de data-blooming et d’exposition des données sensibles sont ainsi fortement réduits. Ces données sont conservées dans un format chiffré à l’intérieur d’un coffre centralisé dédié aux tokens. Il est donc possible de limiter les préjudices subis en cas de brèche de sécurité qui permettrait aux intrus de lire les informations de paiement. Les jetons (token) sont très utiles ici, puisque même en cas d’attaque du système de sécurité, les informations ne seront pas révélées en elles-mêmes, mais seulement la valeur du jeton. Ce système de cryptage sépare l’information du code qui la recouvre. Sécuritaire, flexible et peu coûteux, le système séduit le monde du e-commerce.

L’utilisation de ces fameux jetons font partie intégrante de la solution Apple Pay lancée en septembre 2014. Visa et Mastercard ne sont pas en reste car elles avaient annoncé, à la même période, qu’elles approuvaient la tokenisation comme solution permettant de sécuriser les transactions, et en particulier les transactions sans carte.

L’e-commerçant contrôle l’acte de paiement dans sa globalité

Avec le système de tokenisation, l’e-marchand voit disparaître les pages externes de paiement. Il pourra alors intégrer des fonctions de paiement dans le parcours d’achat ; ces dernières pourront être aux couleurs de la marque, dans une unique page regroupant à la fois l’offre et le paiement. On peut imaginer que le paiement sur des plateformes mobiles sera également plus fluide pour le consommateur s’il utilise la tokenisation. Il permettra peut-être d’inverser une tendance selon laquelle il existe un fort taux d’abandon au stade du paiement sur des plateformes mobiles. Le commerçant disposera seulement du token mais pas des données sensibles de son client. Cette information se trouvera donc en dehors du périmètre PCI DSS, qui constitue le standard de sécurité des données dans l’industrie des cartes de paiement. Moins de procédures et de normes à respecter permettra au marchand de se concentrer sur son cœur de métier.

Les techniques des hackers évoluent au fil des inventions technologiques. Mais à ce jour, la Tokenisation semble être l’une des meilleures lignes de défense face aux attaques, en rendant très difficile l’accès aux données sensibles des clients.