Les facturiers se dépêchent de suivre ces tendances et de rendre le paiement numérique des factures aussi simple et fluide que possible. Mais avant d'aller trop loin dans cette voie, ils doivent reconnaître que les nouveaux types et canaux de paiement ajoutent de la complexité à la chaîne de livraison des paiements et nécessitent une attention supplémentaire sur la gestion des fournisseurs. Sans programme de surveillance, l'entreprise et ses clients pourraient potentiellement être exposés à des refus ou à des litiges excessifs, à des interruptions de service, à une augmentation des coûts de transaction et à des incidents de sécurité.
Les Rapport 2022 sur les enquêtes sur les violations de données de Verizon ont noté que les attaques de ransomwares à elles seules ont augmenté de 13 % entre 2020 et 2021, un bond plus important que les cinq dernières années combinées. Les fournisseurs, les partenaires et les tiers de la chaîne de livraison des paiements étaient responsables de 62 % des incidents d'intrusion dans le système en 2021, ce qui peut représenter "des tendances plus larges que nous avons constatées dans l'industrie, en termes de risques interconnectés qui existent entre le fournisseurs, partenaires et tiers », selon les analystes.
Les émetteurs de factures ne peuvent pas refuser d'offrir des options de paiement numérique - les clients ont déjà clairement indiqué leurs préférences. Cependant, ils peuvent choisir un partenaire plateforme de paiement qui étend et intègre le paiement numérique des factures, tout en détectant et en gérant efficacement les risques.
Leçons que nous pouvons tirer de la cible
Pour illustrer à quel point une seule cyberattaque peut être dommageable, il est utile d'examiner l'un des exemples les plus visibles de l'histoire récente : la violation de Target en 2013. Selon un selon une analyse de l’Université de Princeton, Target a dû investir 100 millions de dollars après l'incident pour améliorer son infrastructure de paiement, et plus de 100 millions de dollars supplémentaires en paiements aux banques et aux sociétés de cartes de crédit qui devaient rembourser les clients.
Mais encore plus catastrophique a été le coup porté à sa réputation et à la confiance de ses clients. Le «buzz score» de l'entreprise, qui mesure la perception de la marque, a chuté de 45 points au cours de la semaine suivant la violation et, à son tour, les bénéfices ont chuté de 46% en un trimestre.
Votre entreprise n'est peut-être pas un méga-détaillant comme Target, mais cette expérience peut apprendre aux facturiers que la cybersécurité est toujours un calcul « investir maintenant ou payer plus tard ». Investissez dès maintenant dans une plateforme de paiement sécurisée ou faites face aux retombées financières en cas de violation de la sécurité.
De plus, un fournisseur de plate-forme de paiement qui prend des raccourcis peut compromettre les protections mêmes que vous avez actuellement en place pour vous prémunir contre les cyberpertes. Par exemple, en 2021, l'augmentation des pertes de ransomwares a fait chuter le coût des primes de cyberassurance. presque double en 2021, et certains assureurs ont entièrement abandonné la couverture pour les entreprises qui ne pouvaient pas démontrer qu'elles-mêmes et leur fournisseur de plateforme de paiement avaient mis en place des protections de sécurité raisonnables. Investir à l'avance, y compris sélectionner le bon partenaire de plate-forme de paiement, nécessite des efforts et de la prévoyance, mais cela pourrait vous éviter ces répercussions coûteuses à l'avenir.
Quatre stratégies de prévention de la cybercriminalité
Il existe de nombreuses stratégies de prévention de la cybercriminalité, mais j'en aborderai brièvement quatre que votre fournisseur de plateforme de paiement devrait mettre en place pour se prémunir contre les cyberattaques.
Authentification à deux facteurs et biométrique
Les clients s'attendent de plus en plus à bénéficier d'une protection dans le cadre de l'expérience de paiement. Et, à juste titre. Un an étude par Google, l'Université de New York et l'UC San Diego ont découvert que la pratique simple de l'authentification à deux facteurs à l'aide d'invites sur l'appareil était très efficace pour empêcher la grande majorité des détournements de compte. L'envoi d'un message directement à l'appareil enregistré et le fait que l'individu appuie sur le message pour s'authentifier ont empêché 100 % des robots automatisés, 99 % des attaques de phishing en masse et 90 % des attaques ciblées.
Encore mieux, l'authentification biométrique, qui est intégrée aux portefeuilles numériques et à certains types de paiement mobile tels qu'Apple Pay et Google Pay. Les clients évitent complètement de saisir des informations de paiement, utilisant simplement un scan facial ou une empreinte digitale pour accéder à leur compte.
Oui, l'authentification peut ajouter de la friction à l'expérience de paiement. Cependant, il s'agit d'une friction nécessaire qui, lorsqu'elle est chronométrée de manière appropriée, crée en fait une meilleure expérience pour les clients. Configurer le « trust hug » d'authentification en amont de la relation client avec une messagerie leur permettant de savoir qu'ils sont protégés contre les transactions frauduleuses est essentiel. Des règles métier peuvent ensuite être mises en œuvre pour traiter les anomalies qui signalent une fraude potentielle.
Le fournisseur de paiements doit avoir une stratégie d'engagement client pour éduquer les clients et faciliter l'authentification à deux facteurs pour des fonctions telles que l'enregistrement automatique. Pour l'authentification biométrique intégrée, il est judicieux de travailler avec un fournisseur de plate-forme qui permet Apple Pay et Google Pay en tant qu'options de paiement et génère des informations d'identification uniques à l'émetteur de factures spécifiques à la facture de chaque payeur. Les clients apprécient que l'authentification soit conçue dans le cadre de l'expérience de paiement, car ils comprennent le risque et le détournement potentiel de leurs données, ainsi que les tracas évitables pour remédier à la situation.
Chiffrement et tokenisation
Le chiffrement et la tokenisation jouent des rôles différents dans la protection des données. Les deux doivent donc être exploités pour faciliter les paiements numériques. La tokenisation est le remplacement des données sensibles au niveau du compte par une valeur chiffrée unique. Le cryptage est la méthode par laquelle les données sont converties en une « valeur secrète ».
Leur utilisation combinée aide les entreprises à établir la confiance avec leurs clients en évitant les violations de données préjudiciables. De plus, ces mesures de sécurité aident votre fournisseur de plateforme de paiement à répondre aux exigences de conformité réglementaire nécessaires pour toute entreprise collectant des informations de carte de crédit ou de débit, ce qui en fait des outils indispensables dans la ceinture à outils de sécurité de votre fournisseur de plateforme de paiement.
Ces méthodes protègent les données de paiement sensibles contre le vol et la rançon par les cybercriminels. Mieux encore, ces méthodes agissent comme des moyens de dissuasion, car les pirates ont tendance à graviter vers des cibles non protégées qui offrent un gros gain avec un minimum d'effort. S'ils ne peuvent pas trouver facilement et rapidement des informations précieuses, ils se retireront et chercheront ailleurs.
Une équipe d'atténuation des risques
Les cybercriminels sont à la fois créatifs et compétents, il est donc important d'avoir une défense tout aussi formidable de votre côté. Cela signifie que votre partenaire de paiement emploie une équipe interfonctionnelle de professionnels chevronnés du risque, de la conformité et de la technologie qui savent comment concevoir et créer un environnement de paiement sécurisé : un responsable des risques pour diriger le développement d'un environnement de contrôle évolutif ; un responsable de la sécurité de l'information pour superviser la surveillance du périmètre, effectuer des tests en continu et effectuer des audits de sécurité ; des membres du personnel dédiés à la réduction des risques opérationnels et à la mise en œuvre de protocoles de sécurité dynamiques si nécessaire ; et un responsable juridique et de la conformité pour travailler avec les agences de réglementation, coordonner les audits réglementaires et assurer la conformité réglementaire.
Gardez à l'esprit que la conception de protections contre les risques dans un produit ou un service de paiement est beaucoup plus rentable que la mise à niveau après coup, alors recherchez une plateforme de paiement avec des contrôles intégrés, ainsi qu'une équipe talentueuse qui les adapte aux besoins des clients. .
Audits, certifications et normes et tests de sécurité
Avec l'accélération du rythme des types et des technologies de paiement, certains fournisseurs de plateformes de paiement n'ont pas réussi à prioriser le temps et les ressources dans les audits internes et externes, les tests de sécurité et les procédures de certification de sécurité. Cependant, ces domaines de surveillance fournissent une troisième ligne de défense efficace, après les opérations et les fonctions de deuxième ligne telles que la gestion des risques et la conformité, pour garantir que la plate-forme est solide du point de vue de l'« hygiène de sécurité » et de la réglementation. Les fonctions d'audit de troisième ligne maintiennent les fournisseurs de plateformes de paiement précis, responsables et fournissent l'assurance à la haute direction et aux membres du conseil d'administration que les deux premières lignes de défense répondent aux attentes.
Pour cette raison, les facturiers ne doivent travailler qu'avec un fournisseur de plateforme de paiement qui a subi des évaluations et des certifications complètes en matière de confidentialité et de sécurité effectuées par des tiers qualifiés. Par exemple, pour assurer la sécurité des actifs informationnels, un fournisseur de plateforme de paiement doit avoir la certification ISO/IEC 27001 ou une certification équivalente axée sur la sécurité.
La plate-forme doit également être conforme à la norme PCI et disposer de processus permettant au personnel d'assistance client de l'émetteur de facturer de maintenir la conformité lors de l'interaction avec les clients concernant le paiement.
Chaque partenaire de paiement envisagé doit suivre le NIST CSF, un cadre de cybersécurité contenant les normes de l'industrie et les meilleures pratiques pour aider les organisations à comprendre et à réduire leurs risques.
Enfin, demandez aux fournisseurs de plateformes de paiement potentiels s'ils organisent régulièrement des formations à la sécurité pour leur personnel, y compris les risques d'ingénierie sociale, et testez leurs systèmes pour identifier les vulnérabilités. Vous devez savoir que quelqu'un à l'intérieur pense comme des cybercriminels et prend des mesures préventives en conséquence.
Sécuriser chaque lien pour les paiements de factures numériques
La pile de paiement de factures d'aujourd'hui est plus complexe que jamais avec l'ajout d'options de paiement de factures numériques : portefeuilles numériques, codes QR scan-and-pay, applications de paiement de personne à personne, et plus encore.
Vous ne pouvez pas contrôler les criminels, mais vous pouvez renforcer votre chaîne d'approvisionnement de paiement, du début à la fin, en travaillant avec un fournisseur de plateforme de paiement axé sur la sécurité qui a mis en place des protections, telles que la vérification à deux facteurs ; chiffrement et tokenisation ; une équipe de gestion des risques et de conformité ; et des audits, des tests de sécurité et des certifications professionnels par des tiers.
L'évolution du paiement mobile des factures bat son plein. Désormais, les professionnels des paiements doivent travailler ensemble pour garder une longueur d'avance sur ceux qui travaillent à l'exploiter.