Il y a 5 ans encore, le marché de la carte à puce était plutôt simple : il y avait d’un côté les fabricants de composants électroniques, les fabricants de cartes à puces proprement dites (qui assemblaient lesdits composants) et les personnalisateurs de cartes ; de l’autre, leurs clients. Ceux-ci, qu’il s’agisse de banques, d’opérateurs de télécommunication ou de régies de transport choisissaient les produits qui les intéressaient et passaient commande d’un certain nombre d’unités aux fournisseurs de leur choix. Avec la multiplication des usages de la carte à puce et l’apparition de problèmes mixtes – comme le mobile banking qui peut impliquer que la carte SIM du téléphone portable embarque une application bancaire tierce avec le niveau de sécurité suffisant –, le rôle des fabricants de cartes a évolué. La plupart d’entre eux proposent désormais tout un écosystème de services autour de la carte : gestion des identités, déploiement et maintenance d’application tierce, envoi de mots de passe à usage unique à des fins d’identification, etc.
À nouvelle compétence, nouveaux services et nouveaux marchés
« Pour nous, la révolution s’est déroulée quand nous nous sommes éloignés du format
ISO
[1]
, en nous attaquant au
marché de l’identité
[2]
» affirme Xavier Larduilat, CTIO de Gemalto. Pour lui, l’ingénierie en général, et Gemalto en particulier, s’apparente à une boîte de Lego à partir de laquelle on crée de nouveaux services. La société a connu certaines acquisitions importantes depuis 2 ans (notamment, en 2010, la société Centurion dans le domaine du machine-to-machine), de nouveaux éléments se sont ajoutés et de nouveaux services ont été créés. « Aujourd’hui, des industriels qui ne se sentaient pas concernés par la sécurité viennent dans notre monde, explique Xavier Larduilat. Notre vrai savoir-faire, c’est le système d’exploitation et les mécanismes de provisioning sécurisés. »
Pour ces nouveaux clients, qu'il s'agisse de l’industrie de l’automobile ou des fournisseurs d’énergie, Gemalto et ses concurrents ne se contentent pas de vendre des modules sécurisés (les cartes à puce au format ISO ou non), mais ils fournissent également le logiciel et gèrent à distance les modules durant toute leur exploitation. « L’argent ne se fait plus sur l’objet, mais sur la gestion des droits. » Une évolution pointée par le même spécialiste du secteur : « L’évolution générale va vers le multiservice. Le post-issuance (ce que devient la carte une fois émise, NDLR) devient le nerf de la guerre. » Même s’il reconnaît que le post-issuance ne génère encore que 250 millions d’euros sur les 18 milliards de chiffre d’affaires annuels de Gemalto, avec plus de 1,6 milliard d’objets sécurisés fabriqués par an, cette tendance promet d’être financièrement juteuse.
De l’émission de carte à la gestion d’un client
Du coup, il est tentant de proposer le même type de services à ses clients historiques que sont les banques et les opérateurs téléphoniques. Et ce d’autant plus que l’arrivée du
NFC
[3]
« va forcer les banques à être sur la mobilité ». Pour Gemalto – comme pour Oberthur Card Systems qui présentait lors de l’édition précédente de Cartes et Identifications des offres très similaires, tant dans le mobile banking que dans l’authentification forte adaptée au monde bancaire –, les banques basculent du schéma traditionnel de l’achat de cartes bancaires – avec des services associés de personnalisation et d'envoi – à des prestations plus complexes. « Aujourd’hui, plus de 50 % des cartes bancaires sont cobrandées » remarque Xavier Larduilat. Après l’émission, viennent souvent s’ajouter à ces cartes des applications (billétiques, de fidélité, etc.) provenant de tiers. Des applications bancaires de paiement peuvent également trouver leur place sur des cartes émises par d’autres agents (le plus souvent opérateurs téléphoniques ou transporteurs). Le fabricant de cartes veut alors se poser en tiers de confiance pour la gestion des droits d’accès à chacune des applications… et faire changer au passage ses relations avec les banques. Il s’agirait de basculer d’un business model où la carte bancaire est vendue 2 euros à l’unité vers la gestion d’un client pour le compte de la banque à X euros par an.
La banque doit rester maîtresse de son offre monétique
Une offre que les banquiers regardent officiellement avec prudence. Ainsi Bernard Dutreuil, directeur des systèmes et moyens de paiement à la FBF, s’interroge : « Est-ce la technologie (telle que proposée dans le catalogue de service des fabricants de cartes, NDLR) qui doit diriger l’offre de service ou le besoin des clients ? Lorsque le client bancaire va utiliser une carte, il doit savoir qui est le fournisseur, ce qui lui appartient, qui va se charger de son SAV, ce qui se passe quand une application arrive à échéance et non les autres. Le mélange des genres peut être déstabilisant et source de nouvelles formes d’insécurité. » Il rappelle par ailleurs que la carte multi-applicative est connue depuis 10 ans, voire 15 ans, et qu’à part quelques applications de fidélité, il n’y a rien pour l’instant. « Pour autant, il n’y a pas de souci tant que le service est sous la responsabilité de la banque. »
Son
successeur
[4]
, Willy Dubost, est plus conciliant : « De plus en plus, la réglementation pousse à aller de plus en plus vite vers de la sécurité réactive. Les banques n’ont pas les services d’innovation et de recherche qu’ont les professionnels de la carte. La finalité du banquier n’est pas d’être dans la technique, mais de savoir quelle technologie choisir. » Il rappelle toutefois que « la relation banque/client final doit toujours rester directe sans intermédiaire. » En clair, les banquiers peuvent sans souci accepter ou refuser ces nouvelles prestations fournies par les fabricants de cartes à puce, à condition de s’assurer qu’ils en gardent le contrôle. Ce dont semble les assurer Gemalto… Xavier Larduilat l’explique : « Notre business model est de n’être jamais visible, mais toujours en B2B. » En effet, à part un échec cuisant dans le grand public avec leur offre de stockage YuuBack, Gemalto n’a jusqu’ici jamais proposé ses cartes directement au particulier. Pour autant, comme pour tout contrat de prestation, il faudra désormais regarder attentivement les engagements de chaque partie avec les différents acteurs de la monétique.
1
International Organization for Standardization. L'ISO est un organisme de normalisation international composé de représentants d'organisations nationales, NDLR.
2
Fabrication de passeport avec puce intégrée, NDLR.
3
Near Field Communication.
4
À compter de fin octobre 2011. Jusqu’à récemment, Willy Dubost était responsable chez BNP Paribas du département monétique pour la banque de détail en France.
