La fraude s’est développée en même temps, devenant plus impactante et plus complexe. Selon la Banque de France, la fraude au paiement représente une perte de 1.2 milliards d’euros en 2022, une somme non-négligeable et qui n’est pas près de diminuer puisque les transactions frauduleuses ne cessent d’augmenter. Environ 70% de ces transactions frauduleuses proviennent de la banque en ligne.

La lutte contre la fraude est donc l’une des préoccupations les plus importantes pour la banque en ligne, mais d’autres secteurs commencent aussi à se pencher sur la question.

Fraude à l’identité, fraude métier

Le terme de fraude fait partie du langage courant et peut avoir des définitions très variées. Il est possible de « frauder » un ticket métro, une assurance, ou un compte fidélité chez un acteur de la grande distribution.

Quand il est question de fraude informatique, notamment bancaire, on distingue la fraude à l’identité et la fraude métier.

La première induit une manipulation des données d’identité de l’émetteur, de son contexte d’accès au service ou des informations en lien avec son authentification et autorisation. Il est possible de la détecter en analysant le comportement de l’utilisateur quand il s’authentifie, la machine qu’il utilise, l’IP depuis laquelle il se connecte, etc.

La seconde demande de manipuler des données en lien avec la transaction elle-même, le profil bancaire de l’émetteur et du récepteur, et le contexte de réalisation de la transaction. Des indicateurs de fraude métier pourraient être par exemple un IBAN récepteur venant d’un pays inhabituel, un montant de transaction important, etc.

Les deux types de fraudes et leur détection reposent sur des signaux différents mais ces deux mécanismes de protection peuvent et doivent échanger, s’alimenter l’une l’autre afin d’apporter une part de contexte supplémentaire et permettre une analyse plus holistique du risque.

Cette nécessité de synchronisation s’est traduite concrètement par un récent rapprochement organisationnel entre les équipes de lutte contre la fraude métier et les équipes IAM.

Quels risques sont couverts par la détection de la fraude à l’identité ?

Derrière la fraude à l’identité se cachent de nombreux cas d’usage différents. La détecter permet donc de couvrir des risques variés qui aujourd’hui sont difficiles à appréhender. Voilà une liste non exhaustive de techniques utilisées par les attaquants qui pourraient être détectées par un outil anti-fraude :

• SIM swapping : le SIM swapping demande de convaincre le fournisseur téléphonique de la victime d’envoyer une nouvelle carte SIM à l’attaquant, qui pourra ensuite valider des demandes de double authentification via OTP en se faisant passer pour la victime.
• MFA fatigue : la MFA fatigue consiste à envoyer un grand nombre de notifications de validation MFA, au point que la victime finisse par accepter la demande et autoriser l’accès à l’un de ses comptes par inadvertance.
• Social engineering : le social engineering est utilisé lors d’attaques ciblées sur un individu, l’attaquant recueille des informations sur lui et sur son compte bancaire, puis les exploite pour lui soutirer de l’argent. Un exemple de plus en plus fréquent est celui des fraudes au conseiller bancaire, un attaquant se faisant passer pour le conseiller de la victime et la poussant à effectuer un virement, souvent en prétextant un risque de… fraude.
• Bots : l’automatisation des attaques ouvre de nouvelles possibilités pour les attaquants, ces derniers pouvant cibler un grand nombre de comptes au cours d’une seule campagne. En émulant des appareils ou en lançant des campagnes de phishing massives, il devient de plus en plus simple de récupérer des informations personnelles et des mots de passe.

Les banques en tête de proue, mais rejointes par de nouveaux acteurs

Sans surprise, le secteur bancaire a une longueur d’avance sur ces questions. Premièrement parce que l’impact de la fraude est très concret et la banque est une cible privilégiée. Ensuite parce que les utilisateurs sont habitués, voire rassurés, de constater des processus de sécurité important au détriment de leur expérience utilisateur. Enfin parce que le passage massif à la banque en ligne a soulevé des questions que d’autres secteurs n’ont pas eu à se poser immédiatement.

Aujourd’hui, la détection de la fraude pour une banque en ligne se concentre sur trois étapes clés du parcours utilisateur :

• L’enrôlement d’un nouvel appareil
• La validation d’un paiement
• La réalisation d’actions sensibles sur le compte, comme l’ajout d’un bénéficiaire pour les virements

Si le secteur bancaire est indubitablement le plus touché et le plus protégé, d’autres secteurs commencent à se pencher sur la question de la détection de la fraude. C’est le cas de la grande distribution et de l’e-commerce par exemple, ainsi que du luxe qui se trouvent dans la ligne de mire des attaquants. Cela les force à imaginer de nouveaux processus et à investir dans la lutte contre la fraude, faisant à leur tour évoluer les solutions et pratiques pour limiter les impacts sur le business.

De nouvelles avancées technologiques : protocoles et algorithmes

La pression des attaques explique en grande partie l’intérêt dans les solutions de détection de la fraude. Ces dernières se sont développées rapidement, embarquant de plus en plus de fonctionnalités et démontrant une capacité grandissante de lutte contre les attaques complexes qui se développent.

Les récentes avancées technologiques liées à la détection de la fraude sont multiples, mais deux principaux mécanismes ont rendu ces solutions plus puissantes : la capacité à échanger des informations entre les briques de détection, et la précision des algorithmes d’estimation du risque.

Le premier mécanisme est un produit de la tendance actuelle à la standardisation des protocoles et des signaux de détection, permettant aux différentes briques du SI de mettre en commun les informations récoltées et les réactions appropriées. Le groupe de travail Shared Signals (Okta, Cisco, Disney, fondation OpenID, etc.) a par exemple produit un framework utilisé dans deux protocoles : Continuous Access Evaluation Protocol (CAEP) et Risk Incident Sharing and Coordination protocol (RISC).

Le deuxième mécanisme ; la précision des algorithmes ; repose sur le nombre grandissant de critères pouvant être exploités. Il y a quelques années, un moteur de détection se reposait sur l’analyse de l’IP, la géolocalisation et quelques attributs de l’identité. Aujourd’hui, les critères sont démultipliés, incluant le comportement propre à l’utilisateur (les mouvements de souris, la vitesse de frappe), l’analyse des appareils utilisés (modèle, OS, navigateur), l’historique du compte, les parcours utilisateurs usuels, ainsi qu’une panoplie de signaux faibles provenant d’autres applications ou de briques du SI. Cette multiplication des signaux entrants dans les algorithmes permet une analyse bien plus fine de chaque transaction et une estimation du risque toujours plus pertinente.

IA et orchestration au service de la lutte contre la fraude

Augmenter le nombre de critères permet d’améliorer les algorithmes, mais pour tirer le meilleur de ces informations il est essentiel de tirer profit des capacités du Machine Learning et de l’intelligence artificielle. Chaque critère devient une dimension permettant à l’intelligence artificielle d’apprendre de manière dynamique les comportements des utilisateurs (comme les parcours usuels, les emplacements des clics de souris ou la vitesse de frappe) et ce qui constitue un contexte d’accès normal et non risqué afin de mieux détecter tout ce qui en dévie.

Malgré la capacité de l’IA à produire une décision à partir d’un nombre très important de paramètres, elle demeure victime des déboires de tous les algorithmes de décision : les faux positifs. Et avec l’intérêt de nouveaux secteurs, qui se doivent d’équilibrer sécurité et expérience utilisateur pour limiter les impacts négatifs sur le business, la gestion des faux positifs est une question à part entière pour les éditeurs. Aujourd’hui, les modèles de détection peuvent être ajustés de plusieurs manières : en les entraînants de manière récurrente, pour les adapter aux nouveaux cas d’usages ; en jouant avec les poids des critères, selon le contexte du client ; et en revenant sur les décisions prises par l’algorithme afin de signaler les faux positifs.

Au-delà de ces ajustements, les solutions de détection de la fraude offrent une grande flexibilité au niveau de l’orchestration, c’est-à-dire au niveau de la réaction à mettre en œuvre vis-à-vis des recommandations de l’algorithme. Il est ainsi possible de limiter l’impact pour les utilisateurs, en utilisant des challenges invisibles pour les risques faibles et en limitant les demandes contraignantes comme la MFA ou le traitement manuel différé aux transactions très risquées. L’orchestration permet aussi d’effectuer une mise en place progressive de l’outil : les réactions peuvent se limiter à une levée d’alerte transmises à un outil SIEM par exemple afin d’affiner l’algorithme, puis un passage à du blocage effectif et en temps réel.

Conclusion

La lutte contre la fraude, est un sujet qui concerne de nombreux secteurs. Si le secteur bancaire est en avance et que ceux du e-commerce et du luxe suivent, toute organisation peut être ciblée par la fraude. Cela implique une pluralité des cas d’usage et des problématiques auxquels les solutions de détection de la fraude peuvent souvent mais pas toujours répondre.

Le secteur d’activité, le contexte, la récurrence et le type d’attaques, l’impact et le risque associé, ainsi que les moyens pouvant être débloqués, toutes ces dimensions doivent être prises en compte pour contextualiser les solutions de lutte. Ces solutions peuvent être chères ou inadaptées malgré les mécanismes innovants mis en place et d’autres mécanismes de remédiation peuvent être envisagés selon les contextes.

C’est le cas des solutions anti-bots par exemple, ou des mécanismes de risk based authentication, ou encore tout simplement la refonte de certains processus métier pour les rendre intrinsèquement plus résilients à la fraude. Ces remédiations peuvent accompagner une solution de détection de la fraude, ou suffire à contrer les cas de fraude observés dans le contexte étudié.

Cet article La lutte contre la fraude : un nouvel enjeu pour l’identité numérique ? est apparu en premier sur RiskInsight.

L’identité numérique régalienne regroupe toutes les informations essentielles pour authentifier formellement un individu ou une organisation dans le monde numérique. Cela inclut les données d’identification personnelles, les certificats électroniques et les informations biométriques. Cette identité est cruciale pour sécuriser les transactions électroniques, faciliter l’accès aux services publics en ligne et protéger les droits et la vie privée des citoyens.

En France, un programme a été lancé en 2018 pour créer une identité régalienne numérique de garantie élevée. Parallèlement, la France s’engage dans la mise en place d’une carte d’identité à puce, qui constituera la base de cette identification électronique. Ce mode d’authentification sera intégré à FranceConnect+ créé à la fin de 2021, un service en ligne d’identification et d’authentification de niveau substantiel minimum.

Exemples de cas d’usage en fonction de la cible :

Entreprises

Un cas d’usage B2E potentiel pourrait-être le réenrôlement et de la récupération d’accès. L’utilisation de l’identité numérique régalienne devient particulièrement pertinente dans les entreprises ou l’authentification des employés repose exclusivement sur des passkeys FIDO liées à un appareil, souvent leur téléphone. En cas de perte de ce dispositif, l’employé se trouve dans l’incapacité de s’authentifier. Grâce à l’identité numérique régalienne, la récupération d’accès devient simplifiée. L’employé peut utiliser son identité numérique pour restaurer ses accès, puis récupérer un nouveau téléphone et réenrôler ses passkeys FIDO. Ainsi, le processus de réenrôlement et de récupération d’accès est grandement facilité, garantissant une continuité de service accrue.  

Côté CIAM, les banques pourraient utiliser l’identité numérique régalienne pour vérifier l’identité des clients lors de l’ouverture de comptes en ligne ou lors de transactions sensibles et améliorer ainsi le niveau de sécurité de leur service et leur processus KYC (know Your Client). Actuellement en France, les clients peuvent utiliser FranceConnect pour s’authentifier auprès de banques telles que BNP Paribas lors de l’ouverture de comptes en ligne, garantissant une vérification d’identité sécurisée et simplifiée. De la même manière des sites de commerce en ligne pourraient utiliser l’identité numérique régalienne pour permettre aux utilisateurs de s’authentifier de manière sécurisée lors de l’achat de produits, renforçant encore la sécurité et réduisant les risques de fraude.

Dans le contexte de l’entreprise étendue (mode d’organisation permettant la collaboration entre une entreprise, ses filiales et ses partenaires), l’enrôlement sécurisé des partenaires pour accéder aux systèmes d’information (SI) de l’entreprise est crucial. Le défi consiste à augmenter le niveau de confiance de l’enrôlement tout en le facilitant.

L’utilisation du portefeuille d’identité européen ou autre wallet d’identité pourrait significativement simplifier et sécuriser ce processus. Les employés des partenaires pourraient prouver leur identité auprès de l’entreprise avec laquelle ils souhaitent collaborer en utilisant leur wallet d’identité. Voici comment cela pourrait fonctionner :

Premièrement l’enregistrement initial, les employés des organisations partenaires utilisent leur portefeuille d’identité pour s’enregistrer auprès du système de l’entreprise principale. On procède alors à la vérification de l’identité grâce à des certificats électroniques et autres informations sécurisées.

Une fois l’enregistrement validé, ces employés peuvent accéder aux systèmes d’information de l’entreprise principale. Le wallet d’identité permet une authentification sécurisée et conforme aux normes de sécurité de l’entreprise. Ou un enrôlement sécurisé à des moyens d’authentification locaux de l’entreprise.

Le wallet d’identité peut également être utilisé pour gérer et moduler les droits d’accès en fonction des rôles et des besoins spécifiques des employés partenaires, réduisant ainsi le risque de sur-approvisionnement et augmentant la sécurité.

Si les informations d’identité changent (par exemple, si un employé change de poste ou de responsabilité), la mise à jour des accès peut être effectuée de manière fluide via le portefeuille d’identité, sans nécessiter de processus administratifs lourds.

Imaginons une entreprise de construction collaborant avec divers sous-traitants pour différents projets. Les employés des sous-traitants peuvent utiliser leur portefeuille d’identité pour s’authentifier et accéder aux plans et documents de projet hébergés dans le SI de l’entreprise principale. Cela garantit que seuls les employés autorisés et vérifiés ont accès aux informations sensibles, et que leurs accès peuvent être rapidement modifiés ou révoqués en cas de besoin.

Citoyens

L’identité numérique régalienne offre aux citoyens de nombreux avantages, notamment en simplifiant l’accès à divers services en ligne et en renforçant la sécurité des transactions numériques. En France, par exemple, les assurés sociaux peuvent utiliser leur identité numérique via le service Ameli pour accéder à leur espace personnel. Cela leur permet de consulter leurs remboursements, de prendre rendez-vous avec des professionnels de santé et de gérer d’autres aspects de leur couverture médicale en ligne de manière sécurisée.

De même, pour les démarches fiscales, les citoyens français peuvent utiliser leur identité numérique régalienne via le site impots.gouv.fr. Cette fonctionnalité facilite la déclaration fiscale en ligne, permettant aux utilisateurs de remplir leurs déclarations, de consulter leurs avis d’imposition et de suivre leurs paiements et remboursements de manière simple et sécurisée.

Au-delà de la France, d’autres pays européens mettent également en œuvre des solutions d’identité numérique pour améliorer l’accès aux services publics. Par exemple, les étudiants pourront bénéficier grandement de l’identité numérique régalienne pour leurs démarches administratives. Ils pourront l’utiliser pour s’inscrire à des universités, accéder à leurs relevés de notes, et gérer leurs comptes étudiants de manière sécurisée et simplifiée. De plus, les étudiants internationaux pourront également utiliser cette identité pour valider leur statut de résidence et accéder à divers services publics et académiques sans le tracas des procédures papier.

En Espagne, l’identité numérique régalienne permet aux citoyens de signer électroniquement des documents officiels via le service FirmaDigital.gob.es. Cette solution est utilisée pour des tâches telles que la signature de contrats de location, la soumission de documents administratifs, et d’autres procédures nécessitant une signature légale. Cela rend les processus administratifs plus efficaces et sécurisés, en éliminant la nécessité de signatures physiques et en réduisant le risque de fraude.

Le portefeuille d’identité européen (EUDI)

Le portefeuille d’identité européen (EUDI Wallet) est une initiative majeure de la Commission Européenne visant à fournir aux citoyens de l’Union européenne un moyen sûr et interopérable de gérer leur identité numérique à travers les frontières. Conçu pour offrir une solution pratique et sécurisée, l’EUDI Wallet permettra aux citoyens de stocker et de partager leurs informations d’identification électronique de manière transparente, tout en préservant leur vie privée et en respectant les normes strictes de protection des données de l’UE.

Ce concept émerge dans le contexte de la numérisation croissante de la société européenne et de la nécessité de renforcer la confiance dans les transactions en ligne. Avec la diversité des systèmes d’identification électronique utilisés à travers l’UE, l’EUDI Wallet vise à harmoniser ces systèmes et à faciliter l’accès aux services numériques transfrontaliers, tels que les services publics, les transactions commerciales et les interactions en ligne avec les entreprises.

L’EUDI Wallet fonctionnera donc comme un portefeuille numérique sécurisé où les citoyens pourront stocker leurs informations d’identification telles que les certificats électroniques, les données biométriques et les documents d’identité. Ils pourront utiliser ce portefeuille pour s’authentifier en ligne et accéder à une gamme de services numériques à travers l’Union européenne.

Avec l’EUDI Wallet, les citoyens pourront accéder facilement à leurs données de santé, comme leur résumé de patient et leurs ordonnances électroniques, n’importe où dans l’UE, favorisant une meilleure continuité des soins. De plus, le wallet permettra de gérer et vérifier les diplômes et qualifications professionnelles de manière sécurisée, simplifiant ainsi la reconnaissance des qualifications et favorisant la mobilité des travailleurs. Enfin, il facilitera les transactions en ligne en assurant une authentification forte et harmonisée, renforçant ainsi la confiance dans le commerce électronique transfrontalier.

Afin de procéder à ces cas d’utilisations, la Commission Européenne a défini deux scénarios principaux décrivant très basiquement les flux d’utilisations du portefeuille ;

À ce jour, les pays de l’Union Européenne ont convenu du contenu à inclure dans le wallet européen et se sont accordés sur un standard global pour le projet, avec une date de mise en œuvre cible en 2026. Ce qui reste à accomplir comprend la finalisation du standard, l’élaboration des spécifications techniques précises de ce standard, ainsi que le développement des solutions techniques devant être mises en œuvre dans chaque pays européen pour assurer leur compatibilité avec le standard établi.

Conclusion

L’introduction du portefeuille d’identité européen (EUDI Wallet) représente une étape cruciale vers une Europe numérique plus intégrée et numérisée, offrant de nombreux avantages aux citoyens et aux entreprises à travers l’Union Européenne. En France, l’adoption de l’EUDI Wallet dépendra de plusieurs facteurs clés. Tout d’abord la mise en place d’un cadre réglementaire solide et conforme aux normes de protection des données telles que le RGPD sera essentielle pour assurer la confiance des utilisateurs et la sécurité de leurs données personnelles. De plus, la confiance du public dans la sécurité et la fiabilité de l’EUDI Wallet jouera un rôle déterminant dans son adoption généralisée. Des campagnes de sensibilisation et d’éducation du public sur les avantages et les mesures de sécurité de l’EUDI Wallet pourraient contribuer à renforcer cette confiance.

Cependant, l’élément le plus important pour l’EUDI Wallet sera le taux d’adoption par les services privés. L’implication des entreprises privées est cruciale car elles fournissent une grande partie des services utilisés quotidiennement par les citoyens. Une adoption généralisée par les secteurs bancaires, de la santé, de l’éducation, et d’autres services privés, assurerait une utilisation plus large et régulière du wallet, rendant son intégration plus fluide et naturelle pour les utilisateurs.

La technologie reste émergente et n’est pas encore assez mature pour être mise en place immédiatement. Toutefois, compte tenu des nombreux bénéfices potentiels, il est crucial de suivre de près cette technologie et de l’adopter dès que possible. Cela est particulièrement vrai pour le secteur bancaire et les cas d’usages de l’entreprise étendue, où l’EUDI Wallet pourrait apporter des améliorations significatives en matière de sécurité, de fluidité des transactions et d’efficacité opérationnelle.

Néanmoins, en surmontant ces obstacles et en tirant parti des opportunités offertes par l’EUDI Wallet, la France pourrait jouer un rôle de leader dans la construction d’une Europe numérique plus sûre, plus innovante et plus connectée pour les années à venir.

Cet article Le portefeuille d’identité européen, l’identité régalienne numérique bientôt dans nos poches est apparu en premier sur RiskInsight.

Qu’est-ce que l’entreprise étendue ?

L’entreprise étendue est un ensemble d’entités et d’acteurs économiques associés pour la réalisation de projets communs. Les entreprises ont toujours eu besoin de collaborer entre elles en partageant des ressources et en échangeant des données. Pour ce faire, les collaborateurs de chacune de ces entreprises doivent pouvoir interagir en toute sécurité avec des utilisateurs externes.
Ces utilisateurs externes peuvent être des fournisseurs, des sous-traitants, des clients B2B, des filiales qui ne partagent pas le même SI, etc. La collaboration peut prendre différentes formes et peut ou non être limitée dans le temps.
Du fait de cette diversité de cas figures, il n’est pas possible ni pertinent de définir une réponse unique à tout projet IAM pour l’entreprise étendue. La stratégie à adopter par tout entreprise voulant adresser ce sujet va dépendre de son contexte propre et de ces cas d’usage spécifiques.
Une stratégie IAM entreprise étendue pourra être initiée en répondant à deux questions primordiales : quel mode de gouvernance IAM et de délégation cible avec les différents partenaires ? Et quel type de solution du marché couvre le mieux ses cas d’usage ?

Quelle mode de gouvernance ?

4 grandes approches de gouvernance IAM peuvent être envisagées en entreprise étendue, le choix d’une de ces approches va dépendre principalement de deux critères : le niveau de maturité IAM des différentes parties-prenantes et le niveau de sensibilité des ressources accédées.

Quelle solution éditeur ?

Un certain nombre de fonctionnalités distinguent clairement les solutions éditeur CIAM (périmètre client) des solutions Workforce IAM (périmètre employés). Ces deux types de solutions se situent aux extrémités opposées du spectre par rapport aux critères analysés dans le diagramme ci-dessous.

Les cas d’usage entreprise étendue (B2B) peuvent être positionnés sur une large gamme de ce spectre pour chaque critère selon les contextes. Il est donc difficile d’y répondre avec des solutions classiques workforce IAM ou CIAM mais de plus en plus d’éditeurs proposent de nouveaux modules dédiés pour répondre à ces nouveaux besoins.

Quelles nouvelles technologies pour faciliter la mise en œuvre ?

Un des facteurs clés de réussite d’un projet Entreprise Etendue réside dans la capacité de décentralisation des process et mécanismes IAM. Les avancées technologiques présentées dans le tableau ci-dessous permettent de repenser les approches traditionnelles de gestion des identités et des accès sous cet angle. Elles offrent des solutions plus flexibles, adaptées à la diversité des cas d’usage rencontrés, en permettant donc plus de décentralisation, notamment avec des partenaires peu matures grâces aux wallets d’identité et au passkeys:

Dans cette quête de solutions adaptées à la pluralité des use cases, il est impératif de rester à l’affût des développements du marché et d’évaluer en permanence la pertinence des solutions proposées par rapport aux besoins spécifiques de chaque contexte.

Cet article Quel IAM pour l’entreprise étendue ? est apparu en premier sur RiskInsight.