Les récents évènements liés au COVID-19 ont démontré la nécessité d’accès à de l’information fiable et véridique par l’ensemble de la société. En plus de l’épidémie, nous avons été sujets à une « infodémie », propagation rapide d’informations fausses ou trompeuses sur les réseaux sociaux, posant la question de la confiance accordée aux plateformes de relai de contenu et de l’authenticité des informations qu’elles relayent.

L’usage des deepfakes est un phénomène d’actualité touchant d’abord le grand public. Il est intrinsèquement lié à l’importance qu’ont pris les réseaux sociaux et médias en ligne dans notre vie quotidienne.

En septembre 2019, on comptait près de 15.000 vidéos deepfake en ligne, soit deux fois plus qu’en décembre 2018. Si 96% étaient des deepfakes pornographiques postés sur des sites spécialisés, l’étendue des sujets touchés augmente pour atteindre tous les réseaux sociaux populaires (Youtube, Vimeo, Dailymotion). Parmi les deepfakes postés sur YouTube, 20% représentaient déjà des politiciens, hommes d’affaires et journalistes[1]. Leur pouvoir de désinformation sur le grand public leur permet d’exercer une influence sur des évènements politiques et sociétaux majeurs dès lors que des personnalités connues y sont représentées.

Et ceux-ci ne cessent de se perfectionner, alors que les outils permettant de les générer se démocratisent (comme Lyrebird, pour les deepfakes audios, ou Zao, pour les face-swapping, et le plus récent Avatarify, intégré à Zoom et Skype, pour la vidéo). Leur pouvoir de nuisance pèse de plus en plus non seulement sur les acteurs et organisations publics, mais également privés, et doit être étudié dans chaque secteur d’activité.

Un risque à prendre en compte par les entreprises

Les deepfakes peuvent également être utilisés contre les entreprises. Ils offrent en effet un nouveau terrain de jeu pour les acteurs malveillants, avec notamment deux moyens d’action :

• Perfectionnement des attaques par fraude au président, dont les impacts et la probabilité sont augmentés avec les deepfakes. La fraude est rendue plus vraisemblable par des photos, vidéos et audios copiant la personne dont l’identité est usurpée. Les collaborateurs ciblés prennent ainsi ces contenus comme une authentification en soi de l’interlocuteur, et les chances de réussite des attaques sont augmentées – ce qui les encourage à demander des sommes plus importantes. De plus, certains outils de généreration de deepfakes étant accessibles au grand public, le recours à ces fraudes par des personnes malintentionnées augmente.
• La déstabilisation de l’entreprise via de fausses informations relayées peut fortement détériorer son image, entrainant un certain nombre de conséquences, notamment financières et juridiques. On peut se demander quels impacts pourrait avoir le discours vidéo d’un membre du CoMex d’une entreprise diffusant de faux résultats ou orientations stratégiques sur le cours de son action ou la confiance de ses prospects ; ou encore quels seraient ceux d’une révélation d’anomalie produit sur les prises de commandes directes. Qui plus est, le démenti de rumeurs est rendu plus difficile lorsque des deepfakes sont utilisés. Et aujourd’hui les entreprises se sentent pour beaucoup encore loin du sujet : combien se sont déjà demandées quels seraient les impacts que pourrait avoir un deepfake sur leurs activités ?

Un cadre légal en construction

Les Etats commencent à s’organiser pour répondre à l’enjeu des deepfakes et à légiférer pour encadrer leur diffusion. Certains pays comme la Chine criminalisent la diffusion de deepfakes sans en notifier l’audience (depuis le 1^er janvier 2020). Aux Etats-Unis, le traitement de la question des deepfakes s’accélère à l’approche des élections présidentielles de novembre 2020 et se fait à la fois au niveau fédéral (lois interdisant la diffusion de deepfakes en Californie, Virginie et au Texas), et national (le DEEPFAKE Accountability Act[2] est en discussion au congrès pour « combattre la propagation de désinformation à travers des restrictions sur les deepfakes »). En France, la question des deepfakes est intégrée à la loi du 22 décembre 2019 relative à la lutte contre la manipulation de l’information et n’est donc pas encore traitée explicitement.

Ces cadres légaux restent naissants et hétérogènes, et ne représentent qu’une partie de la réponse à apporter à cette technologie. Plus que condamner leur utilisation malveillante, l’enjeu est surtout de pouvoir les détecter et les empêcher.

Dans cette première partie, nous avons donné une vision des risques que présentent les deepfakes pour les entreprises. Dans la seconde partie de l’article, nous traiterons des moyens techniques et organisationnels à disposition aujourd’hui pour s’en protéger.

[1] Etude réalisée par Deeptrace en Septembre 2019.

[2] Defending Each and Every Person from False Appearances by Keeping Exploitation Subject to Accountability Act.

Cet article Cybersécurité à l’heure du deepfake – Comment agir face à de fausses informations de plus en plus crédibles ? (1/2) est apparu en premier sur RiskInsight.

Le dilemme de l’évolution des dispositifs antifraude : quels leviers pour intégrer ces technologies ?

Faisant écho à ces problématiques, l’écosystème des éditeurs s’est organisé pour proposer des solutions antifraude s’appuyant sur ces technologies. Ainsi éditeurs et start-ups se sont très largement développés, partout dans le monde (plus de 150 fournisseurs ont été recensés au sein du radar « Antifraude » Wavestone). Le besoin de lutte antifraude a en effet par nature une dimension internationale, notamment dans la protection des flux monétaires qui sont rarement limités à un seul pays.

Figure 2 :Exemple du radar des éditeurs antifraude Wavestone (extrait non exhaustif)

Même si la lutte contre la fraude apparait comme un use case de choix pour démontrer le ROI du Machine Learning (réduction du nombre de fraudes, automatisation de la détection…) et au-delà du choix de la stratégie d’outillage de lutte contre la fraude au regard de la maturité du marché, les questions à se poser doivent rester celles d’une solution SI « standard » (exploitation, maintenance, évolutivité…).

Si les coûts d’infrastructures nécessaires à la mise en place d’outils basés sur le Machine Learning et le big data ne sont pas négligeables, ils permettent de créer un environnement favorable à l’exploitation de la richesse des données pour divers usages (maintenance prédictive des serveurs, connaissance client, etc.) en gardant à l’esprit les garde-fous mis en place par le RGPD.

Figure 3 : Où peut-on agir avec le Machine Learning : exemple d’une banque

Une nouvelle cible à atteindre : une approche « sans couture » technologique et métier

Face aux nouveaux enjeux et l’apport des technologies émergentes, une nouvelle stratégie antifraude doit être désormais définie.

La mise en place d’un dispositif de détection globale de confiance qui devra respecter 5 grands principes.

• L’efficience et l’automatisation : il bénéficiera d’une détection à plusieurs critères (moteur de règles et Machine Learning) et d’une efficacité opérationnelle optimisée par l’automatisation de mesures allant de l’augmentation du niveau d’authentification demandé au gel d’un virement.
• L’évolutivité et l’omnicanal : il intègrera plusieurs périmètres dans la détection avec une logique « sans couture » entre le monde cyber et le monde « hors cyber » et sera conçu pour permettre l’intégration de nouvelles données disponibles (ex : données de biométrie comportementale).
• La visibilité et l’exploitabilité : il fournira la visibilité (reporting) et l’explication des résultats de détection, aux équipes antifraude, aux clients et également aux régulateurs.
• La conformité et la sécurisation : il respectera les obligations en matière de détection ainsi que les réglementations (RGPD), et traitera les risques inhérents au Machine Learning (tentatives de poisoning, compréhension par l’attaquant du modèle…).
• La gouvernance transverse cybersécurité et métier : une collaboration étroite des équipes de détection de menaces cyber et métier antifraude, dépassant les silos encore trop présents, permettra une réponse globale avec une vision 360 des menaces et fera le meilleur usage des données disponibles.

Pour bénéficier de tous les atouts apportés par cette nouvelle stratégie de détection, il conviendra également de ne pas négliger les systèmes d’investigation et de réaction.

Une décentralisation partielle de la lutte contre la fraude, impliquant les conseiller bancaires, permettra une plus grande capacité d’investigation. Ayant la connaissance la plus fine de leurs clients, ces derniers représentent un atout dans le processus d’investigation.

De plus, la biométrie comportementale et le machine learning permettent de fournir une meilleure visibilité sur le niveau de confiance qu’on peut accorder à l’utilisateur. Une fois le niveau de confiance défini, il est donc possible d’adapter les niveaux d’authentification demandés en conséquence. Une contribution adaptée et graduée de l’utilisateur permettra ainsi de réduire le nombre d’alertes émises.

La mise en place d’une nouvelle cible antifraude n’est pas seulement pour assurer une réponse adaptée à un changement de contexte mais aussi pour anticiper une vague de fond qui s’amorce aujourd’hui. La détection de fraudes deviendra à l’avenir de plus en plus complexe compte tenu d’une digitalisation qui va continuer à s’accélérer, en particulier sur les moyens de paiement. L’émergence de nouveaux acteurs, comme les Fintechs, et la désintermédiation grandissante des banques vont notamment entraîner un appauvrissement de la donnée disponible. Les dispositifs antifraude sont donc voués à évoluer en profondeur afin de garder et développer leur efficacité.

Cet article Revolution technologique : quelle perspective pour la lutte contre la fraude ? (2/2) est apparu en premier sur RiskInsight.

Les expériences et expérimentations du secteur bancaire, en avance sur ces problématiques, permettent d’envisager les perspectives à venir et fournit donc un prisme d’analyse utile aussi pour les autres secteurs.

Menaces, usages, réglementations : trois évolutions majeures qui impliquent des adaptations des dispositifs antifraude

Les transformations business et technologiques dans l’ensemble des secteurs d’activité font apparaitre des évolutions impactant directement les dispositifs antifraude historiques.

Les menaces évoluent, les pratiques de fraude se sont professionnalisées avec de nouveaux outils et de nouvelles pratiques. Prenons l’exemple du phishing : même sans connaissances informatiques, une cellule de fraudeurs entrainée peut désormais acheter un kit de phishing prêt à l’emploi et met en moyenne seulement trois minutes entre une connexion frauduleuse et une sortie d’argent. Les tentatives de fraude se sont donc démultipliées ces dernières années.

En parallèle, les usages évoluent vers une plus forte digitalisation, parfois dictés directement par des évolutions réglementaires, à la fois à destination des clients ou à destination des collaborateurs. Par exemple la mise en place de l’Instant Payment en France ou de la directive européenne sur les services de paiement 2ème version (DSP2) prévoient des virements instantanés. Ces nouveaux usages accélèrent les transactions financières entre les acteurs entrainant par la même occasion des besoins d’évaluation instantanée des risques de fraude. De plus, cette multiplication des canaux de paiement entraîne une augmentation de la surface d’attaque avec notamment une diversification des malwares bancaires aux applications mobiles ainsi que l’apparition de pratiques d’ingénierie sociale complexes multicanales et appuyées sur une compréhension des processus métier.

La diversification des fraudes, la volumétrie associée et l’augmentation des besoins de traitement instantané rend le traitement manuel presque impossible. La création de règles d’alertes plus restrictives pour minimiser les volumes ferait cependant courir le risque de manquer un grand nombre de fraudes.

Dans ce nouveau paysage, où la fraude devient de plus en plus technologique et peut avoir de multiples origines (clients, donneurs d’ordres, sous-traitants, fournisseurs, administrateurs…), les stratégies de détection doivent évoluer et passer d’une détection réactive des fraudes connues à une détection proactive des menaces encore inconnues.

Les nouvelles technologies, l’avenir de l’antifraude pour faire face à ce nouveau paradigme

L’approche historique de la détection de fraude est fondée principalement sur la définition de règles unitaires générant une alerte en cas de non-respect d’un des critères et sur la corrélation d’événements, consistant à mettre en œuvre des règles métiers plus avancées prenant en compte plusieurs types de données, afin de générer une alerte lorsque apparaissent des indices du déroulement d’un scénario de fraude connu.

Cette approche tout en demeurant efficace pour la détection de fraudes connues, par exemple dans la lutte contre le phishing, n’est plus suffisante pour faire face aux évolutions en cours. Une approche hybride doit être enrichie sur la base des nouvelles technologies présentes sur le marché (intelligence artificielle / Machine Learning, biométrie comportementale…) qui offrent deux grandes perspectives d’enrichissement des dispositifs actuels.

1.  Passer d’une détection de masse à une détection individualisée beaucoup plus fine qui va se concentrer sur les changements de comportement.

Le Machine Learning a la possibilité de créer des profils individuels à chaque client. Ces profils, composés de variables construites à l’aide des données collectées, vont permettre de modéliser le comportement. Ainsi, les algorithmes utilisés vont comparer le profil du client (et donc son habitude) avec un événement donné et, de fait, remonter une anomalie lorsqu’une divergence apparait. A noter que le nombre de variables manipulées peut facilement dépasser plusieurs dizaines, là où des règles statiques n’intègreront que quelques paramètres, permettant ainsi de démultiplier le potentiel de détection ou de réduire le nombre de faux positif.

2. Diversifier les périmètres à couvrir en bénéficiant des économies d’échelle apportées par ces technologies (mutualisation des infrastructures big data, massification des données, automatisation permettant un gain de temps pour les analystes…)

Ces technologies ont la capacité d’intégrer et corréler, grâce à des Data Lake sur lesquels elles s’appuient, des volumétries importantes de données brutes, techniques ou métiers (logs applicatifs, connaissances clients, opérations financières…) et d’apporter un potentiel d’enrichissement par des données extérieures (liste de surveillance, transformation d’adresses IP en localisations physiques…). Pour tirer le maximum de bénéfices des systèmes antifraudes, le Data Lake doit disposer d’un historique de données pertinentes et conformes, à savoir 13 mois pour des personnes physiques et 6 mois pour des personnes morales.

Pour autant ces technologies ne sont pas « magiques », elles nécessitent d’avoir à disposition des données en qualité et en quantité afin de réaliser un important travail préparatoire sur la construction des variables qui portent les capacités de détection des algorithmes. Cette phase de construction nécessite un apport d’expertise à la fois métier mais aussi technologique (datascience, développeurs, etc.).

Figure 1 – les principales méthodes de détection

Le choix des algorithmes n’est également pas à négliger, notamment d’un point de vue de la transparence. En effet, certains outils sont basés sur des algorithmes où les résultats sont difficilement justifiables. Le manque de visibilité sur les critères d’établissement des résultats entraine une remontée d’alertes en « boîte noire » et ne permet pas toujours de justifier les blocages aux clients. Une trop grande opacité peut également avoir des conséquences juridiques, voir être illégale, lorsque ces alertes ont des conséquences directes sur des clients.

Si ce premier article présente quelles sont les technologies d’avenir dans la lutte contre la fraude, un deuxième article viendra détailler comment les intégrer au mieux.

Cet article Revolution technologique : quelle perspective pour la lutte contre la fraude ? (1/2) est apparu en premier sur RiskInsight.

Le secteur bancaire, une cible historique

Les attaques contre le secteur financier ne sont pas une nouveauté, il s’agit même d’un secteur de prédilection pour les pirates agissant à des fins vénales. Mais en 2016 nous avons assisté à une diversification et à une intensification de ces attaques. En effet, au cours de l’année passée, plusieurs attaques majeures, motivées par l’attrait de gains financiers importants, ont été réalisées contre des banques de détail et d’investissement mais également contre des banques centrales. Sans viser à être exhaustif, cet article présente de manière synthétique certains des cas emblématiques.

Pour les banques, trois zones de risques, poreuses entre elles, sont clairement identifiées:

Depuis l’existence d’Internet, les failles des systèmes accessibles directement aux clients ont été largement exploitées par les cybercriminels qui ont continué à faire évoluer leurs techniques en 2016.

Les distributeurs de billets, très exposés historiquement, ont été visés par de nouveaux malwares, notamment ALICE et RIPPER. Ces malwares peuvent être installés sur la machine de deux façons différentes :

• En passant par le réseau auquel est connectée la machine pour accéder aux serveurs de gestion, nécessitant d’infiltrer le SI de la banque.
• Directement sur le système d’exploitation de la machine à l’aide d’un port USB mis à nu.

Le piratage des distributeurs de billets a résulté à la perte de plusieurs millions d’euros au cours de l’année passée pour différentes banques à travers le monde. En Europe, le groupe de cybercriminels Cobalt a piraté des distributeurs dans une douzaine de pays pour un montant inconnu. Des attaques similaires ont eu lieu à Taïwan et en Thaïlande avec le vol de 2,5M$ et 350k$ respectivement.

D’une autre manière, les DAB et TPE peuvent servir d’hôtes aux fameux « Skimmers ». Il s’agit d’un dispositif hardware plus ou moins discret permettant de récupérer l’empreinte de la carte des utilisateurs. Plusieurs types de « Skimmers » existent dont en particulier :

• Les Skimmers externes, reproduction de tout ou partie de la façade de la machine qui s’installe au-dessus du distributeur ou du terminal de paiement.
• Les Skimmers internes, s’installant directement dans le lecteur de carte de la machine .

Cette seconde méthode très en vogue en 2016 est difficilement détectable car il n’y a pas de modification importante de l’aspect physique de la machine, seule une caméra externe est requise pour capturer le code PIN. De plus ces Skimmers internes n’affectent ni le système d’exploitation ni le fonctionnement de la machine.

Beaucoup plus connus, les malwares de type cheval de Troie, continuent d’évoluer et sont toujours largement utilisés pour récupérer les informations de paiements des clients ; certains d’entre eux sont spécialement développés pour les smartphones, notamment sur Android.

L’évolution des attaques vers les systèmes exposés et internes en 2016

Les cas d’attaques les plus importants de l’années 2016 dénotent une évolution du mode opératoire des attaquants avec une préparation minutieuse qui dure jusqu’à plusieurs mois. Pour s’introduire dans le système d’information des institutions financières et le manipuler, des méthodes spécifiques doivent être suivies, en se basant sur le fonctionnement et les processus métier. Ces derniers sont étudiés longuement par les attaquants, afin d’agir efficacement et en toute discrétion.

Après ce temps de préparation et une fois le système d’information de la banque pénétré, les attaquants sont capables de manipuler les applications métier et de détourner des montants jusque-là impensables avec une seule attaque dont l’exécution ne dure que quelques heures.

Citons notamment en 2016 le record de l’année : 81 M$ qui ont quitté « les coffres » de la Bangladesh Bank de façon non légitime.

Le mode opératoire de l’attaque sur la Bangladesh Bank, ayant eu lieu au mois de février, permet de mieux comprendre comment le détournement de telles sommes est possible.

Les attaquants ont commencé par ouvrir au mois de Mai 2015 des comptes à la banque RCBC aux Philippines sous de fausses identités. Ils ont ensuite réussi à s’introduire dans le SI de la Bangladesh Bank, par une faille non identifiée.

Vient alors la phase préparatoire lors de laquelle ils ont installé sur le réseau de la banque un malware espion spécialement développé qui les renseigne sur les horaires de fonctionnement de l’équipe en charge des transactions SWIFT afin de s’aligner sur les pratiques de la banque. Ils parviennent aussi à récupérer les identifiants des opérateurs ayant les droits de création, approbation et exécution de ces transactions.

A la suite de cette période de préparation, l’attaque est lancée en Février 2016 avec 35 transactions frauduleuses ordonnées à la New York FED, gérant des comptes de la Bangladesh Bank pour un total de 951 millions de dollars vers des comptes de la RCBC aux Philippines, créés au préalables et associés à l’industrie du jeu et des casinos. La principale nouveauté repose dans le fait que le malware utilisé modifie les confirmations de transactions, supprime les enregistrements électroniques des ordres et bloque l’impression des récépissés papier pour ne laisser aucune trace de la fraude.

31 transactions seront bloquées par le système anti-fraude de la New York FED et les intermédiaires en cours de route, mais au final 4 transactions sont validées pour un montant total de 81 millions de dollars. Les fonds seront ensuite retirés des comptes pour être blanchis. L’enquête implique le FBI et le gouverneur de la Bangladesh Bank a été limogé.

En réponse à cette attaque et à des tentatives similaires contre des banques Vietnamiennes et Equatoriennes, le SWIFT a lancé en 2016 un programme de sensibilisation pour ses clients ainsi que des recommandations pour une meilleure cyber sécurité.

A quoi s’attendre pour la suite ?

Ce contexte agité promet donc une année 2017 sous haute vigilance pour tous les acteurs du monde financier. La tendance à mener des attaques en profondeur contre leurs systèmes devrait s’intensifier, nécessitant une réelle évolution dans l’appréhension de la cybersécurité. Certaines annonces tonitruantes comme celle réalisé au Royaume-Uni « a major bank will fail »  tente d’alerter sur cette situation.

La capacité des attaquants à agir directement sur les éléments clés du SI bancaire tels que le système anti-fraude et les applications métier impose aux banques de durcir leur sécurité informatique à tous les niveaux ; que ce soit par exemple avec la protection contre les intrusions, une meilleure gestion des identités ou des systèmes d’authentification forte pour les utilisateurs sensibles.

La spécificité du milieu bancaire à fonctionner sur un modèle de réseau fortement interconnecté implique que la cybersécurité des services partagés, tels que les systèmes de transactions internationaux ciblés à plusieurs reprises, soit abordée globalement afin de garantir un niveau de sécurité cohérent entre les établissements financiers.

Article réalisé conjointement avec les travaux de préparation du panorama de la cybercriminalité du CLUSIF 2017 sur la partie « menaces touchant la finance ». 

Cet article 2016 : les cyberattaques touchent la banque sur tous les fronts est apparu en premier sur RiskInsight.

Machine Learning, démystification et opportunités

Le Machine Learning est une forme d’intelligence artificielle qui consiste à apprendre et modéliser un phénomène pour mieux le comprendre et le maîtriser. Pour cela, un ou plusieurs algorithmes permettent d’établir des corrélations entre les évènements qui composent ce phénomène. On distingue deux grands types de méthodes :

• Les méthodes supervisées, qui créent des modèles à partir d’une base de données d’exemples (généralement des cas déjà traités et validés).
• Les méthodes non-supervisées, qui n’ont pas besoin d’une base de données d’exemples

Pour illustrer la différence entre les deux méthodes, on peut considérer le cas de la détection de fraude. Pour s’entraîner et créer des modèles précis, les méthodes supervisées utiliseraient en entrée des données déjà traitées et marquées comme étant liées ou non à des cas de fraude (schémas de fraude connus), alors que les méthodes non-supervisées utiliseraient des données brutes issues des applications du SI afin de modéliser les comportements normaux. Conceptuellement, cela revient à modéliser respectivement ce qui est anormal (la fraude – en ayant assez de données pour que cette représentation soit fidèle) ou ce qui est normal (en détectant de facto les fraudes lorsque l’on s’éloigne de cette normalité).

Tous les algorithmes ne se valent pas. Chacun possède des qualités et des défauts qu’il faut savoir peser et qui dépendent en grande partie des données d’entrée, propres à chaque cas métiers. Il est important de choisir des données à la fois pertinentes et disponibles en quantité suffisante pour obtenir des résultats probants. Dans le contexte de la Banque en Ligne, de nombreuses données peuvent faire l’objet de Machine Learning :

• Habitudes de transaction : montants des virements, pays destinataires…
• Habitudes de connexion : heure de connexion, user-agent, device utilisé…
• Habitudes de navigation : parcours client, vélocité de navigation…
• Données comportementales : vitesse de frappe, déplacement de la souris…
• Données marketing : produits consommés, libellés des virements…

Correctement exploitée par des algorithmes de Machine Learning, la conjugaison de ces différentes données, précédée par un traitement tirant le maximum de leur valeur, peut permettre des résultats bien plus significatifs que ne le permettent les méthodes classiques. La connaissance client (KYC), en exploitant par exemple le parcours client type, la détection de fraude, en utilisant les habitudes de virement pour identifier des cas suspects (pays de connexion, distribution des montants…), ou encore le marketing à travers la connaissance des habitudes de consommations (analyse des libellés, regroupements des achats par catégories…) peuvent notamment largement tirer parti de ces données.

Concrètement, quels sont les gains du Machine Learning ?

Tout d’abord, connaître le client et mieux adresser ses besoins

Le Machine Learning permet de tirer le maximum de valeur des données en singularisant les modèles là où les méthodes « classiques » reposent sur un modèle commun à l’ensemble des données d’entrée. Par exemple dans le cas de la détection de fraude, les modèles de règles « classiques » reviennent à élaborer un modèle qui sera commun à tous les clients, sans tenir compte de leur unicité, là où le Machine Learning permettra une détection plus efficace en associant un profil à chaque client et en effectuant une surveillance et une détection propres à ce profil. Ce raisonnement vaut pour tous les autres domaines d’applications, et permet, in fine, une meilleure représentation et une meilleure connaissance non plus « du client » au sens large, mais de chacun des clients.

Le Machine Learning permet également d’offrir de nouveaux services

Au-delà de l’amélioration notable des résultats basés sur les KPI classiques (taux de faux positifs, taux de détection…), le Machine Learning permet une création de valeur en termes de gains financiers en personnalisant les outils dont profite le client. Cela peut parfaitement servir de socle à une offre commerciale qui reposerait par exemple sur la personnalisation de ses seuils par le client ou sur la possibilité d’être alerté en temps réel lorsqu’une information marketing, commerciale ou concernant sa sécurité a particulièrement du sens. Certaines banques ont d’ailleurs déjà franchi le pas, en offrant la possibilité à leurs clients Entreprises d’être alertés en cas de virements qui dépassent des seuils personnalisés préalablement établis.

Finalement, le Machine Learning est aussi une occasion de moderniser les outils et rester à l’état de l’art

Lancer un projet de Machine Learning permet de communiquer sur le sujet et de profiter du buzzword pour générer de la satisfaction chez un certain nombre de client de plus en plus sensible à des problématiques de sécurité ou de confidentialité, tout en s’assurant d’être à l’état de l’art du marché. Cela peut également permettre de moderniser des outils existants en vue des changements qui vont continuer d’opérer dans la Banque en Ligne au gré des nouvelles règlementations et des exigences techniques (temps réel notamment avec Instant Payment) et métiers qui en découlent. Dans ce cadre, on voit par exemple éclore des méthodes de Machine Learning pour la surveillance des marchés et lutter contre les délits d’initiés.

En conclusion, la pleine maîtrise technique du Machine Learning coïncide avec de nouveaux besoins et de nouvelles exigences exprimés dans la Banque en Ligne moderne. Embrasser cette évolution présente de nombreux avantages, de l’amélioration des performances et des résultats à la satisfaction des clients, en passant par une meilleure flexibilité technique. La maîtrise des différentes méthodes doit permettre un renouvellement des traitements et des processus métiers, en les rapprochant du client (aujourd’hui ces méthodes sont plutôt transparentes pour lui). Dans le cas de la lutte contre la fraude, on peut par exemple imaginer de nombreux cas autour de l’alerting et des contre-mesures, comme une vérification par authentification forte en cas de suspicion, ou des informations reçues en temps réel pour mieux impliquer les clients.

Cet article Le Machine Learning, quelles opportunités et quels enjeux dans une Banque en Ligne moderne ? est apparu en premier sur RiskInsight.

Une évolution indispensable de l’approche « traditionnelle »  de l’authentification

Si les solutions d’authentification classiques (normale, forte ou renforcée) constituent bien une première couche de sécurité essentielle pour la protection des ressources, force est de constater qu’elles affichent aujourd’hui certaines limites :

• L’authentification étant bien souvent le premier niveau de sécurité rencontré par un client (par exemple sur sa banque en ligne), il est aussi fort logiquement le premier à être attaqué. On constate par exemple depuis quelques années une course entre les banques en ligne pour renforcer leurs solutions d’authentification proposées à leurs clients.
• Comme souvent, la course au renforcement de la sécurité au niveau de l’authentification se fait au détriment de l’expérience utilisateur avec des solutions par toujours très ergonomiques, lors de leur activation ou de leur utilisation. Certaines (token matériel, certificats) ne sont par ailleurs pas adaptées aux nouveaux usages mobiles.

Trouver un bon compromis entre niveau de sécurité et expérience utilisateur reste pour autant un point essentiel pour des acteurs tels que des banques en ligne ou les sites de e-commerce qui savent bien qu’une authentification trop complexe risque de décourager un client d’utiliser ses services en ligne, voire de le faire abandonner un achat.

Améliorer la sécurité en ayant un impact limité sur l’expérience des clients, apporter une stratégie de sécurisation complémentaire à l’authentification, telles sont les promesses des solutions de détection de fraude dont le marché est aujourd’hui florissant. Les derniers rapports des analystes tels que Gartner ou Forrester montrent bien l’expansion de ce type de solution, ces derniers évaluant désormais plus de 40 solutions dans leurs études.

La fraude en ligne : quelle stratégie adopter ?

S’il existe aujourd’hui un marché très riche de solutions de détection de fraude en ligne, on retrouve une approche souvent semblable, s’articulant autour de trois piliers.

Le premier enjeu consiste à collecter un maximum d’informations afin de permettre une évaluation du contexte dans lequel se présente un client et d’estimer si les opérations qu’il est en train de réaliser sont légitimes. À ce titre, différents types de données peuvent être pertinentes à collecter :

• Des données liées au contexte de connexion de l’utilisateur, telles que le fingerprint de son device, l’IP, la localisation et l’horaire de la connexion, ainsi que des données techniques permettant par exemple de détecter la présence de malwares connus.
• Des données de type comportemental liées à l’interaction de l’utilisateur avec son device et son environnement : habitude de navigation sur un site web ou biométrie comportementale telle que la manière de frapper au clavier, de bouger sa souris, de remplir des formulaires,…
• Des données métier propres aux opérations réalisées par un utilisateur : type de bénéficiaire ajouté pour un virement, montant d’un achat en ligne,…

Une fois ces données collectées, les solutions de détection de fraude en ligne vont chercher à mettre en œuvre des stratégies permettant d’exploiter en temps réel ces données pour juger de la dangerosité de l’opération en cours. Ces stratégies consistent en général à définir des règles de détection (ex : interdire une opération depuis un pays à risque, lever une alerte en cas de connexion sur de multiples comptes depuis le même device en un cours délai,…) et à utiliser des profils comportementaux dans une logique de scoring. Dans ce second cas, des écarts trop importants par rapport à l’usage « habituel » pourra être considéré comme risqué et déclencher une action de la part de la banque ou du site de e-commerce.

Comment traiter les contextes suspects ?

Ces solutions de détection de fraude en ligne présentent donc de nombreux avantages :

• Tout d’abord, elles ne se substituent pas aux solutions d’authentification classiques, mais on bel et bien pour objectif de renforcer et compléter cette première couche de sécurité.
• Ce renforcement de la sécurité est, dans la majeure partie des cas, transparente pour les utilisateurs, a minima lorsqu’aucun contexte suspicieux n’a été détecté. En cas de détection d’un contexte suspicieux, ces solutions ont également l’avantage de pouvoir adapter les réponses apportées en fonction du niveau de risque quantifié. Ainsi, des contextes de connexion fortement suspects peuvent conduire par exemple à redemander une authentification à l’utilisateur, demander une authentification avec un niveau de sécurité plus élevée, bloquer l’opération ou encore notifier l’utilisateur via un canal tiers. En revanche, lorsque le niveau de risque détecté reste modéré (bien que plus élevé que pour un contexte « normal »), le traitement de ce dernier peut également être transparent pour l’utilisateur, par exemple en alertant simplement le centre antifraude du fournisseur de service sans pour autant bloquer ou alerter l’utilisateur.
• Enfin, une meilleure détection de ces fraudes ou tentatives de fraudes en amont permet d’alléger et simplifier les chaines de traitement des dossiers de fraude en aval, lorsque ces dernières sont avérées.

Parallèlement aux avantages sus-cités, certaines questions ou points d’attention doivent être pris en compte avant de déployer ce type de solutions.

• Des phases pilotes en amont du déploiement sont indispensables afin de s’assurer que les règles implémentées conduisent à des taux de faux positifs / faux négatifs acceptables. Par exemple, des taux de faux positifs trop importants peuvent rapidement dégrader l’expérience utilisateur et générer de l’incompréhension (pourquoi me demande-t-on une seconde authentification ? pourquoi suis-je bloqué ? j’ai reçu une notification par mail, ai-je réellement été piraté ? etc.).
• Ces solutions, si elles ont pour but de réduire le nombre de fraudes, ont également pour conséquence d’augmenter le nombre d’alertes en amont, comme dit précédemment. Il est donc indispensable, pour le fournisseur de service, d’être en mesure de traiter ces alertes remontées et donc dimensionner les équipes en charge de ces traitements en conséquence.
• Enfin, afin de complexifier le contournement (toujours possible !) de ces solutions par les hackers, il est important notamment de diversifier au maximum les types de données collectées, les règles utilisées pour évaluer le risque de fraude, de s’assurer que les traitements de ces données sont bien réalisés côté serveur et non côté client, etc.

Cet article La fraude en ligne : comment la détecter et s’en prémunir ? est apparu en premier sur RiskInsight.

Qu’est-ce que la fraude, qui sont les fraudeurs et quels en sont les impacts financiers ?

Le concept de fraude est très difficile à définir, la différence entre abus et fraude étant ténue. Certains avancent qu’une fraude est associée à un « faux », c’est-à-dire à un document falsifié ou indûment possédé permettant d’obtenir une prestation non fondée. Pour fixer les esprits, disons que l’abus est seulement constaté alors que la fraude est réprimée.

Il serait très facile de stigmatiser une catégorie d’acteurs en particulier. La fraude peut être réalisée sur l’ensemble de la chaîne, depuis la déclaration à l’assureur, à la prestation (en nature ou en numéraire) jusqu’ au moment de sa comptabilisation. Les fraudes les plus délicates à détecter étant celles des professionnels.

Pour ce qui est de son impact financier, par nature, les assureurs comme les complémentaires, ne communiquant pas sur leur taux de fraude mais il serait compris, selon certaines sources entre 2% et 3%. En biens et responsabilités, elle est estimée à 2 milliards d’euros par an et en automobile 30 000 sinistres matériels par an seraient frauduleux, un sinistre moyen coûtant un peu plus de 1000 euros !

Quant à la CNAM, côté santé et prévoyance, elle estime économiser 200 millions d’euros chaque année grâce à la lutte contre la fraude !

Quelles sont les tendances en matière de nouvelles fraudes ?

En matière d’assurance à la personne deux nouvelles tendances apparaissent, l’usurpation d’identité (facilitée par l’arrivée des nouvelles technologies) et la fraude « en bande organisée » issue de la coordination de l’action de plusieurs professionnels, accompagnées ou non d’une collusion avec l’assuré.

Quel que soit la branche d’assurance concernée, la lutte n’est efficace que si elle est combinée sur 4 axes (prévention, détection, sensibilisation, réaction) ce qui suppose de disposer de personnel très formé, d’un dispositif de veille technologique et juridique et d’un SI très performant.

Quels sont les meilleurs moyens pour lutter contre la fraude ?

Pour l’heure on peut identifier des moyens de lutte très prometteurs.

La systématisation des réseaux de prestataires agréés d’assurance (réparateur auto, opticien ou dentiste agréé, ..) est une bonne réponse car elle permet d’encadrer les pratiques. Les prestataires agréés, en échange du respect d’un cadre de pratiques de gestion, sont assurés d’un chiffre d’affaires. De plus, ceux-ci sont régulièrement audités et testés par des organismes externes.

Les initiatives prises récemment par l’ALFA (agence de lutte contre la fraude à l’assurance) permettent le partage d’informations entre les différents acteurs de l’assurance afin de détecter plus facilement la fraude de la part de professionnels.

Les systèmes de datamining, outils décisionnels permettant d’élaborer des scores de potentialité de fraude, dédiés, constituent une réponse très intéressante. Peu encore d’acteurs ont fait ce choix. Mais ceux qui ont tenté l’aventure n’ont eu aucune difficulté à rentabiliser leur projet… On parle de  plusieurs centaines de milliers d’euros). Malakoff Mederic a par exemple fait ce choix.

Mais l’avenir passera certainement par un SI de détection commun entre l’ensemble des acteurs de l’assurance, à condition, bien entendu, que chacun joue le jeu et mette à disposition ses données.

Une ombre persistante réside cependant dans la faiblesse du cadre légal français. Dans des tribunaux encombrés, les atteintes aux personnes prennent le pas sur les affaires financières. Certains acteurs peuvent être privilégiés : la CNAM par exemple dispose de son propre pôle santé publique au sein du Parquet. Face à cette situation, l’ALFA et les différents acteurs du marché ne ménagent pas leurs efforts pour faire aboutir leurs contentieux. Par défaut une prévention ingénieuse sera le premier et dernier rempart.

Retrouvez tous nos articles sur le secteur de l’assurance sur Insurance speaker, le blog assurance des consultants Solucom

Cet article Comment combattre la fraude à l’assurance ? est apparu en premier sur RiskInsight.