Lutte contre la cyberfraude : Adapter la stratégie anti-fraude à la digitalisation de la relation client
L'avènement de la digitalisation a permis le développement d’organisations cybercriminelles structurées, opérant dans un marché devenu mondial et prospère. Comment traiter les cyberfraudes devenues plus complexes ? Peut-on développer de nouveaux services de protection à destination des clients ?
L’actualité regorge de cas où des établissements, privés ou publics, sont victimes d’attaques par ransomware. Les vols de données personnelles, quoique moins médiatisés, ne sont pas pour autant moins importants, comme en témoignent les listes de vols comportant parfois des centaines, voire des millions de données personnelles. Ces données personnelles, que les attaquants acquièrent aussi par le biais de campagnes de phishing, sont très souvent le premier maillon de la cyberfraude, terme regroupant les fraudes qui s’exécutent par un canal informatique.
Les banques sont, en tant que dépositaires des comptes clients, l’une des cibles premières des attaques informatiques. De multiples canaux numériques d’interaction avec la banque se sont progressivement développés : un portail Internet dans un premier temps, puis des applications mobiles, et enfin plus récemment des services pouvant être appelés par des fournisseurs tiers pour proposer de nouveaux produits, comme par exemple l’agrégation de plusieurs comptes bancaires.
Ces différents canaux constituent autant d’interfaces transactionnelles, et de possibles points d’entrées pour les attaquants. Ces derniers, qui peuvent opérer depuis n’importe quel endroit dans le monde, multiplient les approches pour contourner les protections existantes, parfois en les combinant. Ils ciblent ainsi les clients, les salariés, les interfaces de connexion bancaires, les données bancaires utilisées dans des environnements tiers, comme lors des achats en ligne, ou encore les partenaires et fournisseurs des banques.
Dans ce contexte d’accroissement de la digitalisation et de l’exposition au risque, la lutte contre la cyberfraude est donc un enjeu essentiel : elle permet de limiter les pertes de revenus, mais aussi de conserver, voire renforcer la relation de confiance entre les clients et la banque.
Le contexte global de la cybercriminalité
L’évolution de la cyberfraude est concomitante à celle de la cybercriminalité. Portée par les évolutions technologiques, la cybercriminalité est devenue, en moins de trois décennies, une activité criminelle majeure organisée autour de spécialistes, et l’une des plus génératrices de revenus. Le ministère de l’intérieur britannique estimait en 2018 son coût pour le Royaume-Uni à 0,16% du PIB, et entre 375 et 575 milliards de dollars mondialement, en incluant les coûts d’anticipation et de réponse au cybercrime, ainsi que les pertes issues des attaques. L’importance du phénomène a été traduite dans l’enquête annuelle du World Economic Forum sur les risques globaux, en 2019 :
Figure 1 : aperçu de l’importance des risques technologiques liés à la cybersécurité dans les risques globaux 2019 (Forum Economique Mondial, 2019)
L’essor de la cybercriminalité tient en plusieurs de ses caractéristiques :
- Les barrières à l’entrée sont relativement faibles. Il n’est ici aucunement besoin de disposer d’une logistique importante, car les outils et les services nécessaires aux attaquants peuvent être achetés sur le dark web, voire loués pour une période donnée. Ainsi, les attaquants peuvent s’affranchir des étapes les plus complexes nécessitant des compétences avancées, notamment celles qui consistent à créer les armes logiques nécessaires aux attaques ;
- L’effet de levier est important. Les outils utilisés permettent de lancer des attaques sur un périmètre par essence mondial, touchant un nombre conséquent de victimes potentielles, là où une attaque ou une fraude dans le monde physique ne peut toucher qu’une cible à la fois ;
- La monétisation du butin résultant de l’attaque est difficile à tracer. Dans le monde physique, une fraude ou un vol nécessite de manipuler une certaine quantité d’argent liquide ou des biens plus ou moins volumineux, entrainant un certain besoin de logistique (transport et stockage des biens, etc.). Si les attaques cyber peuvent également se traduire par l’achat de biens sur Internet, la fraude se caractérisera souvent par la manipulation et le transfert direct d’argent, ou l’encaissement de cryptomonnaies comme le bitcoin ;
- La collaboration judiciaire internationale est encore très imparfaite. Les attaques des cybercriminels n’étant pas limitées au principe de territorialité, la mise en œuvre des actions de police nécessite une bonne coopération internationale. La Convention de Budapest n’est appliquée que par un nombre restreint de pays au-delà de l’Europe, et la coopération internationale est, au-delà des frontières européennes, très limitée faute d’un code pénal international traitant de la lutte contre la cybercriminalité. L’aboutissement des démarches judiciaires à l’encontre des cybercriminels nécessite aussi des moyens importants, compte tenu de leur complexité technique et administrative. Or les écarts dans les moyens alloués à cette lutte sont importants entre les pays européens, et lorsqu’ils existent, les moyens d’investigation restent somme toute limités.
Par conséquent, le volume des attaques liées à la cybercriminalité augmente, tout comme leur impact financier. Et les cybercriminels bénéficient d’un certain sentiment d’impunité, malgré l’aboutissement médiatique de certaines investigations conduisant au démantèlement de grosses organisations. Une étude de Third Way a ainsi calculé que la probabilité aux Etats-Unis d’arrêter un cybercriminel est inférieure à 1% de l’ensemble des incidents rapportés auprès du gouvernement fédéral. Ce chiffre doit être comparé aux taux de résolution des crimes contre les biens, qui est de 18%, et de 46% pour les crimes avec violence.
La fraude dans l’environnement bancaire
L’ouverture progressive du système d’information, l’apparition de nouvelles interfaces transactionnelles et la digitalisation des processus a permis la multiplication des opportunités de fraude pour les cybercriminels, parmi lesquelles deux grandes familles se dégagent :
- Les fraudes ciblant les clients des banques et leurs moyens de paiement ou leur espace de banque en ligne. Ce sont les fraudes les plus courantes, amplifiées par le volume de données clients dérobées et vendues sur le dark web ;
- Les fraudes ciblant directement les banques, et plus spécifiquement les systèmes de transfert d’argent. Ces fraudes sont complexes et donc plus rares. Elles sont le fruit d’intrusions effectuées par des cybercriminels aguerris aux spécificités bancaires (distributeurs de billets, messagerie bancaire, etc.), et leur montant peut être conséquent.
Le traitement de ces fraudes par les équipes internes se complexifie. En effet, compte tenu des évolutions technologiques et de la digitalisation des processus, les investigations menées par les équipes de lutte antifraude nécessitent une collaboration plus fréquente et plus poussée avec les équipes en charge de la cybersécurité.
Pour limiter l’occurrence de ces fraudes, les banques ont commencé par promulguer les bonnes pratiques à adopter face à ces menaces, et certaines sont allées jusqu’à proposer des outils de sécurité à leurs clients. Mais la fraude persiste, et le professionnalisme des attaquants nécessite de faire évoluer le dispositif de lutte contre la cyberfraude.
La nécessaire évolution du dispositif interne
La gestion de la cyberfraude au sein des banques fait souvent intervenir deux structures distinctes : l’entité en charge de la gestion de la fraude, et les équipes de cybersécurité au sein de l’IT, qui joignent notamment leurs efforts lors de la phase d’investigation sur incident. Mais ce fonctionnement ne garantit pas qu’un incident pouvant être traité par une seule des deux équipes soit connu de l’autre et, ce faisant, ne permet pas d’assurer une bonne compréhension de la menace, afin d’en limiter au mieux les impacts.
Le modèle d’un Fusion Center permet de partager l’information entre ces parties prenantes très en amont : les évènements métiers redoutés sont ainsi déclinés en scénarios d’attaque informatiques, et des cas d’usage sont implémentés dans l’ensemble des outils de détection. Les alertes qui en résultent sont traitées par une plateforme de détection commune, sur laquelle des corrélations peuvent alors s’opérer. Ces dernières permettent alors d’identifier, sur la base de plusieurs signaux faibles, des incidents qui auraient pu rester indétectés.
Figure 2 : modèle opérationnel d'un Fusion Center (Forum des Compétences 2020)
La mise en œuvre d’un tel dispositif nécessite des transformations dans les organisations. Mais le changement peut s’opérer par étapes, s’initiant par une simple collaboration, pour aller ensuite vers une intégration partielle, fruit de la définition d’un cadre de travail commun.
Le modèle du Fusion Center permet de mieux s’adapter aux nouvelles techniques de fraude, qu’elles visent les nouveaux produits (ex. : paiement instantané), ou l’utilisation de nouvelles technologies (ex : intelligence artificielle, etc.). Ces technologies constitueront également de nouveaux outils pour les attaquants et alimenteront d’autres techniques de fraude (ex. : deep fake et fraude au président ou contournement des processus de reconnaissance client, etc.). Les techniques de lutte contre la cyberfraude devront donc évoluer à l’avenant, et continuer à s’enrichir d’algorithmes qui assureront une certaine proactivité dans la détection de ces événements complexes.
L’opportunité de créer de nouveaux services
Outre l’amélioration du dispositif interne, des actions spécifiques ciblant les clients de la banque peuvent être mises en œuvre :
- La vente de produits d’assurance cyber, encore peu répandus, qui permettent au client de transférer leur risque ;
- La création de services complémentaires visant à prévenir les risques et renforcer le niveau de protection du client, afin de réduire les impacts lors de la survenue d’un incident.
Le développement de ces services complémentaires non financiers peut se faire en capitalisant sur les expertises en cybersécurité et en lutte contre la fraude qui existent déjà au sein de la banque. Un modèle de commercialisation se basant sur l’économie de plateforme semble ici particulièrement adapté, mettant en relation les besoins des entreprises et des fournisseurs de services spécialisés.
Des relais de croissance, et un renforcement de la confiance numérique
Limiter les risques d’incident et s’assurer en cas de sinistre sont des démarches complémentaires mais essentielles pour se prémunir contre les risques majeurs. Les grands acteurs de la notation financière intègrent d’ailleurs d’ores et déjà le critère de cybersécurité dans leurs évaluations des entreprises. Connaître son exposition au risque cyber et en améliorer le résultat ne sera donc sans doute pas demain une attente des seules grandes entreprises, compte tenu de l’établissement par ces dernières de politiques internes qui définissent des seuils d’acceptabilité face à ces risques, et en appliquent les principes à leurs fournisseurs.
La lutte contre la cyberfraude au sein des banques et ses efforts concomitants en termes de cybersécurité sont donc aussi des axes de développement commerciaux, basés sur des savoir-faire internes, et de puissants acteurs du renforcement de la confiance numérique !
Jean-Michel Larbot, Mastère Spécialisé Sénior Management Bancaire, Promotion 2020/2021, Ecole supérieure de la banque, ESSEC Business School |