Les grandes tendances qui révolutionnent la réduction de la fraude : 2020 et au-delà

Jeannine Mulliner, juillet 19, 2019

Nous animons régulièrement des webinaires sur des sujets tels que la prévention de la fraude, les bonnes pratiques en matière de sécurité et les innovations technologiques, afin d'offrir nos conseils sur la manière de lutter contre la fraude informatique. Si vous avez manqué notre dernier webinaire intitulé Les grandes tendances qui révolutionnent la réduction de la fraude : 2020 et au-delà et animé par Julie Conroy, directrice des recherches sur les pratiques de fraude et de blanchiment des fonds au sein d'Aite Group, en voici un résumé de 5 minutes. L'intégralité de la présentation est disponible à la demande.

Les institutions financières sont constamment attaquées par des réseaux criminels organisés. La fraude sur les canaux numériques évolue rapidement, est automatisée et perpétrée à l'aide d'outils technologiques de pointe, conçus pour contourner les contrôles anti-fraude traditionnels. Il n'a jamais été aussi important pour les équipes en charge de lutter contre la fraude de se tenir à jour et d'échanger des informations avec leurs pairs.

Afin de les aider à comprendre dans quelle direction faire évoluer les mesures de protection de leur entreprise et répondre aux défis que représente la fraude, Julie Conroy, directrice des recherches au sein du groupe Aite, se joint à OneSpan pour vous présenter sept grandes tendances qu'il vous faut connaître :

  • Les fuites de données continuent à alimenter de nombreux vecteurs d'attaque
  • Les canaux mobiles/en ligne restent des cibles privilégiées
  • La régulation crée de nouveaux vecteurs de risque
  • Les attaques sur les e-mails professionnels restent toujours aussi intenses
  • L'utilisation par les banques de la détection et de l'authentification basées dans le cloud augmente
  • Le hub anti-fraude/d'authentification gagne en importance
  • Les institutions financières exploitent des données et mettent en œuvre des analyses avancées 

Ces tendances dictent les stratégies de détection de la fraude et d'authentification pour les institutions financières du monde entier, et influenceront les investissements technologiques pour les 12 mois à venir. 

Dans cet article, nous nous intéressons à trois de ces tendances. Nous vous invitons à regarder l'intégralité de la présentation à la demande pour en savoir plus sur le reste des tendances.   

Tendance en matière de sécurité n° 1 : Les fuites de données continuent à alimenter de nombreux vecteurs d'attaque

Depuis 2013, 14,7 milliards de registres de données ont été compromis. La simple présence de violations à grande échelle, telles que dans le cas d'Equifax (143 000 000 registres), Marriott Hotels (383 000 000 registres), Twitter (330 000 000 registres) et Yahoo (500 000 000 registres), prouve que les institutions financières doivent se protéger en gardant à l'esprit que les acteurs malicieux possèdent déjà les données de leurs clients.

« Les données volées incluent des informations à caractère personnel, des identifiants de connexion et, dans le cas de l'attaque contre Facebook, des informations sur l'appartenance politique ou religieuse, ainsi que l'historique de recherche récent. Cela s'avère très utile sachant que les réseaux criminels planifient des attaques d'ingénierie », explique Julie Conroy.

Une fois les données subtilisées, elles sont vendues sur le Dark Web. Dès lors, elles sont rapidement monétisées à l'aide d'outils, comme Sentry MBA, qui automatisent les attaques de « credential stuffing », se soldant ainsi par le piratage de comptes.

Les attaques de credential stuffing représentent l'une des plus grandes difficultés auxquelles font face les institutions financières et les commerçants en ligne. Ces types d'attaques sont de plus en plus graves, car les outils complexes permettent de tester facilement et rapidement des identifiants de connexion sur des centaines voire milliers de domaines en ligne pour trouver où ils fonctionneront. Il s'agit d'une technique très efficace, car de nombreux consommateurs utilisent les mêmes identifiants sur différents sites Web. Les cybercriminels tirent profit de cette mauvaise stratégie en matière de mots de passe.

D'après Julie Conroy, les outils de credential stuffing sont devenus si avancés qu'ils peuvent réduire la vitesse à laquelle les identifiants sont saisis dans une application afin de mieux se faire passer pour un consommateur qui saisirait ses propres données. Ces outils permettent également de propager l'attaque sur différentes adresses IP et proxies afin de contourner les contrôles qui pourraient détecter une série de demandes de nom d'utilisateur/mot de passe réalisée à partir d'une adresse IP unique. Certains possèdent même une fonctionnalité de reconnaissance optique de caractères (OCR) pour tromper les tests CAPTCHA. Tout cela souligne l'ingéniosité avec laquelle les réseaux criminels organisés exploitent les technologies pour s'en prendre aux systèmes bancaires et financiers. De plus, cela démontre une nouvelle fois combien il est primordial pour les institutions financières d'adopter rapidement les dernières technologies afin de lutter contre ces attaques.

Tendance en matière de sécurité n° 2 : L'utilisation par les banques de la détection et de l'authentification basées dans le cloud augmente

Les menaces gagnent en complexité, rapidité et automatisation, mais tout n'est pas perdu. De nombreuses technologies sont disponibles pour vous aider à lutter contre les cyberattaques, et cela se passe de plus en plus dans le cloud. En 2019, une étude réalisée par Aite auprès de 40 cadres financiers du monde entier au sujet de l'évolution de leurs plateformes de détection des fraudes a révélé, à la grande surprise de Julie Conroy, que le cloud gagnait en importance.

« Habituellement, le cloud n'était pas privilégié par rapport à d'autres instances de la banque pour lutter contre les crimes financiers (fraude et blanchiment de fonds), simplement parce qu'un grand nombre d'informations à caractère personnel sont en jeu. De nombreuses institutions se sont montrées réticentes à envoyer ces informations dans le cloud public. Toutefois, si l'on interroge les cadres du secteur, on découvre que 70 % des déploiements se font sur site, mais que 30 % ont désormais lieu sur un type de cloud (privé ou public) ou un cloud hybride. Je pense que cette tendance en faveur du cloud va se poursuivre », déclare Julie Conroy. 

Les grandes tendances qui révolutionnent la réduction de la fraude
Source : « Les grandes tendances qui révolutionnent la réduction de la fraude »

Parmi les avantages des déploiements dans le cloud, citons :

  • Les mises à niveau automatiques : La fraude évoluant rapidement, les banques et commerçants ne peuvent pas se permettre d'avoir deux ou trois versions de retard pour ce qui est des fonctionnalités offertes par le prestataire, car ils attendent toujours d'avoir les ressources nécessaires pour les mettre à niveau. Le cloud est avantageux dans le sens où il permet à l'entreprise de mettre son système à jour dès que le prestataire déploie une nouvelle version.
  • L'adaptabilité : Les institutions financières peuvent profiter de l'évolutivité à la demande d'Amazon et de Microsoft pour les périodes de pic. Au lieu d'acheter et de déployer du matériel supplémentaire, il suffit à une entreprise de fournir des ressources supplémentaires grâce à son fournisseur cloud. Cette flexibilité permet aux entreprises d'adapter leur capacité en fonction de la demande.
  • La rentabilité : Les ressources cloud offrent une flexibilité maximale. Les entreprises n'ont pas besoin de réaliser d'importantes dépenses d'investissement (capex). Elles peuvent prendre en compte des dépenses d'exploitation prévisibles (opex) et utiliser les ressources dont elles ont besoin lorsqu'elles en ont besoin.

Lorsqu'il s'agit du cloud, les cadres du secteur émettent toujours certaines réserves quant à la sécurité des données et la personnalisation (par exemple, le cloud est-il capable de prendre en charge le même niveau de personnalisation qu'offre un hébergement sur site ?). Les avantages commencent tout de même à faire pencher la balance en sa faveur, surtout que certaines institutions financières admettent que la sécurité offerte par une grande partie des solutions de cloud public est en fait supérieure à ce qui peut être fait sur site.

Webinaire

Les grandes tendances qui révolutionnent la réduction de la fraude : 2020 et au-delà

Dans ce webinaire de 60 minutes, les experts en fraude de OneSpan et du Groupe Aite examinent les principales tendances qui animent l'avenir de l'atténuation de la fraude en 2020 et au-delà et les meilleures pratiques en matière de sécurité sur la façon d'atténuer la fraude.

Regarder maintenant

Tendance en matière de sécurité n° 3 : Le hub anti-fraude/d'authentification gagne en importance

Au troisième trimestre de l'année 2018, Aite a interrogé des cadres du secteur financier afin de connaître leurs projets de mise en œuvre d'une plateforme de lutte contre la fraude et d'authentification au cours des deux années à venir.

  • Pas moins de 18 % d'entre eux ont répondu l'avoir déjà fait ou que le projet était en cours.
  • 52 % ont déclaré qu'il y avait de grandes chances qu'ils le fassent, et 15 % que cela était probable.

Les plateformes dédiées à la lutte contre la fraude et à l'authentification permettent de régler plusieurs problèmes à la fois ; il n'est donc pas surprenant qu'Aite ait recueilli tant de réponses positives.

Comme Julie Conroy l'explique : « Avec un hub, vous disposez d'une API pour un prestataire. Ce prestataire est en relation avec plusieurs prestataires du secteur de la détection des fraudes et de l'authentification. À mesure que vous construisez votre solution à plusieurs niveaux, vous pouvez répondre efficacement à vos besoins en matière de détection et d'authentification du client ».

« Vous pouvez posséder un appel d'API qui vous permet d'obtenir toutes les couches de solutions dont vous avez besoin. Vous pouvez accéder à vos fournisseurs de prise d'empreinte digitale des appareils. Vous pouvez accéder à vos fonctionnalités de biométrie comportementale. Vous pouvez accéder à vos mots de passe à usage unique. Vous pouvez y trouver votre moteur d'analyse des risques. »

De nombreuses plateformes de lutte contre la fraude et d'authentification regroupent ces différents apports au sein d'un moteur d'analyse des risques qui permet de rassembler les alertes dans un score unifié. Les équipes anti-fraude n'auront plus besoin de gérer individuellement cinq prestataires différents ainsi que leurs alertes séparées.

En outre, dans certains cas, les fournisseurs du hub entretiennent des relations contractuelles et il ne s'agit alors pas uniquement d'un appel d'API. Il peut s'agir d'un seul contrat. Cette solution peut éviter aux banques de perdre un temps précieux et des ressources indispensables à intégrer un nouveau prestataire via un processus de gestion des risques fastidieux.

« C'est la raison pour laquelle ce concept suscite un tel intérêt, parce qu'il permet réellement de gérer les difficultés qui viennent empêcher de nombreuses banques et commerçants de gagner en souplesse face à des attaques en constante évolution. Il vous permet également de basculer plus rapidement entre différents mécanismes d'authentification, car vous n'aurez pas forcément besoin d'intégrer un nouveau prestataire si vous souhaitez passer des questions KBA aux mots de passe à usage unique. Il vous suffit de régler certains paramètres au sein de votre plateforme d'authentification », explique Julie Conroy.

La course aux solutions de cybersécurité continue

À l'échelle mondiale, les attaques de fraude continuent de se multiplier et d'évoluer à vitesse grand V. Les réseaux criminels organisés se servent efficacement de l'automatisation et des nouvelles technologies qu'ils associent à d'importantes quantités de données directement disponibles sur le Dark Web. On observe alors un essor du piratage de compte, des paiements à distance, de la fraude de nouveau compte et des demandes frauduleuses, qui à leur tour entraînent une augmentation des pertes enregistrées par les banques, commerçants et entreprises de technologies financières.

En parallèle, les attentes des régulateurs et consommateurs ne cessent d'augmenter, et entrent en conflit. Alors que les consommateurs demandent des expériences client fluides, les régulateurs du monde entier fixent de nouvelles exigences. Si ces dernières ne sont pas correctement mises en œuvre, elles peuvent faire apparaître des frictions inutiles au sein du processus bancaire numérique. Les banques et commerçants se retrouvent alors à devoir jouer un exercice d'équilibriste compliqué.

La bonne nouvelle, c'est que les technologies avancées, telles que l'apprentissage automatique, les plateformes d'orchestration et l'analyse de l'identité numérique, représentent autant d'opportunités pour les acteurs bien intentionnés de ne pas se laisser déborder par les criminels, voire de prendre une longueur d'avance.

Découvrez les autres grandes tendances qui révolutionnent la lutte anti-fraude 

Même si cet article ne couvre que trois des principales tendances qui dictent le futur de la réduction des fraudes, il vous faut comprendre quel impact le reste de ces tendances auront sur les institutions financières. Pour obtenir le rapport complet, écoutez ce webinaire de 60 minutes animé par des spécialistes de la fraude de OneSpan et d'Aite Group. Ces derniers évaluent chaque tendance en détail et se demandent quelles bonnes pratiques en matière de sécurité peuvent permettre de réduire la fraude en 2020 et dans les années à venir.

Regarder le webinaire

Depuis 20 ans, Jeannine écrit sur la technologie et comment l'appliquer pour résoudre les défis quotidiens. Dans son rôle de directrice de contenu chez OneSpan, Jeannine dirige une équipe de rédacteurs et de développeurs de contenu visant à aider les institutions financières et autres organisations à tirer parti des solutions de sécurité et de signature électronique. Jeannine détient un baccalauréat en rédaction professionnelle de l'Université de Sherbrooke.