Parlons de la surveillance des fraudes : conformité à la directive DSP2 et plus encore

La fraude constitue une menace en constante évolution. Tous les outils de détection des fraudes disponibles sur le marché ne peuvent pas suivre le rythme des nouveaux systèmes qui ne cessent de voir le jour. D’où la nécessité de déployer la bonne solution de lutte contre la fraude. Toutefois, pour réussir, il faut tenir compte de nombreux facteurs.

Le respect de la réglementation jouera toujours un rôle important dans le choix des éléments indispensables à votre outil de détection des fraudes. De nos jours, la conformité à la Directive révisée sur les services de paiement (DSP2) et à ses normes techniques constitue l’un des principaux vecteurs de changement en Europe.

L’une des nouvelles règles apportées par la directive DSP2 est le suivi obligatoire des transactions. Tel que défini dans les normes techniques de réglementation (RTS) sur l'authentification forte du client (SCA) et la communication sécurisée et standardisée, le suivi des transactions deviendra obligatoire pour tous les fournisseurs de paiement. Afin de favoriser des parcours plus conviviaux, les RTS prévoient les cas où des transactions spécifiques peuvent être exemptées d'une SCA, à condition qu'un suivi approprié des transactions soit en place et que diverses conditions soient remplies.

Pour en savoir plus sur les exigences en matière de suivi des transactions et sur la façon dont les organisations peuvent bénéficier des exemptions énumérées dans les normes techniques, nous avons consulté Ralitsa Miteva, Directrice de solutions d'affaires chez OneSpan. En sa qualité d'experte en analyse des risques et détection de la fraude, Ralitsa nous parle également des fonctionnalités de surveillance de la fraude qui peuvent faire toute la différence dans la prévention de la fraude et l'instauration de la confiance.

Exigences et considérations en matière de surveillance de la fraude dans le cadre de la DSP2

Question : Commençons par les bases. Que désigne un « outil de lutte contre la fraude » ?

Ralitsa Miteva : Un outil de lutte contre la fraude est un système contrôlé par des analystes de la fraude conçu pour identifier et prévenir la fraude. Auparavant, ces outils avaient des fonctions plus simples, impliquaient plus de travail manuel et fonctionnaient en mode plutôt réactif. L'infrastructure technologique bancaire était cloisonnée, tout comme sa surveillance de la fraude.

Aujourd’hui, les nouveaux systèmes de détection de la fraude ont tendance à être plus complexes. Dans le même temps, ils restent flexibles et faciles à utiliser. Ils automatisent les processus et fonctionnent de manière proactive. Un système moderne de lutte contre la fraude est rarement un outil unique, mais plutôt une solution qui intègre nativement différentes technologies destinées à fonctionner ensemble.
 

Question : Les institutions financières (IF) disposent d’un large éventail d’outils. Cette situation stimule l’innovation chez les développeurs, mais le fait d'avoir un choix trop vaste peut aussi rendre la décision d’achat plus difficile. Que doivent rechercher les institutions financières ?

RM : Chez OneSpan, nous disposons d'une équipe d’experts possédant une expérience approfondie dans la détection des fraudes pour les secteurs de la banque et des paiements. Nous avons identifié un ensemble de caractéristiques essentielles qu’une solution de lutte contre la fraude devrait comporter afin de répondre aux dernières exigences du marché. De manière générale, elle doit tenir compte de la nouvelle génération d’utilisateurs finaux, des nouveaux types d’attaques plus complexes et de l'évolution des réglementations.

En ce qui concerne les caractéristiques particulières, il est important de mentionner que la solution doit permettre de se conformer à la directive DSP2 et aux exigences définies dans ses normes techniques. Toutes les règles ainsi que tous les rapports requis doivent être immédiatement disponibles. Toutefois, la solution doit non seulement répondre aux exigences de la directive DSP2, mais aussi aller au-delà du champ d’application de la réglementation. Enfin, si vous investissez aujourd’hui dans une nouvelle solution, celle-ci doit répondre à tous vos besoins actuels et aux spécificités de votre entreprise dans un avenir prévisible.
 

Question : Il semble que toutes les solutions de lutte contre la fraude offrent aujourd’hui un moteur de règles, mais seules certaines proposent également différentes variantes d’algorithmes d’apprentissage automatique. Pourquoi est-il si important de conjuguer les deux ?

RM : Jusqu’à présent, l’avantage procuré par un moteur de règles est incontestable en ce qui concerne l’application de politiques de sécurité, d’une logique métier ou d’un ensemble de conditions spécifiques. Il est capable de prendre en compte les mécanismes de fraude connus et relativement simples.

L’apprentissage automatique, d’autre part, représente l’avenir de l’analyse de la fraude. Il peut beaucoup mieux s’adapter et repérer les mécanismes de fraude extrêmement complexes ainsi que les nouveaux.

Je pense que la combinaison d’un moteur de règles avancé et d’algorithmes d’apprentissage automatique, adaptés à vos besoins, est essentielle pour prendre en compte les mécanismes de fraude connus, traiter les fraudes inconnues, gérer la complexité et traiter la logique métier.

Question : Qu’en est-il des autres caractéristiques ?

RM : La solution idéale devrait suivre une approche de la sécurité en ligne par couches et selon le contexte afin de détecter les attaques de fraude complexes, telles que celles résultant de l’infection par des logiciels malveillants, ce qui est désormais stipulé par les Normes techniques de régulation DSP2.

Cette approche va au-delà de l'analyse conduite par un moteur d’analyse décisionnelle avancé. Elle commence par la collecte de données du côté du client. Nous collectons des informations sur un seul utilisateur et ses actions tout au long de son parcours, sur tous les canaux et appareils, et sur une base historique. De cette façon, nous obtenons une vue complète de l’activité de l’utilisateur, de l’appareil et du compte.

L’ensemble de ces données doit être relié et surveillé du côté du serveur. Je ne pense pas que nous puissions parler d’une approche moderne de la prévention et de la détection des fraudes sans tenir compte de toutes ces couches.

La solution doit également pouvoir analyser les événements et y répondre en temps réel, pas seulement pour des raisons de conformité, dont je parlerai dans un instant. En effet, compte tenu des milliers de transactions et des attentes toujours plus nombreuses des clients en matière de rapidité des paiements, c’est tout simplement indispensable. Une bonne solution doit également être capable d’analyser le risque de tous les utilisateurs, actions et appareils sur tous les canaux numériques.

Enfin, il est essentiel de rationaliser les opérations de votre équipe de lutte contre la fraude pour réduire au minimum les retards et les erreurs dans l’enquête. Il faut, entre autres, disposer d’outils d’enquête et d’écrans offrant une vue d’ensemble complète sous plusieurs angles. La capacité à produire des rapports fiables est également indispensable. La directive DSP2 comporte désormais un éventail d’exigences en matière de déclaration des cas de fraude, ce qui signifie que l’outil doit être très souple pour fournir toutes les données détaillées requises par les autorités de régulation.
 

Question : Parlons conformité. La directive DSP2 est, depuis un certain temps, un sujet brûlant d'actualité, et les IF veulent savoir pourquoi un outil de détection des fraudes est essentiel à une architecture conforme à la directive DSP2. Commençons par quelques définitions. Qu’implique le suivi des transactions dans le cadre des Normes techniques de régulation DSP2 ?

RM : Selon l’article 2 des Normes techniques de régulation DSP2, le terme « suivi des transactions » désigne les mécanismes obligatoires qui permettent aux fournisseurs de services de paiement (PSP) de détecter et de prévenir les transactions de paiement non autorisées ou frauduleuses. Ceci, tout en appliquant une authentification forte du client, conformément à l’article 97 de la directive DSP2.

Ces mécanismes reposent sur l’analyse des transactions de paiement. Conformément aux exigences générales d’authentification, l’analyse doit prendre en compte plusieurs éléments fondés sur les risques, couvrant au moins :

• les contrôles par rapport aux listes comportant des éléments d’authentification compromis ou volés ;
• les contrôles par rapport aux scénarios de fraude connus ;
• la détection de l’infection du dispositif d’authentification par des logiciels malveillants ;
• les écarts dans le montant de la transaction ; et
• l'analyse du dispositif/logiciel, lorsqu’il est offert par le fournisseur de services de paiement.

Pour bon nombre de banques en Europe, le suivi des transactions n’est pas un processus nouveau. Cependant, le fait que des normes particulières aient été créées et rendues obligatoires a ébranlé de nombreuses IF. Elles ont commencé à se demander si les mesures qu'elles avaient mises en place étaient suffisantes pour assurer leur conformité. À mon avis, nous ne devons pas voir ces normes d'un mauvais œil, mais plutôt comme une amélioration qui protège les clients et les fournisseurs de services de paiement.
 

Question : Quelle est la différence entre le « suivi des transactions » et l’« analyse des risques de transaction » à la lumière des Normes techniques de régulation DSP2 ?

RM : Il est important de souligner « à la lumière des Normes techniques de régulation DSP2 », car pour beaucoup de personnes, ces deux termes sont des synonymes en dehors du cadre des Normes techniques de régulation DSP2.

Cependant, dans le cadre des Normes techniques de régulation DSP2, le terme « suivi des transactions » couvre le champ d’analyse évoqué plus haut et est légalement requis pour soutenir le processus d’authentification forte du client.

L’analyse des risques de transaction nécessite une évaluation plus détaillée des risques en temps réel. Cette analyse a un spectre plus large que la surveillance obligatoire des transactions, car elle comprend un certain nombre d’exigences fondées sur le risque, telles que des informations sur la localisation du payeur et du bénéficiaire. Elle vise au minimum à évaluer le risque des transactions dans le cas où une banque souhaiterait bénéficier d’exemptions autorisées uniquement en cas de faible taux de fraude.
 

Question : Qu’est-ce que l’authentification forte du client, et est-elle toujours obligatoire ?

RM : En résumé, l'authentification forte du client (SCA) est une procédure d’authentification qui utilise au moins deux des facteurs parmi les trois suivants : la connaissance (« ce que je sais »), la possession (« ce que je détiens ») et l’inhérence (« ce que je suis »). Ces facteurs doivent être indépendants les uns des autres. L'utilisateur doit être informé des détails de la transaction, et le processus d’authentification doit aboutir à un code unique lié à ces détails de la transaction.

Conformément à l’article 97 de la directive DSP2, les fournisseurs de services de paiement doivent appliquer la SCA lorsque les clients accèdent à leurs comptes de paiement en ligne, qu’ils souhaitent effectuer une transaction monétaire ou d’autres types d’opérations, comme l’ajout d’un bénéficiaire de confiance. La SCA sera également obligatoire pour toutes les actions effectuées par un canal à distance susceptible de comporter un risque de fraude, comme l’accès à un compte bancaire via un appareil mobile. Les fournisseurs de services de paiement peuvent, dans certains cas, être exemptés de l’application de la SCA.
 

Question : Quelles sont les exemptions possibles de l’application de la SCA ?

RM : Les Normes techniques de régulation DSP2 prévoient une série de cas qui, sous certaines conditions, ne nécessiteront pas l’application de la SCA. En général, il s’agit de deux types d’exemptions : les exemptions fixes et celles qui sont basées sur l’analyse des risques de transaction.

Les exemptions fixes comprennent, entre autres, certains cas de transactions de faible valeur, la consultation des informations sur les comptes, les transactions sur ses propres comptes ou à des bénéficiaires de confiance, et les paiements récurrents (comme les abonnements).

Il existe également un ensemble de conditions basées sur le risque, lesquelles permettent des exemptions en fonction du niveau de risque et des faibles taux de fraude.

Nous avons abordé les exemptions en détail dans notre récent livre blanc intitulé Enabling PSD2-Compliant Fraud Monitoring with OneSpan Risk Analytics (Mise en place d'une surveillance de la fraude conforme à la directive DSP2 au sein de OneSpan Risk Analytics).

Question : Pourquoi est-il important de disposer d’un outil adéquat de détection des fraudes lors de la mise en œuvre d'une SCA dans le parcours utilisateur ?

RM : Une solution appropriée de lutte contre la fraude proposera un ensemble prêt à l'emploi de règles et de rapports. Elle répondra aux exigences obligatoires en matière de suivi des transactions, et vous aidera à évaluer et à conserver l’éligibilité aux exemptions de la SCA. Toutefois, elle doit aller également au-delà de la simple conformité, en augmentant la confiance et la flexibilité de vos parcours utilisateur.
 

Question : La conformité est en effet un facteur clé pour déterminer l’ensemble des caractéristiques des outils de détection des fraudes, mais ce n’est pas tout. Vous avez déjà mentionné certaines caractéristiques qui garantiront qu’une organisation non seulement se conforme à la réglementation, mais qu’elle dispose également d’une protection adéquate contre les mécanismes de fraude les plus courants. Quelles sont les autres caractéristiques qu'on peut attendre d’un outil de lutte contre la fraude ?

RM : Je pense que nombre de solutions de lutte contre la fraude sous-estiment l’importance et les spécificités du canal mobile. De nombreux fournisseurs surveillent ce canal, mais dans certains cas, ils ne peuvent pas exploiter tout le spectre de données disponibles. Certains peuvent ne pas mettre à disposition un canal sécurisé pour assurer l’intégrité des points de données lors de leur transfert depuis le côté client.

Avec l’essor des services bancaires mobiles, nous devons être en mesure de mieux répondre aux défis de ce canal. Les attaques propres aux mobiles sont de plus en plus complexes et ne peuvent être détectées facilement sans une solution avancée. Par exemple, que se passerait-il si vous analysiez les données collectées à partir de l’appareil mobile, mais que ces données avaient déjà été compromises avant leur transfert vers le côté serveur ?

Une solution efficace contre la fraude doit également s’intégrer dans le processus d'authentification adaptative. Elle doit être capable de répondre immédiatement à l’évolution des menaces afin d’offrir un parcours client harmonieux et sécurisé. N’oubliez pas qu’une bonne expérience utilisateur fait partie des principaux facteurs de différenciation des IF. Il est indispensable que tous les canaux numériques offrent un parcours utilisateur harmonieux et sécurisé. Les utilisateurs ne devraient connaître des frictions que si leurs actions ont été évaluées comme comportant un risque supérieur au niveau acceptable. Une solution moderne, intégrée à une authentification adaptative, déterminera le niveau de risque et déclenchera la méthode d’authentification la plus appropriée parmi celles disponibles.
 

Question : L’offre de OneSpan comprend Risk Analytics, une solution de lutte contre la fraude. Cette solution a-t-elle les caractéristiques requises pour répondre aux besoins d’un analyste de la fraude et d’un responsable de la conformité ?

RM : J’ai l’intime conviction qu’il s’agit d’une solution qui répondra aux attentes. Elle comprend toutes les fonctionnalités dont nous avons parlé, y compris un progiciel DSP2 préconfiguré, et plus encore. Tout cela fait de OneSpan Risk Analytics un outil indispensable pour rationaliser les opérations quotidiennes. Il s’intègre aux systèmes existants ainsi qu’à une variété d’applications tierces. Il ajoute un niveau de confiance important au parcours utilisateur et devient l’un des piliers d’une grande expérience utilisateur.
 

Question : Merci, Ralitsa. Où les lecteurs peuvent-ils obtenir plus de détails sur les sujets abordés dans notre conversation ?

RM : Toute personne intéressée par les caractéristiques d’un outil de lutte contre la fraude est invitée à consulter notre livre blanc : Guide de l’acheteur pour l’évaluation des outils de détection des fraudes.

Nous avons également un nouveau livre blanc qui aborde les sujets relatifs aux exigences de surveillance des transactions dans les normes techniques DSP2, y compris les exemptions mentionnées plus haut : Enabling PSD2-Compliant Fraud Monitoring with OneSpan Risk Analytics (Mise en place d'une surveillance de la fraude conforme à la directive DSP2 au sein de OneSpan Risk Analytics).

J’aimerais également inviter nos lecteurs à regarder notre webinaire enregistré.