Thèses du CESB Management /
MASTÈRE SPÉCIALISÉ® Senior Management Bancaire
Thèses du CESB Management /
MASTÈRE SPÉCIALISÉ® Senior Management Bancaire
L'avènement de la digitalisation a permis le développement d’organisations cybercriminelles structurées, opérant dans un marché devenu mondial et prospère. Comment traiter les cyberfraudes devenues plus complexes ? Peut-on développer de nouveaux services de protection à destination des clients ?
L’actualité regorge de cas où des établissements, privés ou publics, sont victimes d’attaques par ransomware. Les vols de données personnelles, quoique moins médiatisés, ne sont pas pour autant moins importants, comme en témoignent les listes de vols comportant parfois des centaines, voire des millions de données personnelles. Ces données personnelles, que les attaquants acquièrent aussi par le biais de campagnes de phishing, sont très souvent le premier maillon de la cyberfraude, terme regroupant les fraudes qui s’exécutent par un canal informatique.
Les banques sont, en tant que dépositaires des comptes clients, l’une des cibles premières des attaques informatiques. De multiples canaux numériques d’interaction avec la banque se sont progressivement développés : un portail Internet dans un premier temps, puis des applications mobiles, et enfin plus récemment des services pouvant être appelés par des fournisseurs tiers pour proposer de nouveaux produits, comme par exemple l’agrégation de plusieurs comptes bancaires. Ces différents canaux constituent autant d’interfaces transactionnelles, et de possibles points d’entrées pour les attaquants. Ces derniers, qui peuvent opérer depuis n’importe quel endroit dans le monde, multiplient les approches pour contourner les protections existantes, parfois en les combinant. Ils ciblent ainsi les clients, les salariés, les interfaces de connexion bancaires, les données bancaires utilisées dans des environnements tiers, comme lors des achats en ligne, ou encore les partenaires et fournisseurs des banques.
Dans ce contexte d’accroissement de la digitalisation et de l’exposition au risque, la lutte contre la cyberfraude est donc un enjeu essentiel : elle permet de limiter les pertes de revenus, mais aussi de conserver, voire renforcer la relation de confiance entre les clients et la banque.
L’évolution de la cyberfraude est concomitante à celle de la cybercriminalité. Portée par les évolutions technologiques, la cybercriminalité est devenue, en moins de trois décennies, une activité criminelle majeure organisée autour de spécialistes, et l’une des plus génératrices de revenus. Le ministère de l’intérieur britannique estimait en 2018 son coût pour le Royaume-Uni à 0,16% du PIB, et entre 375 et 575 milliards de dollars mondialement, en incluant les coûts d’anticipation et de réponse au cybercrime, ainsi que les pertes issues des attaques. L’importance du phénomène a été traduite dans l’enquête annuelle du World Economic Forum sur les risques globaux, en 2019 :
Figure 1 : aperçu de l’importance des risques technologiques liés à la cybersécurité dans les risques globaux 2019 (Forum Economique Mondial, 2019)
L’essor de la cybercriminalité tient en plusieurs de ses caractéristiques :
Par conséquent, le volume des attaques liées à la cybercriminalité augmente, tout comme leur impact financier. Et les cybercriminels bénéficient d’un certain sentiment d’impunité, malgré l’aboutissement médiatique de certaines investigations conduisant au démantèlement de grosses organisations. Une étude de Third Way a ainsi calculé que la probabilité aux Etats-Unis d’arrêter un cybercriminel est inférieure à 1% de l’ensemble des incidents rapportés auprès du gouvernement fédéral. Ce chiffre doit être comparé aux taux de résolution des crimes contre les biens, qui est de 18%, et de 46% pour les crimes avec violence.
L’ouverture progressive du système d’information, l’apparition de nouvelles interfaces transactionnelles et la digitalisation des processus a permis la multiplication des opportunités de fraude pour les cybercriminels, parmi lesquelles deux grandes familles se dégagent :
Le traitement de ces fraudes par les équipes internes se complexifie. En effet, compte tenu des évolutions technologiques et de la digitalisation des processus, les investigations menées par les équipes de lutte antifraude nécessitent une collaboration plus fréquente et plus poussée avec les équipes en charge de la cybersécurité.
Pour limiter l’occurrence de ces fraudes, les banques ont commencé par promulguer les bonnes pratiques à adopter face à ces menaces, et certaines sont allées jusqu’à proposer des outils de sécurité à leurs clients. Mais la fraude persiste, et le professionnalisme des attaquants nécessite de faire évoluer le dispositif de lutte contre la cyberfraude.
La gestion de la cyberfraude au sein des banques fait souvent intervenir deux structures distinctes : l’entité en charge de la gestion de la fraude, et les équipes de cybersécurité au sein de l’IT, qui joignent notamment leurs efforts lors de la phase d’investigation sur incident. Mais ce fonctionnement ne garantit pas qu’un incident pouvant être traité par une seule des deux équipes soit connu de l’autre et, ce faisant, ne permet pas d’assurer une bonne compréhension de la menace, afin d’en limiter au mieux les impacts.
Le modèle d’un Fusion Center permet de partager l’information entre ces parties prenantes très en amont : les évènements métiers redoutés sont ainsi déclinés en scénarios d’attaque informatiques, et des cas d’usage sont implémentés dans l’ensemble des outils de détection. Les alertes qui en résultent sont traitées par une plateforme de détection commune, sur laquelle des corrélations peuvent alors s’opérer. Ces dernières permettent alors d’identifier, sur la base de plusieurs signaux faibles, des incidents qui auraient pu rester indétectés.
Figure 2 : modèle opérationnel d'un Fusion Center (Forum des Compétences 2020)
La mise en œuvre d’un tel dispositif nécessite des transformations dans les organisations. Mais le changement peut s’opérer par étapes, s’initiant par une simple collaboration, pour aller ensuite vers une intégration partielle, fruit de la définition d’un cadre de travail commun.
Le modèle du Fusion Center permet de mieux s’adapter aux nouvelles techniques de fraude, qu’elles visent les nouveaux produits (ex. : paiement instantané), ou l’utilisation de nouvelles technologies (ex : intelligence artificielle, etc.). Ces technologies constitueront également de nouveaux outils pour les attaquants et alimenteront d’autres techniques de fraude (ex. : deep fake et fraude au président ou contournement des processus de reconnaissance client, etc.). Les techniques de lutte contre la cyberfraude devront donc évoluer à l’avenant, et continuer à s’enrichir d’algorithmes qui assureront une certaine proactivité dans la détection de ces événements complexes.
Outre l’amélioration du dispositif interne, des actions spécifiques ciblant les clients de la banque peuvent être mises en œuvre :
Le développement de ces services complémentaires non financiers peut se faire en capitalisant sur les expertises en cybersécurité et en lutte contre la fraude qui existent déjà au sein de la banque. Un modèle de commercialisation se basant sur l’économie de plateforme semble ici particulièrement adapté, mettant en relation les besoins des entreprises et des fournisseurs de services spécialisés.
Limiter les risques d’incident et s’assurer en cas de sinistre sont des démarches complémentaires mais essentielles pour se prémunir contre les risques majeurs. Les grands acteurs de la notation financière intègrent d’ailleurs d’ores et déjà le critère de cybersécurité dans leurs évaluations des entreprises. Connaître son exposition au risque cyber et en améliorer le résultat ne sera donc sans doute pas demain une attente des seules grandes entreprises, compte tenu de l’établissement par ces dernières de politiques internes qui définissent des seuils d’acceptabilité face à ces risques, et en appliquent les principes à leurs fournisseurs.
La lutte contre la cyberfraude au sein des banques et ses efforts concomitants en termes de cybersécurité sont donc aussi des axes de développement commerciaux, basés sur des savoir-faire internes, et de puissants acteurs du renforcement de la confiance numérique !