La fraude et la lutte contre la fraude, millésime 2015: la pratique

Andy Scherpenberg
Carousels à la TVA, collisions volontaires pour escroquer les assurances, technologie “man in the browser” qui interceptent vos transactions financières et modifient le montant et le numéro de compte tout en affichant les écrans transactionnels auxquels vous vous attendez… La fraude existe désormais sous une multitude de formes et dans quasiment tous les secteurs. Les fraudeurs affinent sans cesse leurs méthodes et disposent de moyens toujours plus diversifiés. En lisant un billet publié récemment, vous avez pu vous faire une idée de l’impressionnant arsenal de moyens dont disposent les fraudeurs.

Quelles mesures pouvons-nous prendre contre ce flot continu de tentatives de fraude, aussi sophistiquées que variées? Il s’agit bien entendu de recourir à une bonne protection physique et numérique et de sensibiliser les employés aux risques de cyber-criminalité, de “social engineering”, de corruption, de chantage et autres dangers. Ce qui est en jeu, en effet, ne se limite pas uniquement à des pertes fi-nancières mais concerne aussi – et dans des proportions croissantes – des vols d’informations confidentielles, de données client et de secrets industriels.
Cette prise de conscience doit d’ailleurs se faire en priorité au niveau de la direction. Bien souvent, elle n’a en effet qu’une vague idée des dangers qui la guettent. Souvent, l’attention que l’on porte à un problème s’estompe lorsqu’il semble devoir disparaître. En réalité, le prix à payer en matière de détection de la fraude est une vigilance et une diligence constantes. On constate par ailleurs que les employés eux-mêmes sont de plus en plus souvent impliqués dans des affaires de fraude. Toutefois, il est au moins tout aussi important que vous fassiez attention à toutes les formes possibles et imaginables de fraude et que vous soyez en mesure d’identifier rapidement des schémas suspects – simples ou composites – avant que la fraude ne soit réellement perpétrée. Il demeure plus facile de détecter et de prévenir la fraude que de tenter, a posteriori, d’attraper les fraudeurs et de récupérer les pertes encourues. La note sera par ailleurs moins lourde à payer et l’entreprise évitera toute atteinte à sa réputation sur le marché ou une perte de confiance de la part de sa clientèle.
Des frameworks à l’échelle de l’entreprise
Pour ce faire, vous avez besoin d’un canevas global, apte à détecter, analyser et corréler tous les niveaux possibles de comportements suspects. Cela commence par la collecte de toutes les informations pertinentes (transactions bancaires, données clients, scans de points d’accès, tentatives de connexion avortées, etc.) portant sur tous les canaux (bases de données, courriel, systèmes informatiques, données réseau…) afin de les inclure dans le processus d’analyse. Ensuite, le système doit être en mesure de filtrer les comportements suspects parmi l’ensemble des transactions observées — passées ou temps réel.
Le système doit également être capable d’auto-apprentissage de telle sorte à pou-voir opérer une meilleure distinction, à l’avenir, entre comportements réellement suspects et “faux positifs”. Vous éviterez ainsi de bloquer à tort des actions légiti-mes et, ce faisant, d’irriter des clients de bon aloi. Pour y parvenir, vous devez éla-borer un cadre qui soit non seulement apte à détecter les menaces actuelles mais qui puisse également faire face aux nouveaux dangers qui surgiront demain. Un exemple? L’industrialisation de la fraude. La numérisation extrême de notre société permet en effet aux criminels, une fois leur scénario défini, de procéder à des attaques frauduleuses sans l’intervention de qui que ce soit, de quoi déclencher une nouvelle déferlante.
Le Chief Risk Officer et ses armes
SAS a développé un tel cadre. Le SAS Fraud Framework inclut les éléments qui sont nécessaires à la structuration et à l’analyse des données, d’une part, et à la détecti-on et à l’investigation des cas possibles de fraude, d’autre part. En isolant les données, le cadre de sécurité peut offrir une solution pour les différents domaines et, dans le même temps, procurer une vue globale sur les risques qu’encourt l’ensemble de l’organisation. Une telle vision intégrale est particulièrement précieuse pour les Chief Risk Officers ou fonctions similaires. La présence croissante de ce ty-pe de fonction au sein des grands organismes est d’ailleurs, en elle-même, le signe qu’ils admettent la nécessité d’une meilleure protection.
Pour faire face aux dangers actuels et futurs, un tel cadre vous procure de meilleu-res armes qu’une solution ponctuelle classique.
La détection proprement dite est prise en charge par la méthode d’analyse hybride de SAS: un même événement ou une transaction spécifique est analysé(e) sous différents angles afin de se faire une meilleure idée de son degré d’anomalie. Des analyses statistiques permettent même de détecter un comportement frauduleux inconnu jusque là – pour lequel il n’existe dès lors aucune règle de détection spécifique. On peut alors y coupler des “réseaux sociaux”. A savoir, un relevé des personnes et organismes qui interagissent entre eux et la manière dont ils ou elles sont interconnecté(e)s. En effet, quelle que soit la dimension “cyber” du phénomè-ne, la fraude demeure le fait d’êtres humains et ces derniers agissent rarement seuls.
La compagnie allemande d’assurance Allianz confirme l’efficacité de la méthode statistique: “SAS a recours à des modèles analytiques afin de mettre au jour des cho-ses que le cerveau humain n’aurait jamais décelées. Nos inspecteurs peuvent dès lors se concentrer sur des activités pour lesquelles la probabilité de fraude ou de dommage financier majeur est la plus élevée.”
L ‘auteur Andy Scherpenberg est spécialiste fraude chez SAS.