À l'approche du pic d'achats des fêtes de fin d'année, en ligne et en boutique, les stratégies de lutte contre la fraude reviennent au centre des préoccupations dans les entreprises concernées, qu'il s'agisse d'en améliorer l'efficacité, par exemple chez eBay ou BBVA, ou de se mettre à niveau, comme chez Revolut, en pleine crise de croissance.
Bien que quelques-unes, telles que Monzo, tirent leur épingle du jeu, la plupart des néo-banques ont tendance à privilégier leur développement par rapport à la mise en place de procédures robustes de protection contre le blanchiment et autres malversations (au prix d'un impact parfois sensible sur leurs résultats). Mais quand le régulateur intervient, elle n'ont d'autre choix que de réagir, ce qui a conduit Revolut à mettre en place deux outils dédiés à ces problématiques. Ceux-ci semblent toutefois plutôt classiques.
À l'autre bout du spectre de la sophistication, on trouve quelques acteurs qui consacrent des ressources non négligeables à renforcer leurs capacités de sécurisation, afin de mieux répondre aux enjeux contradictoires auxquels il font face. En effet, il leur faut sans cesse progresser, dans leurs pratiques et leur arsenal, afin de maintenir les niveaux de fraude au plus bas, dans un contexte de professionnalisation de la cybercriminalité, tout en limitant au maximum les impacts négatifs pour leurs utilisateurs.
Concrètement, une des principales plaies des moyens de défense communément adoptés dans les plates-formes de paiement est le « faux positif », à savoir le signalement – et le blocage – d'une transaction qui, en réalité, est valide. Ces cas, qui, selon certaines sources, représenteraient jusqu'à 80% des détections d'anomalies des systèmes existants, induisant évidemment une insatisfaction majeure de la part des consommateurs et la perte de chiffres d'affaires pour les commerçants et les banques.
Heureusement, les technologies émergentes d'analyse des données, d'apprentissage automatique et, prochainement, d'intelligence artificielle permettent d'envisager des améliorations significatives, simultanément sur les fronts de la détection des attaques et de l'expérience client. Les démarches actuelles, généralement expérimentales (voire même du domaine de la recherche académique), abordent la problématique par des angles très différents, comme l'illustrent justement celles d'eBay et de BBVA.
Bien que quelques-unes, telles que Monzo, tirent leur épingle du jeu, la plupart des néo-banques ont tendance à privilégier leur développement par rapport à la mise en place de procédures robustes de protection contre le blanchiment et autres malversations (au prix d'un impact parfois sensible sur leurs résultats). Mais quand le régulateur intervient, elle n'ont d'autre choix que de réagir, ce qui a conduit Revolut à mettre en place deux outils dédiés à ces problématiques. Ceux-ci semblent toutefois plutôt classiques.
À l'autre bout du spectre de la sophistication, on trouve quelques acteurs qui consacrent des ressources non négligeables à renforcer leurs capacités de sécurisation, afin de mieux répondre aux enjeux contradictoires auxquels il font face. En effet, il leur faut sans cesse progresser, dans leurs pratiques et leur arsenal, afin de maintenir les niveaux de fraude au plus bas, dans un contexte de professionnalisation de la cybercriminalité, tout en limitant au maximum les impacts négatifs pour leurs utilisateurs.
Concrètement, une des principales plaies des moyens de défense communément adoptés dans les plates-formes de paiement est le « faux positif », à savoir le signalement – et le blocage – d'une transaction qui, en réalité, est valide. Ces cas, qui, selon certaines sources, représenteraient jusqu'à 80% des détections d'anomalies des systèmes existants, induisant évidemment une insatisfaction majeure de la part des consommateurs et la perte de chiffres d'affaires pour les commerçants et les banques.
Heureusement, les technologies émergentes d'analyse des données, d'apprentissage automatique et, prochainement, d'intelligence artificielle permettent d'envisager des améliorations significatives, simultanément sur les fronts de la détection des attaques et de l'expérience client. Les démarches actuelles, généralement expérimentales (voire même du domaine de la recherche académique), abordent la problématique par des angles très différents, comme l'illustrent justement celles d'eBay et de BBVA.
Pour cette dernière, qui collabore sur le sujet avec le MIT, l'idée est de rendre les algorithmes de filtrage des opérations plus précis et plus efficaces – en réduisant de moitié le nombre de faux positifs sur son échantillon de référence – grâce à l'utilisation d'informations beaucoup plus riches. Outre la poignée de paramètres usuels – montant, commerçant, jour et heure… –, l'introduction de plus de 200 points de données (localisation, terminal de paiement, type de dépense…) permet d'affiner les calculs.
Dans le cas d'eBay, l'article [PDF] publié par deux responsables invite à renverser les modèles traditionnels. Selon eux, les fraudes avérées dans les jeux de données disponibles étant insuffisamment représentatives, statistiquement (moins de 500 sur ses près de 300 000 transactions de référence, et 122 000 sur 900 millions dans l'étude du MIT !), et, de plus, les criminels ajustant régulièrement leurs techniques, l'entraînement des outils d'apprentissage automatique est nécessairement approximatif.
Ils suggèrent donc, résultats à l'appui, de modéliser les comportements légitimes et de comparer les transactions à ceux-ci pour en valider l'exécution, au lieu d'essayer de rejeter celles qui ressemblent plus ou moins à des fraudes. Là aussi, ils profitent de la multiplication des données exploitables pour renforcer la qualité de leurs algorithmes, tout en imaginant des méthodes de classification aussi simples que possible afin de pouvoir les mettre en œuvre en temps réel dans une application d'e-commerce.
S'il est rassurant de constater que les avancées technologiques favorisent la conception de nouvelles stratégies défensives face à des cybermenaces omniprésentes, il subsiste une désagréable impression que seules des initiatives ponctuelles voient le jour, émanant d'une minorité d'organisations particulièrement mûres sur le plan « digital ».
Dans le cas d'eBay, l'article [PDF] publié par deux responsables invite à renverser les modèles traditionnels. Selon eux, les fraudes avérées dans les jeux de données disponibles étant insuffisamment représentatives, statistiquement (moins de 500 sur ses près de 300 000 transactions de référence, et 122 000 sur 900 millions dans l'étude du MIT !), et, de plus, les criminels ajustant régulièrement leurs techniques, l'entraînement des outils d'apprentissage automatique est nécessairement approximatif.
Ils suggèrent donc, résultats à l'appui, de modéliser les comportements légitimes et de comparer les transactions à ceux-ci pour en valider l'exécution, au lieu d'essayer de rejeter celles qui ressemblent plus ou moins à des fraudes. Là aussi, ils profitent de la multiplication des données exploitables pour renforcer la qualité de leurs algorithmes, tout en imaginant des méthodes de classification aussi simples que possible afin de pouvoir les mettre en œuvre en temps réel dans une application d'e-commerce.
S'il est rassurant de constater que les avancées technologiques favorisent la conception de nouvelles stratégies défensives face à des cybermenaces omniprésentes, il subsiste une désagréable impression que seules des initiatives ponctuelles voient le jour, émanant d'une minorité d'organisations particulièrement mûres sur le plan « digital ».
Aucun commentaire:
Enregistrer un commentaire
Afin de lutter contre le spam, les commentaires ne sont ouverts qu'aux personnes identifiées et sont soumis à modération (je suis sincèrement désolé pour le désagrément causé…)