Cybersécurité : les banques doivent miser sur la détection et la prévention
Open banking, crypto-monnaies, intelligence artificielle... toutes ces technologies changent la façon dont les gens effectuent leurs opérations bancaires. Mais ces progrès offrent aussi des opportunités aux criminels.
Une chose est claire. Les banques les plus prospères et les plus rentables de demain seront celles qui déploient le plus d'efforts en matière de prévention du crime financier et de défense aujourd'hui. L'ampleur du défi n'est peut-être pas bien connue, mais le fait qu'il constitue une dépense majeure pour les banques est une évidence. Le montant annuel total déboursé par les banques britanniques pour la lutte contre la cybercriminalité et la fraude en ligne s'élève à 6,7 milliards de livres sterling, rapporte la Financial Conduct Authority (FCA).
Les banques ont empêché les deux tiers des tentatives de fraude en 2018, selon UK Finance, mais dans de nombreux cas le manque de soutien rend la tâche plus difficile. Selon un rapport récent de l'Inspectorate of Constabulary and Fire & Rescue Services (HMICFRS), un service de police a déposé 96% des rapports de fraude bien documentés sans aucune autre enquête. En Amérique, les institutions financières dépensent 25,3 milliards de dollars pour satisfaire aux exigences de conformité en matière de lutte contre le blanchiment d'argent, indique des recherches de LexisNexis. Pour les grandes entreprises, cela – auquel s'ajoute le Know your customer (KYC) et le customer due diligence (CDD) - porte à plus de 370 millions de livres la somme dépensée pour satisfaire aux exigences réglementaires de la lutte contre la criminalité financière au Royaume-Uni.
Le respect de la conformité est coûteux, tout comme son inobservation. De 2010 à 2015, les banques ont payé plus de 230 milliards de livres sterling d'amendes pour non-conformité, selon Accenture. Pour s'assurer un avenir solide, il faut non seulement lutter avec vigueur contre la criminalité financière, mais aussi veiller à ce qu'elle soit menée de la manière la plus efficace possible en termes de temps et de coût.
Prendre des initiatives
Les banques qui prennent l'initiative semblent prêtes à se doter d'un avantage concurrentiel. Et il existe de nombreux exemples de réussite. Les banques qui introduisent le nouveau service de "confirmation du bénéficiaire" avant l'échéance réglementaire de 2020 font partie de ces exemples.
Les banques nordiques montrent la voie dans l'utilisation des systèmes nationaux d'identité numérique pour lutter contre la fraude. Le système BankID de la Suède a un taux d'adoption de la population éligible de 75%. De son côté, la National Australia Bank développe une technologie biométrique pour protéger ses clients de la criminalité financière, en collaboration avec Microsoft sur les guichets automatiques biométriques. Au Royaume-Uni, 24,7 millions de livres sterling de fraude ont été évitées, selon UK Finance, grâce au Protocole Bancaire, une initiative conjointe de la police et des banques visant à identifier et à protéger les victimes potentielles de fraude.
Un paysage en mutation : l'open banking
Le passage mondial à l'open banking est en train de révolutionner les services financiers. La deuxième directivesur les services de paiement (DSP2) - échéance de conformité finale en septembre 2019 - est non seulement une opportunité commerciale pour les banques, mais aussi un nouveau défi en matière de sécurité. Cette législation ne s'applique peut-être qu'à l'Espace économique européen, mais ses principes sont repris ailleurs.
Il devient possible d'être un fournisseur de services de comptes en regroupant tous les soldes d'un client en un seul endroit, ce qui lui permet de garder une vue d'ensemble de ses finances et d'obtenir des propositions pour de meilleures offres ou de meilleurs crédits.
L'open banking vise à briser le cartel des grandes banques et à ouvrir le secteur à la concurrence. On ne sait pas encore clairement où se situera la responsabilité des vulnérabilités de sécurité qui accompagnent ces changements et les banques doivent renforcer la sécurité dans cette perspective.
Actuellement, les systèmes de paiement mobiles fonctionnent comme des portefeuilles mobiles, avec une carte de paiement. Je pense que l'open banking leur permettra à terme de débiter de l'argent directement, ce qui leur permettra d'économiser sur les frais de transaction. Les répercussions sur la sécurité sont claires.
Avant, les banques étaient un immeuble avec une grande et lourde porte sur laquelle il fallait garder un œil. Si on voulait dévaliser une banque, on devait enfoncer la porte. Les chèques, les cartes et les services bancaires par Internet mobile ont effectivement ajouté de nouvelles portes. Et les portes ne sont pas toujours contrôlées par les banques, car la sécurité dépend de différents intervenants.
Dans le même temps, les banques font face à une pression accrue pour accepter une plus grande responsabilité en cas de pertes dues à des fraudes commises par des clients. Au Royaume-Uni, l'Authorised push payment (APP), créé par le Payment Systems Regulator, a élaboré un code volontaire pour le remboursement des victimes, introduit en mai 2019.
Fermer les portes à la criminalité
Alors, comment les banques peuvent-elles s'assurer que l'open banking ne les rend pas vulnérables aux attaques ? Comment ouvrir de nouvelles portes aux clients, mais pas aux criminels ?
L'une des approches consiste à renforcer la surveillance ciblée utilisée pour évaluer les risques de transactions. Cela consiste à regarder qui effectue la transaction, de quelle façon, la méthode et la destination de la transaction.
Cela n'est plus suffisant. La transaction vient maintenant d'un tiers. Les banques ont besoin de savoir comment interpréter de nouvelles informations. Pour cela, elles doivent faire évoluer leurs capacités de détection.
Les leçons pour l'Europe peuvent être trouvées ailleurs dans le monde. L'Autorité monétaire de Singapour et l'Association des banques du pays ont publié un guide de l'API sur l'échange et la communication entre les banques et les fintech. Les banques japonaises, quant à elles, sont tenues de publier leurs politiques d'API ouvertes et sont encouragées à passer un contrat avec un seul fournisseur d'ici à 2020.
Détection et protection dans l'open banking
Bien sûr, les institutions financières sont déjà tenues de respecter certaines normes en matière d'authentification pour exploiter l'open banking.
Les banques utilisent généralement deux types de détection : l'une cachée, l'autre visible. Les protections visibles - outils d'authentification et biométrie - placent des obstacles devant le criminel et rassurent le client. Les technologies cachées permettent aux banques de voir ce qui se passe une fois qu'un criminel entre dans un compte. Cela sera de plus en plus important. Quelle que soit la qualité de la serrure de votre porte, tôt ou tard, quelqu'un entrera par effraction. Quand il y parvient, comment le surveillez-vous ?
Si les banques veulent se renforcer pour l'avenir, elles doivent travailler sur des outils d'analyse des risques de modèles cachés afin de comprendre ce nouveau paysage avec ses différents risques. Un client arrivant d'une application bancaire autorisée est susceptible d'inspirer davantage confiance qu'un client provenant d'une application de source inconnue, par exemple.
Les crypto-monnaies face au crime
Les crypto-monnaies opérant en dehors des banques centrales présentent de nouveaux risques. Le comité de politique financière de la Banque d'Angleterre reconnaît les avantages de ces monnaies et leur potentiel à créer un système de paiement plus distribué et plus diversifié. Cependant, il avertit également qu'elles sont imprévisibles et non protégées.
De nombreuses autorités, dont le Cryptoassets Taskforce britannique - qui comprend la FCA, la Banque d'Angleterre et HM Treasury - préconisent une réglementation axée sur la cryptographie.
La plupart des gens pensaient que la crypto-monnaie connaîtrait un premier succès puis disparaîtrait, ce qui fait que l'on n'a pas suffisamment pris garde d'installer des protections robustes. Au lieu de cela, ces technologies se sont développées, avec pour corollaire une augmentation des fraudes connexes.
Rien qu'en juin et juillet 2018, des victimes ont déclaré avoir perdu un total de 2 millions de livres sterling à la suite d'escroqueries par crypto-monnaie, selon les chiffres d'Action Fraud. Des gens sans scrupules ont gagné beaucoup d'argent en créant leur propre crypto-monnaie et en prenant de l'argent à des gens qui leur ont fait confiance en investissant sans aucun retour.
Je prédis que la crypto technologie et les comptes bancaires vont converger. JP Morgan Chase a déjà annoncé son intention de lancer une crypto-monnaie, la première à s'appuyer sur une grande banque américaine.
On peut prévoir que grâce à open banking quelqu'un créera un produit permettant aux clients de prendre l'argent d'un compte bancaire, de le transférer par crypto-monnaie et de le retransformer ensuite en espèces. Ce type d'échange entre espèces et crypto-monnaie est une proposition attrayante pour les fraudeurs. À l'heure actuelle, un criminel peut ouvrir un compte bancaire, envoyer l'argent sur un autre compte qu'il peut contrôler, retirer l'argent en espèces et le convertir en bitcoin. Nos systèmes tracent cet argent.
La technologie de demain : la révolution de l'IA
L'intelligence artificielle (IA) recèle un énorme potentiel pour les banques, non seulement dans la lutte pour fidéliser leur clientèle, mais aussi en tant qu'arme contre la criminalité financière.
Chris Gibson, ancien directeur de CERT-UK, l'équipe nationale d'intervention en cas d'urgence informatique du Royaume-Uni, affirme que l'IA sera vitale dans le contexte difficile du nombre toujours croissant de transactions mondiales. "L'IA nous permettra, nous l'espérons, de parcourir les vastes banques de données que nous sommes en train de créer pour trouver l'aiguille dans la botte de foin ", dit-il. "Nous avons besoin de moyens plus intelligents et plus perfectionnés pour réaliser des analyses."
La technologie permet aux banques de recueillir des informations de plus en plus précises sur les désirs et les comportements des clients. Les transactions conformes aux comportements antérieurs ne seront pas remises en question. Mais celles qui impliquent, par exemple, le transfert d'une somme exceptionnellement élevée ou un contact inconnu peuvent déclencher une alerte. La technologie aide également les banques à établir des profils de fraude et à suivre les criminels par le biais de réseaux financiers.
À l'avenir, la capacité de l'IA à identifier des groupes de petites transactions potentiellement frauduleuses sera encore plus précieuse - des sommes qui, individuellement, passeraient inaperçues aux yeux d'experts en fraude, même hautement qualifiés, mais qui pourraient collectivement représenter des montants énormes. Les banques peuvent également utiliser l'intelligence artificielle pour examiner des données complémentaires, telles que les médias sociaux fréquentés par les clients et leurs antécédents professionnels, afin de déterminer si les mesures prises sont conformes aux attentes démographiques.
Quand on regarde le nombre de crimes financiers commis grâce à des initiés corrompus, on se rend compte que l'IA promet d'autres avantages - comme Adam Williamson, responsable des normes professionnelles à l'Association of Accounting Technicians (AAT) du Royaume-Uni l'a récemment déclaré à la BBC. "L'utilisation de l'IA élimine une grande partie du risque que les gens négligent délibérément dans les activités suspectes".
Pour la majorité des employés de banque dignes de confiance, l'IA libérera du temps précédemment dévolu à la vigilance ordinaire et aux enquêtes sur les faux positifs, pour consacrer ce temps à des missions sur la prévention et la détection du crime. Les banques qui utiliseront l'intelligence artificielle de manière optimale verront la détection des erreurs, la productivité et la prise de décision s'améliorer.
Mais les banques ont du pain sur la planche si elles veulent que l'intelligence artificielle soit à la hauteur de son potentiel. La technologie a besoin de données - et il n'y en a pas encore assez. La solution doit, en partie, impliquer le partage efficace des ressources dans l'ensemble de l'industrie. En janvier, l'Economic Crime Strategic Board a été créé au Royaume-Uni, avec le partage des données comme priorité.
Au sein des entreprises également, la collaboration en matière de collecte et d'utilisation des données est cruciale. "L'IA doit être au service d'un processus opérationnel et, à ce titre, elle nécessite la participation de l'ensemble de l'institution, et pas seulement de la technologie ", explique Chris Gibson.
Grâce à l'intelligence artificielle, les banques seront en mesure de réagir plus efficacement et plus rapidement à la cybercriminalité. Une pénurie de cyberprofessionnels pour faire ce travail en personne montre qu'il s'agit d'un élément essentiel dans la lutte contre la criminalité financière.
Mariola Marzouk, responsable mondiale de l'analyse de la criminalité financière et de la fraude chez BAE Systems, affirme qu'il est crucial de s'assurer que l'expertise humaine est déployée le plus efficacement possible pour assurer la pérennité de l'entreprise. "La collecte de données est l'activité à laquelle les enquêteurs consacrent 60% de leur temps ", fait-elle remarquer. Avec l'intelligence artificielle, les banques peuvent mieux combiner leurs données CRM collectées auprès d'un client ou d'une source externe avec des données comportementales sous forme de transactions. "De cette façon, nous pouvons savoir si un client se comporte comme il nous l'a dit - et sinon, pourquoi il a changé de comportement et ce que cela signifie d'un point de vue criminel."
Crime et intelligence artificielle
L'intelligence artificielle est assortie d'une mise en garde majeure. Les banques doivent se demander qui d'autre utilise cette technologie. Si les institutions financières en voient les avantages, les criminels en verront aussi les avantages. Chris Gibson dit : "Je suis constamment surpris que les criminels n'utilisent pas, ou ne semblent pas tellement utiliser l'IA. Tout ce que nous savons d'eux nous dit qu'ils sont très concentrés et axés sur leurs activités. Ce doit être un domaine qui améliorerait leurs marges de profit."
L'IA peut alors proposer des solutions. Il est clair qu'elle doit faire partie de la boîte à outils de l'industrie dans la lutte contre la fraude, mais elle doit être utilisée correctement. Les institutions financières doivent d'abord se saisir du problème qu'elles veulent résoudre, et cela avec précision. Elles doivent travailler ensemble pour comprendre les données qu'elles utilisent - à la fois leur provenance et leur contexte. Elles ont besoin de connaître les risques qui en découlent. Et elles doivent s'attendre à ce que les criminels l'utilisent eux aussi.
Des défis pour les challengers
Les nouveaux arrivants, les "challengers", transforment l'industrie de la banque. C'est un marché très actif. Mais les nouveaux arrivants et les banques établies devraient se tourner les uns vers les autres pour tirer des leçons afin d'assurer leur avenir.
Bien que les petites fintech et les banques récentes puissent offrir un mode de fonctionnement rapide et fluide - très attrayant pour les consommateurs modernes - cela ne saurait faire abstraction d'une bonne intégration du client, susceptible d'engendrer des problèmes plus tard.
Mariola Marzouk met en lumière le cas d'une société britannique de fintech qui était à l'origine un fournisseur de cartes prépayées. L'entreprise offrait un très bon taux d'intérêt, particulièrement attractif pour les voyageurs internationaux, avec peu de vérifications. Toutefois, des problèmes ont surgi lorsqu'elle a voulu augmenter le montant de la carte prépayée. La réglementation a changé et l'entreprise s'est retrouvée avec des obligations de diligence raisonnable longues et coûteuses. Selon M. Marzouk, c'est là que les challengers commencent à rencontrer les mêmes problèmes que les grandes banques. "Le processus de collecte d'informations est probablement le plus long pour les banques et il est aussi très délicat à manier vis-à-vis des clients."
A l'inverse des problèmes rencontrés par les challengers, Marzouk décrit l'approche audacieuse adoptée par une grande banque britannique en matière de conformité. Un grand nombre de spécialistes ont été embauchés pour aider à la conformité, aux côtés d'un ancien enquêteur pour diriger sa division criminalité. Désormais, lorsqu'un client arrive à la banque, on lui attribue une cote de risque en fonction de la probabilité qu'il commette un crime financier. "Vous serez jugé dès que vous serez devenu client ", dit Marzouk. "Ils surveilleront votre comportement et détermineront si vous êtes plus susceptible de faire preuve de complaisance ou de commettre un crime, et ils le feront en continu."
Trouver l'équilibre
Il y a un équilibre à trouver, dit Marzouk. Et cet équilibre sera crucial pour obtenir un avantage concurrentiel. La sécurité ne peut être contournée et elle doit être permanente, mais les banques doivent faire preuve de prudence. "Elles doivent veiller à ne pas contrarier les clients légitimes ou leur donner l'impression d'être des criminels."
Au fur et à mesure que les challengers se développent et se trouvent liés par une réglementation accrue, ils risquent de devenir moins attrayants pour les clients. Sur ce point, ils peuvent tirer un enseignement des processus de KYC et d'intégration des grandes organisations, en embauchant des spécialistes de la réglementation pour travailler pour eux.
De même, les challengers peuvent offrir de précieuses leçons pour l'avenir à leurs concurrents établis de longue date. Avec une infrastructure plus jeune et une plus grande agilité, avec la vérification numérique des clients intégrée dès le début, les challengers gèrent souvent mieux les menaces.
Une approche correcte de la réglementation contribuera à maximiser les avantages - ainsi qu'à garantir les avantages de la prévention de la criminalité financière qu'elle vise. Il y a une courbe d'utilité, dit Marzouk. "À un moment donné, les règlements sont bons parce que les gens ne font pas ce qu'ils ne devraient pas faire. Mais ensuite, c'est trop, la réglementation devient onéreuse et il faut dépenser plus pour s'y conformer."
Là encore, une collaboration à l'échelle de l'industrie sera nécessaire pour assurer le bon niveau de réglementation face à la menace criminelle. Les fraudeurs, bien sûr, trouvent leurs propres solutions à ces défenses, dit Marzouk. "Ils réagissent à cette réglementation accrue, dépensent davantage pour contourner la réglementation, embauchent des facilitateurs professionnels et corrompent les responsables de l'application de la loi, ce qui rend la détection de la fraude encore plus difficile."
L'une des tactiques utilisées par les criminels a été le recours aux fiducies (trusts). Les accords de confidentialité relatifs à ces produits financiers rendent plus difficile l'identification du propriétaire. La grande majorité d'entre elles sont établies avec des objectifs légitimes, mais le mécanisme de différenciation fait défaut.
La combinaison du commerce légitime et du commerce illégal pour "masquer le bruit" est l'exemple d'un domaine où une réglementation appropriée pourrait aider à éclairer les coins sombres.
Le véritable défi pour les banques n'est pas seulement de travailler sur les technologies qui favorisent la criminalité aujourd'hui, mais aussi celles qui le feront demain. Marzouk déclare : "Nous nous focalisons sur la manière dont les criminels pourraient utiliser les monnaies numériques, par exemple. Mais ils utilisent probablement aussi quelque chose que nous ne savons même pas encore."
Se renforcer pour l'avenir fait gagner des clients et les fidélise
La prévention et la détection de la criminalité financière sont essentielles à la mise sur pied d'une banque solide et pérenne, mais il est tout aussi important d'assurer la meilleure réponse possible lorsque cela se produit. Les banques peuvent se doter d'un avantage concurrentiel grâce à leur approche en matière de détection de la criminalité et à la façon dont elles font face aux conséquences d'une infraction ou d'une attaque.
Alex Jay, associé en règlement des différends au sein du cabinet d'avocats international Gowling WLG et membre du comité consultatif sur la fraude, croit que la satisfaction de la clientèle est un important facteur de prévention du crime financier. "Les banques investiront d'énormes sommes d'argent et de temps dans des systèmes qui tentent d'identifier et de prévenir la fraude parce qu'elles savent que si elles traitent avec des clients qui ont subi une fraude, ce qui n'est généralement pas de leur faute, c'est la banque qui paie la note. Et elles veulent aussi s'occuper convenablement de leurs clients."
L'utilisation efficace de l'intelligence artificielle, selon lui, ainsi qu'une vigilance constante, doivent être des priorités pour les banques, car elles opèrent dans une sphère de plus en plus mondiale.
Seuls les processus KYC les plus scrupuleux et la meilleure technologie - appliquée dans toute l'entreprise - permettront aux banques de naviguer avec succès dans le paysage financier changeant, en différenciant rapidement et avec précision l'activité frauduleuse de l'activité légitime.
Conclusion
La criminalité financière ne disparaîtra pas et, au contraire, s'intensifiera. Les entreprises perdent aujourd'hui en moyenne 7% de leurs dépenses annuelles à cause de la fraude, le coût global dépassant désormais les 3 000 milliards de livres sterling, selon une étude réalisée par Crowe Clark Whitehill.
La technologie alimente les flammes d'une impulsion criminelle qui existe depuis aussi longtemps que la banque elle-même. Jamie Dimon, président-directeur général de JPMorgan Chase, a récemment estimé que les cyber-problèmes étaient "probablement le plus grand risque auquel le système financier est confronté ". Au Royaume-Uni, 54% des cas de fraude en 2018 étaient des cyber-fraudes, selon les chiffres du gouvernement.
Le développement de systèmes robustes, rapides et efficaces pour prévenir la criminalité financière et faire face aux retombées sera encore plus important demain qu'aujourd'hui. Alors que les criminels conçoivent des systèmes de plus en plus sophistiqués pour identifier et contourner les mesures de sécurité, les banques doivent rester en tête.
L'obligation n'est pas seulement financière, mais sociale. "Nous avons tous le devoir social de prévenir la criminalité, quelle que soit la taille de l'organisation. L'humanité ne peut grandir si elle ne partage pas l'information, les connaissances et l'expérience ", insiste Marzouk.
En 1994, Bill Gates a désigné les banques comme des " dinosaures ", disant qu'elles pouvaient être contournées. Si l'extinction semble improbable, l'évolution est certainement nécessaire. La forme que prendront les services bancaires à l'avenir dépendra, en partie, de l'efficacité avec laquelle l'industrie luttera contre les menaces qui se profilent à l'horizon. La bataille a commencé.