Cybercriminalité et responsabilité sociale de l’entreprise : comment lutter efficacement contre la fraude ?

Quelle est la responsabilité des entreprises face à la fraude et au vol d’identité ?

3 600 milliards de dollars : c’est ce que la fraude coûte chaque année à l’économie mondiale. Quel que soit le secteur, il y a de grandes chances qu’il ait été touché par un vol de données, les plus importants recensés cette année ayant touché des secteurs variés tels que la restauration rapide, l’automobile, la sous-traitance ou encore le conseil en informatique. En d’autres termes, toute entreprise est une cible potentielle. 

Les raisons pour lesquelles les entreprises doivent protéger leurs données sont généralement bien comprises. Néanmoins, l’aspect le plus déconcertant du vol de données n’est pas souvent abordé, à savoir l’éthique qui consiste à autoriser le statut de « cible » à se transformer en "victoire" pour les cybercriminels. La question qui se pose est donc la suivante : quelle est la responsabilité des entreprises face à la fraude et au vol d’identité ?

S’il ne s’agit pas d’une obligation légale, les entreprises auxquelles des personnes confient leurs informations sensibles en sont responsables sur le plan moral. Il est de leur devoir de protéger leurs clients contre la fraude, mais également de prendre des mesures plus vastes pour empêcher les fraudeurs d’utiliser les informations obtenues ailleurs. Chaque entreprise devrait par ailleurs se conformer à des normes et des règles éthiques s’appuyant sur les nouvelles technologies dans sa stratégie de cybersécurité.

Comprendre les conséquences du vol de données : du dark web au financement criminel

Pour mieux cerner les raisons pour lesquelles les entreprises doivent renforcer leur stratégie de cybersécurité, il est important de mieux comprendre ce qu’il advient des données volées. Le dark web abrite un immense marché des informations personnelles identifiables (IPI) et les fraudeurs ont malheureusement développé au fil des années des techniques de plus en plus sophistiquées pour acquérir plusieurs éléments à la fois (par exemple, le numéro de sécurité sociale, la date de naissance et l’adresse d’un individu). Ce marché clandestin peut être très lucratif pour les cybercriminels qui vendent ces informations personnelles au plus offrant et investissent les bénéfices dans l’achat de biens ou le financement du terrorisme et autres activités criminelles.

Cela soulève plusieurs interrogations : peut-on dire que l’entreprise dont les données ont été volées soit la seule responsable ? Devrions-nous aussi pointer du doigt les entreprises tierces n’ayant pas mis suffisamment de contrôles en place pour empêcher la création de nouveaux comptes grâce aux informations volées ? Quelle est l’étendue de la responsabilité d’une entreprise vis-à-vis de l’utilisation de données volées ? Doit-elle se contenter d’effectuer une évaluation globale des risques et tenir compte des pertes potentielles dans son budget global ? Ou sa responsabilité va-t-elle plus loin ?

Pour résumer : se concentrer sur la seule protection des données des clients n’est pas suffisant. Il est nécessaire de mettre en place des contrôles supplémentaires afin d’empêcher les cybercriminels d’exploiter les entreprises à des fins lucratives avec des données volées antérieurement. 

Assumez la responsabilité sociale d’entreprise ou faciliter la tâche des fraudeurs ?

S’il est vrai que les consommateurs doivent prendre l’initiative d’utiliser les outils conçus pour les protéger tels que l’authentification multifacteur ou la biométrie (plutôt que des codes PIN et mots de passe de leur choix), les entreprises doivent également agir pour contrecarrer ces attaques. En tant que cibles, il est essentiel qu’elles mettent en place les contrôles adaptés afin d’empêcher les fraudeurs disposant d’informations volées d’accéder à leurs propres comptes, non seulement parce que c’est leur devoir moral, mais aussi parce que leur réputation est en jeu.

Bien que la norme internationale ISO 26000 considère la « protection des données et de la vie privée des consommateurs » comme un problème majeur auquel les entreprises devraient remédier, il ne s’agit que d’un guide pour les entreprises des secteurs public et privé qui souhaitent agir de manière socialement responsable. Il ne s’agit pas d’une loi. Les entreprises devraient-elles pour cela attendre que des lois soient mises en place plutôt que prendre les devants ?

Comment les entreprises peuvent-elles s’attaquer au problème ?

Les DSI et les équipes informatiques, ainsi que les équipes chargées de la fraude et des opérations, ont tout d’abord la responsabilité commune de comprendre les points d’entrée des fraudeurs dans leur entreprise. En effet, les fraudeurs n’abordent pas l’accès aux comptes de manière cloisonnée mais tirent parti de l’augmentation du nombre de canaux et de périphériques (applications mobiles, centres de contact, enceintes connectées, etc.) en les utilisant comme points d’entrée. S’ils détectent une faille dans un canal, ils continueront à l’exploiter, puis ils passeront à un autre lorsque ce canal ne fonctionnera plus.

Les entreprises doivent par ailleurs adopter une approche cross-canal de la sécurité afin d’arrêter les fraudeurs quels que soient le type d’attaque et le canal utilisé. En d’autres termes, il est nécessaire d’investir dans des technologies capables de détecter et empêcher la fraude tout en permettant l’authentification. Conçues en consultations avec la CNIL, ces technologies sont par ailleurs entièrement conformes au RGPD ainsi qu’à la législation française. Il devient essentiel d’adopter une approche à authentification multiple combinant des technologies éprouvées telles que la biométrie vocale, la biométrie comportementale, l’empreinte de périphérique et la reconnaissance faciale, afin de couvrir tous les canaux.  Il est également important d’arrêter de concentrer les efforts sur les vecteurs d’attaque, et de se concentrer plutôt sur l’attaquant qui peut être identifié grâce à plusieurs méthodes biométriques. Une fois que nous aurons changé notre perspective en matière de lutte contre la fraude, nous pourrons avoir une longueur d’avance. 

Le recours à la biométrie permet aux équipes de lutte contre la fraude de lier des affaires apparemment sans lien entre elles à un petit nombre d’individus et de constituer ensuite des dossiers s’appuyant sur des preuves solides qui pourront donner lieu à des poursuites. Les technologies biométriques, dont la reconnaissance vocale, ont par ailleurs déjà permis d’empêcher que des centaines de millions d’euros tombent entre de mauvaises mains. HSBC a par exemple récemment déclaré que, depuis le déploiement de son logiciel au Royaume-Uni, la biométrie vocale l’avait aidée à éliminer les fraudeurs et à empêcher plus de 300 millions de livres sterling (soit plus de 338 millions d’euros) de tomber entre les mains de criminels. 

Les entreprises doivent mettre l’éthique au premier plan, c’est-à-dire agir de manière socialement responsable. La fraude ne doit plus être considérée comme un poste de dépenses normal. Ce n’en est pas un ! Les décisions éthiques associées aux dernières technologies biométriques sont le seul moyen pour les entreprises de commencer à avoir un impact réel et concret dans la lutte contre la fraude et de s’attaquer au problème à la racine.