La fraude bancaire connaît une croissance alarmante dans le monde entier, alimentée par la prolifération de l'usurpation d'identité par l'IA, des deepfakes, et de l'émergence de la Fraud-as-a-service (FaaS).
A cela s'ajoute l'essor de la banque en ligne et de la finance embarquée, qui crée de nouvelles opportunités pour les cybercriminels. Si les banques investissent massivement dans le développement d’outils de lutte contre la fraude, l'absence de stratégie globale pour gérer la fraude « en amont » et « en aval », entrave la prise de décision en temps réel et à toutes les étapes du parcours client.
Heureusement, il existe des solutions, comme la gestion convergente des identités et des accès (IAM), pour combattre la fraude bancaire. Comment l'IAM aide-t-elle à renforcer la sécurité et à anticiper les menaces frauduleuses ?
Fraude bancaire : un défi grandissant
Des études estiment que les pertes mondiales liées à la fraude bancaire devraient atteindre 49,32 milliards de dollars d'ici 2027, mettant en lumière l’augmentation de menaces émergentes comme la fraude par paiement push autorisé (APP). Les fraudes traditionnelles, telles que la prise de contrôle de compte (ATO), sont éclipsées par des attaques sophistiquées comme l'usurpation d'identité via l'IA et les deepfake.Cette situation préoccupante s’explique par de nombreux facteurs : la numérisation des services bancaires, l’exploitation des progrès de l'IA, la faiblesse des informations d'identification, et les vulnérabilités des systèmes IAM facilitent la fraude ATO, responsable de 36 % des fraudes financières en 2022.
Prévention de la fraude : une approche morcelée
La prévention de la fraude bancaire est souvent fragmentée, chaque équipe supervisant des aspects différents. Les équipes IAM gèrent le parcours du client jusqu'aux étapes critiques telles que l'enregistrement du compte, la vérification d’identité du client (KYC) et l'authentification, tandis que d’autres équipes s’occupent des autorisations de transaction ou des demandes de prêt ou de carte. Ce cloisonnement nécessaire entrave la communication, rendant plus difficile la lutte contre la fraude tout au longdu parcours client.
Les Chief Risk Officers (CRO), Chief Information Security Officers (CISO) et Chief Technology Officers (CTO) peinent ainsi à élaborer une stratégie cohérente de prévention de la fraude, combinant gestion des identités, détection de la fraude et contrôle d'accès. Cette fragmentation crée des vulnérabilités et augmente les coûts. Par ailleurs, la complexité des technologies de cybersécurité complique l'intégration des systèmes de détection, empêchant une prise de décision en temps réel.
Le rôle de l’identité en amont…
La fraude bancaire en amont concerne les activités initiales du parcours client, telles que l'enregistrement du compte, la vérification de l'identité et l'authentification. Elle comprend des attaques comme les bots et le vol d'identité, qui permettent la créationde faux comptes.
Une tendance préoccupante est l'augmentation des échecs de protection des comptes, souvent dus à la faiblesse des informations d'identification, à des politiques de gestion des accès insuffisantes et à des contrôles de vérification d'identité inefficaces. Sans une infrastructure IAM solide, les fraudeurs peuvent exploiter ces failles pour accéder aux comptes et effectuer des transferts ou voler des informations sensibles.
Les solutions d'identité numérique, telles que l'authentification multifactorielle (MFA), la vérification biométrique et la détection de présence, jouent un rôle crucial dans la prévention de la fraude en amont. En intégrant ces technologies, les banques peuvent détecter et bloquer les activités suspectes en temps réel tout en offrant une expérience fluide à leurs clients. Le marché propose des outils convergents qui aident les banques à sécuriser les informations d'identification, prévenir la création de faux comptes et améliorer la détection de la fraude sur les nouveaux comptes.
… et en aval
La fraude bancaire en aval se manifeste après l'authentification, impliquant des activités illégales telles que les transferts non autorisés, la fraude par paiement push autorisé (APP) et les attaques d’usurpation d’identité via l’IA et les deepfakes. Exploitant la confiance des clients et la faiblesse des processus de vérification des transactions, ces escroqueries sont souvent détectées trop tard. La fraude APP est particulièrement préoccupante, avec des pertes estimées à 3,2 milliards de dollars aux États-Unis d’ici 2027. Les fraudeurs incitent les victimes à autoriser des paiements vers des comptes frauduleux via l’ingénierie sociale.Pour contrer cette fraude, les banques doivent voir l'IAM comme un atout stratégique. La surveillance en temps réel, l'authentification basée sur le risque et les contrôles d'accès dynamiques sont essentiels pour détecter, répondre et empêcher les transactions non autorisées. Des solutions telles que l'authentification multifacteur dynamique et l'autorisation fine permettent de détecter et répondre à la fraude en temps réel. En combinant signaux de risque transactionnel et authentification, les banques peuvent garantir que seules les personnes légitimes réalisent des transactions sensibles, un atout crucial contre des attaques comme la fraude APP et l'usurpation d'identité
alimentée par l'IA.
Gérer les risques en temps réel grâce à l’identité
La prise de décision en temps réel est cruciale pour les banques face à l'évolution rapide des fraudes et à l'exploitation de la moindre vulnérabilité. Les capacités IAM convergentes permettent aux banques de gérer la prise de décision d'accès en temps réel en unifiant les signaux de risque provenant de sources multiples, telles que l'analyse comportementale, les données biométriques et les informations sur les appareils utilisés.Les banques qui s'appuient sur une prise de décision en temps réel basée sur l'identité peuvent rapidement détecter les anomalies et stopper les transactions non autorisées ou les activités frauduleuses sur les comptes. En déployant des modèles de sécurité Zero Trust qui vérifient en permanence l'identité des utilisateurs, les banques peuvent atténuer les risques de fraude tout en maintenant une expérience utilisateur transparente.
L'identité numérique, la base d’une stratégie intégrée pour prévenir la fraude bancaire
L'augmentation de la fraude dans le secteur bancaire souligne la nécessité de la mise en place d'une approche intégrée de la prévention qui couvre l'ensemble du parcours du client. En exploitant les solutions d'identité numérique, les banques peuvent s'attaquer à la fraude en amont et en aval de manière holistique, de la création du compte à l'exécutionde la transaction.
Cette approche intégrée améliore non seulement la détection et la réponse à la fraude, mais aussi l'expérience du client en réduisant les malveillances lors des transactions légitimes. Alors que le secteur bancaire continue d'évoluer avec des innovations telles que l'open banking, le BaaS et la FAPI (financial-grade API), une stratégie de prévention de la fraude centrée sur l'identité sera primordiale. En intégrant l'identité dans leurs stratégies de prévention, les banques peuvent garder une longueur d'avance sur les menaces émergentes, protéger leurs clients et renforcer la confiance dans leurs
services numériques.
Par Zakaria Hajiri, Vice-Président Europe du Sud chez Ping Identity