Cet article a d’abord été publié sur Security Magazine.
Ces derniers mois, le secteur financier a dû s’adapter et faire la transition vers le télétravail à cause des restrictions liées à la COVID-19. Cette transition a accéléré la transformation numérique. Les pratiques de « face-à-face » du secteur, où l’interaction de vive voix était primordiale, ont laissé place à un système entièrement numérisé.
Les banques, en particulier, ont commencé à traiter avec leurs clients en ligne, parallèlement à la forte augmentation du trafic Internet (50-70 %) due à la pandémie. Beaucoup ont adopté des technologies orientées client ou, en d’autres termes, des technologies conçues pour améliorer l’expérience client par le biais de l’automatisation, du machine learning et de l’engagement interactif. Cela a provoqué une baisse des interactions bancaires traditionnelles telles que le déplacement dans une succursale ou l’appel téléphonique à un employé bancaire. Une étude montre que 72 % des adultes préfèrent désormais communiquer via Internet.
Dans cette nouvelle normalité, le secteur des services financiers dispose désormais de canaux numériques plus agiles qui améliorent la communication et l’engagement des clients. Mais l’innovation s’accompagne souvent de risques. Suite à ce virage numérique, le secteur est devenu l’un des plus visés par le cybercrime. En règle générale, plus de 70 % des violations de données sont faites par appât du gain. Chaque canal d’accès à un compte en banque ou de demande de prêt est un point d’accès potentiel pour un pirate désireux de s’enrichir. Au rythme où vont les choses, les victimes de cybercrimes vont perdre 10,5 billions de dollars à cause d’usurpations d’identité, de logiciels malveillants, de détournements ou d’attaques IoT (Internet des objets), et ce chiffre va croître de 15 % par an.
Sans surprise, des règlementations telles que la Strong Customer Authentication (qui fait partie de la directive « Payments Services Directive 2 » ou « PSD2 ») ont été mises en place pour exiger que les entreprises adoptent l’authentification multi-facteurs (MFA), ce afin d’améliorer la sécurité. Cette approche unique part du principe que le mot de passe du client a déjà été compromis et demande à celui-ci de confirmer qu’il est bien le détenteur du compte par le biais d’un SMS, d’un appel téléphonique ou même d’un e-mail, selon le réseau. En demandant d’autres preuves qu’un simple mot de passe, la MFA peut également limiter, détecter et bloquer les tentatives de credential stuffing, une technique d’automatisation de l’exploitation des mots de passe ou des réponses aux questions d’identification.
Naturellement, certains clients vont continuer à utiliser les méthodes de contact classiques avec leur banque, ce qui peut également ouvrir une surface d’attaque traditionnellement propice à l’usurpation d’identité, par exemple dans le cas des escroqueries par téléphone. Pour le seul mois de juin, plus de 3,3 milliards d’appels automatisés ont été passés aux États-Unis, au plus fort de la pandémie, afin de recueillir et d’exploiter des données à des fins de fraude en tirant parti des craintes des clients. Heureusement, les banques prennent conscience du problème. De plus en plus, elles mettent en œuvre des protections multi-canaux du client qui peuvent identifier le titulaire du compte par reconnaissance vocale. 38 % des informations sont transmises par la parole et l’intonation. L’identification de l’empreinte vocale, la reconnaissance vocale, voire la simple identification d’un client avec un numéro associé au compte peuvent s’avérer cruciales pour détecter les usurpations.
Au-delà des technologies orientées client, les outils d’informatique cognitive tels que l’intelligence artificielle (IA) sont utilisés pour détecter, prévenir et faire un rapport des faiblesses du back-office. Grâce à un mappage détaillé de tous les processus, systèmes et interactions de ressources, l’IA peut identifier les failles qui peuvent avoir un impact négatif ou potentiellement occasionner une violation de données. Combiné avec les canaux de service client communément utilisés dans le monde de la banque, le machine learning dynamique de l’IA peut améliorer les interactions et même identifier les utilisateurs à haut risque dont le comportement est propice aux menaces. En analysant les traits de caractère, les préférences, les habitudes d’achat et les tendances du client, l’IA peut identifier les activités inhabituelles avec les outils en back-end et détecter automatiquement les usurpations d’identité. Une fois la menace dévoilée, l’IA peut signaler la menace, la bloquer et avertir les clients sur un appareil authentifié.
Il faut toutefois aborder un sujet tabou, celui de l’utilisation des données des clients pour améliorer l’expérience numérique. Quand on parle de fraude, on pense souvent, à tort, que les attaques viennent de l’extérieur. En fait, 90 % des violations de données impliquent au moins un point de contact, une fuite ou une personne malveillante associés à l’entreprise.
C’est pourquoi le secteur se débarrasse progressivement des procédés d’authentification classiques, qui impliquent généralement la révélation d’informations sensibles du compte, au profit d’approches plus sophistiquées. Les agents conversationnels gérés par une IA ("chatbots"), par exemple, aident les clients en temps réel et peuvent identifier correctement la personne à qui ils s’adressent simplement par leur saisie au clavier. Si les chatbots ne peuvent pas aider directement le client, ils peuvent signaler et rediriger la conversation à des agents humains qui savent alors qu’ils ont affaire au véritable détenteur du compte. Dans certains cas, une même IA a été déployée dans plusieurs secteurs pour conserver l’anonymat et permettre aux agents de se concentrer sur l’assistance client.
Par plusieurs aspects, la pandémie de COVID-19 est devenue une crise qui a obligé le secteur financier à y remédier tout en s’y adaptant, le tout dans une période d’incertitude extrême. Du jour au lendemain, les fournisseurs de service ont dû augmenter leur présence en ligne tout en maintenant une sécurité robuste dans un secteur réputé pour sa protection des fonds. Avec les technologies adéquates, les fournisseurs de service peuvent limiter les risques relatifs au cybercrime et s’assurer que leurs clients comme leurs opérations sont en sécurité.