« Le vrai problème, ce n’est pas l’IA, c’est notre inertie face à sa vitesse »

Les frontières entre cybersécurité et fraude deviennent poreuses : doit-on revoir entièrement nos stratégies de défense, ou est-ce un faux débat entretenu par l’industrie ?

Ce que nous constatons sur le terrain aujourd’hui ne fait pas débat : les fraudeurs utilisent les mêmes outils et techniques que les cybercriminels : ingénierie sociale, usurpation d’identité, identité synthétique, scripts automatisés, IA générative, FaaS. Comme les cybercriminels, les fraudeurs se professionnalisent, testent en permanence les dispositifs de protection des banques ou sites e-commerce à la recherche d’une faille. Une fois détectée, ils l’investissent. À partir du moment où une fraude exploite une faille — qu’elle soit humaine, technique ou organisationnelle — ou exploite les résultats d’une cyber-attaque, nous sommes effectivement au carrefour de la cybersécurité et de la lutte contre la fraude.

Les stratégies évoluent, presque en temps réel, au rythme des fraudes, protéiformes, de plus en plus nombreuses et complexes.  Je crois qu’il faut surtout sortir des approches en silos, tant d’un point de vue des solutions que organisationnelle. Trop souvent, les organisations multiplient les solutions. Également, les équipes cyber et fraude travaillent séparément, avec des outils, des indicateurs et des grilles de lecture différents. Ce cloisonnement crée des angles morts et augmente le risque de fraude.

Je recommande plutôt une approche intégrée de la lutte contre la fraude intégrant l’IA et l’expertise humaine pour détecter les comportements anormaux dès les premiers signaux faibles, qu’ils relèvent d’un bot malveillant, d’un faux client ou d’une fraude interne. Et cela passe par des outils hybrides, mais surtout par une gouvernance décloisonnée et collaborative.

Les fraudeurs utilisent aujourd’hui l’IA générative pour industrialiser les attaques : jusqu’où la sophistication peut-elle aller ? Et quel est aujourd’hui le vrai « point faible » des défenses ?

La sophistication va très loin. Deep Fake, Spoofing, Fraude-as-a-Service (FaaS) en sont de parfaits exemples. Les fraudeurs utilisent le dark web, les réseaux sociaux pour alimenter leur business. Les fraudeurs utilisent déjà l’IA générative pour automatiser des attaques construites sur-mesure : usurpation d’identité par deep fake, rédaction de mails de phishing hyper-ciblés, génération de faux documents bluffants, scripts de refund optimisés en langage naturel… On parle d’attaques scalables, réalistes, et adaptatives. Le vrai problème selon moi, ce n’est pas l’IA mais l’inertie face à sa vitesse. 

Pourtant, nous ne sommes pas démunis. L’analyse prédictive et temps réel des solutions anti-fraude, alimentée par l’IA, permet de déjouer de nombreuses fraudes. L’analyse comportementale, l’IA et sa puissance de calcul en temps réel, couplées à l’expertise humaine sont les meilleurs remparts à la fraude moderne. Ils vont permettre de détecter les signaux faibles d’une tentative de fraude, un comportement humain, utilisateur suspect, inapproprié, une fausse identité, un faux e-mail, une voix ou un visage trafiqué, etc. Ma conviction : il faut doubler la lutte anti-fraude de campagnes de prévention massives à destination du grand public. Car le consommateur est de plus en plus la cible d’attaques individuelles extrêmement réalistes jusque dans les détails, et redoutables dans leur utilisation des ressorts psychologiques anxiogènes.   

L’IA défensive repose sur des données historiques. Comment éviter de reproduire mécaniquement les angles morts passés face à des schémas d’attaque inédits ?

Le défi est de taille : si l’IA n’apprend pas du passé, difficile pour elle d’éclairer le futur.

De nombreux systèmes s’appuyant sur le machine learning ne font que reproduire ce qu’ils connaissent déjà. Conséquence : des fraudes passent les mailles du filet et ne sont pas détectées. 

La clé, c’est de varier les dispositifs. Le recours à la graphe data science permet, en structurant les données autour de “nœuds”, de sortir des mécanismes d’entraînement des IA prédictives et de voir en quasi temps réel les liens et les réseaux se former et se déployer de proche en proche. . L’analyse comportementale temps réel est aussi un bon moyen de relever ce défi : le recours à des données tiers pour corroborer les données déclaratives permet de ne pas tomber dans le piège des identités synthétiques de plus en plus crédibles forgées par les fraudeurs. Il faut aussi effectuer des exercices fictifs, comme une Red Team pour tester des scénarios différents, inédits. Enfin, la veille permet aux modèles de s’enrichir à partir des signaux faibles, de nouveaux vecteurs de fraude observés ailleurs, et de l’analyse croisée entre nos clients. Il faut superviser l’IA pour l’’adapter, car la fraude, elle, est évolutive, dynamique. 

La promesse du « 100% frictionless » est devenue une injonction dans beaucoup d’entreprises. Est-ce compatible avec une vraie stratégie antifraude, ou est-ce une bombe à retardement ?

Le “100% frictionless” est à double tranchant. Le parcours client doit être le plus fluide possible. Cependant, cela peut créer une brèche si l’absence ou le manque de contrôle est avéré. Le contrôle n’est pas toujours synonyme de friction. Les garde-fous anti-fraude doivent être invisibles. Ils laissent le client, l’utilisateur légitime accéder à son service, faire son achat sans aucun effort supplémentaire. En cas de doute, de comportement en ligne suspect, les outils de lutte contre la fraude sont les meilleurs alliés du frictionless. Grâce à l’analyse comportementale, en temps réel, à l’authentification contextuelle, à la corrélation des données, les solutions anti-fraude vont activer différents contrôles supplémentaires pour déjouer la tentative de fraude, protéger la marque, la banque et le consommateur contre toute usurpation, actes frauduleux. 

Lutte anti-fraude, sécurité et fluidité du parcours client ne sont pas antinomiques. Bien au contraire, les premiers s’adaptent, interviennent à bon escient afin de ne pas casser la relation de confiance ou entraver le parcours client sans raison. 

À l’ère de l’IA, quel doit être selon vous le vrai rôle de l’humain : contrôler, entraîner ou « casser » les certitudes des algorithmes ?

L’humain est le maillon fort de toute stratégie de lutte contre la fraude. L’IA ne le remplace(ra) pas, elle complète son action. L’IA fait en temps réel tout ce que l’humain ne peut pas faire du fait du nombre croissant et de la complexité des tentatives de fraudes. L’humain peut ainsi se concentrer sur des actions à haute valeur ajoutée. 

Il est indispensable pour challenger l’IA, la superviser. Il ne faut surtout pas tomber dans l’automatisation aveugle. L’humain reste l’initiateur et le décideur final. Nos équipes Red Team et Dark Web sont parties prenantes de la lutte contre la fraude. Ils veillent sur l’évolution des menaces, identifient les signaux faibles, croisent les données, testent différents scénarios pour apprendre des fraudeurs et leur répondre et les devancer. 

La lutte anti-fraude est selon moi une combinaison gagnante entre des IA rapides optimisées par l’intelligence humaine, sa capacité de discernement et d’action. 

La régulation impose la protection des données clients, mais complique la lutte contre la fraude. Où placez-vous la frontière entre protection des libertés et efficacité opérationnelle ?

On ne transige jamais avec la protection des données clients, il est parfaitement possible de détecter la fraude en respectant le RGPD. Par exemple, nous pouvons mutualiser les données de nos clients – et ainsi faire profiter à l’ensemble de la connaissance acquise chez chacun – car nous le faisons strictement dans le respect de notre finalité au sens du RGPD, à savoir la lutte contre la fraude.