Alain Deladrière
Le récent forum SAS placé sous le signe ‘Analytics everywhere’ a réuni 900 personnes à The Egg à Bruxelles. Parmi les 5 tracks proposés, Risk & Compliance Platform Europe a suivi la filière intitulée « Optimize fraude detection, security and risk ». Une optimisation qui passe par l’analytique comme nous l’ont souligné Jeroen Van Godtsenhoven, Managing Director SAS Belux, et Michel Philippens, Principal Analytics Advisor.
Kaspersky et ISACA évaluent à 150 millions de dollars le coût moyen des violations de données d’ici 2020. Plus d’1 organisation sur 4 a subi une attaque APT (Advances Persistent Threat) à ce jour. Les entreprises doivent faire face à une recrudescence du nombre d’attaques contre lesquelles elles ne sont pas en mesure de se protéger par leurs propres moyens. D’autre part, la lutte contre la fraude et les cyberattaques passe par une digitalisation (numérisation) accrue.
Quelles sont les réponses apportées pour optimiser la sécurité, une politique de risques et la détection de fraudes sans oublier les réponses pour respecter la conformité ?
Michel Philippens : « La partie sécurité et fraude est très importante pour SAS. Nous vivons dans un monde de plus en plus digital où les processus sont automatisés passant par des canaux mobiles Web créant beaucoup de possibilités pour les consommateurs mais générant également de nombreux problèmes de sécurité. Nous sommes donc face à ces deux aspects de l’évolution digitale, des opportunités mais également des possibilités accrues pour les fraudeurs et ceux qui pratiquent des emplois abusifs..
Nous pensons que les bons systèmes pour éviter les fraudes sont cruciaux dans un monde numérisé. Si l’on veut continuer à utiliser les nombreuses innovations, il faut disposer de systèmes performants de détection de fraude et de violation de sécurité pour protéger les utilisateurs et les données. Les systèmes de détection constituent un facteur clé pour tout ce qui est digital. C’est d’ailleurs ainsi que nos clients les voient. Nous sommes actifs dans plusieurs domaines de fraude et de sécurité. Nous sommes présents dans les banques notamment pour les projets de fraude au paiement via le Web ou les appareils mobiles. Il existe beaucoup de schémas de fraude intéressants qui vont des malwares au phising… Dans les assurances, je citerai tout ce qui touche les fraudes aux revendications (claim fraude). La digitalisation est aussi présente. Les assureurs veulent s’orienter vers un processus de claim handling automatisé digital. Ils peuvent, par exemple, décider automatiquement de procéder à un paiement pour éviter toute intervention manuelle. Certains essaient cependant de frauder et de manipuler les données. S’ajoute à cela la sphère gouvernementale avec des fraudes au niveau social et fiscal.
Nous croyons que les réponses à la problématique fraude se situent dans l’application optimisée de l’analytique sécurité, protection et détection de fraudes. J’ai cité la banque, les assurances et la partie gouvernementale; il faut ajouter un domaine transversal, la cybersécurité pertinente pour toutes les organisations : comment se protéger contre les APT, protéger les informations sensibles liées aux données pour qu’elles ne sortent pas de l’entreprise par le biais d’APT, de malwares qui entrent dans les systèmes.»
Une approche analytique qui repose sur 3 piliers
Le premier pilier est l’utilisation des données contextuelles. Pour révéler une fraude, il faut ajouter des données contextuelles pour affiner. Par exemple, dans le contexte des paiements mobiles : une transaction d’un client vers un compte extérieur. Qui est le client ? Quel est son profil ? Quel est le profil du compte destinataire : il est situé dans quel pays? Y a-t-il déjà eu des versements entre les comptes? Quelle est l’adresse IP de l’ordinateur qui a initié la session web associé avec le paiement ? Tous ces éléments créent un contexte qui permet de décider s’il y a quelque chose d’interpellant. Il en va de même pour la détection des APT (les « menaces persistantes avancées ». Leur but est de compromettre un ordinateur sur lequel on peut trouver des informations de valeur). Dans une entreprise, il y a chaque jour des millions d’interactions d’informations entre des ordinateurs. Pour chaque interaction entre machines, il n’est pas possible de déduire si c’est suspect ou non, d’où à nouveau l’ajout de contexte. C’est en liant les interactions des ordinateurs avec le profil des utilisateurs de ces ordinateurs qu’on peut identifier les anomalies. Quand par exemple, un ordinateur de l’équipe finance commence à se comporter comme un ordinateur de l’équipe IT, cela constitue un signal alarmant.
Le deuxième pilier concerne tout ce qui est analyse de données. Il existe toute une panoplie de techniques analytiques. D’abord les techniques de « supervised machine learning » qu’on va utiliser pour apprendre des cas frauduleux historiques. En 2013 et 2014, par exemple, des milliers d’attaques de phishing ont été enregistrées en Belgique. Sur base des données historiques sur ces attaques, on peut étudier les cas frauduleux, analyser toutes les données et intégrer dans une sorte d’algorithme les caractéristiques typiques des cas frauduleux. Ensuite, l’algorithme va être capable d’établir des prédictions assez précises sur la probabilité de fraude en se basant sur tous les données contextuelles qu’on a collectionnées. Pour les APT, assez nouvelles, on ne peut pas appliquer ces techniques car on ne dispose pas de référence historique. Dès lors, on recourra à des techniques dites « unsupervised ». On étudiera le comportement normal par exemple de l’ordinateur d’un utilisateur human ressources; si quelque chose se produit qui se distingue fortement du comportement normal, il est possible de créer des alertes. « Que vous utilisiez des techniques supervisées, non-supervisées ou une combinaison des deux, notre expérience montre que la logique de détection est nettement plus précise et efficace quand basée sur l’analyse factuelle des données historiques. »
Le troisième pilier vise à être capable d’utiliser ces techniques analytiques et de collecter toutes ces données au bon moment, qui est souvent en temps réel. Si l’on parle de paiement mobile en banking, par exemple, de plus en plus l’argent sortira de la banque quand la transaction s’effectue. Cela veut dire qu’au moment où cela se produit, il faut être prêt avec la détection automatisée prenant en compte toutes les données contextuelles.
Jeroen Van Godtsenhoven : « L’analytique, la détection de fraudes et la conformité sont cruciales et font donc partie de notre core approche parce que le retour sur l’usage de l’analytique dans ce contexte est énorme. Quand on utilise l’analytique pour arrêter des schémas de fraude, on parle de millions d’euros. La hauteur des amendes aujourd’hui par rapport à des infractions en matière de conformité, par exemple, est tellement importante que l’investissement dans l’analytique est vraiment une nécessité pour les entreprises.
En matière de fraude, de cybersécurité, etc. on laisse toujours une trace, un ‘fingerprint’ que l’on relève dans les données. Le problème est qu’il y a tellement de données que ces empreintes sont difficiles à trouver. C’est là que SAS apporte une valeur ajoutée en appliquant des méthodes analytiques avancées. Et pour revenir au thème de ce forum ‘Analytics in action’, comme le soulignait Michel, il faut opérer les détections quand elles se produisent et où elles se produisent. Aujourd’hui, on applique les analyses là où les transactions ont lieu et la machine elle-même apprend à opérer la distinction entre ce qui est normal et ce qui ne l’est pas. »
Dans un prochain volet, nous aborderons les thèmes de l’implication des entreprises dans des domaines cruciaux comme la détection de fraudes, des risques et le respect de la conformité ainsi que la protection des données personnelles.