Depuis longtemps, dans les services financiers, les techniques les plus avancées d'analyse de données sont mises au service de la lutte contre la fraude, à la fois parce que le sujet s'y prête et parce que les retours sur investissement peuvent être importants et rapides. NatWest nous offre aujourd'hui un exemple aux ambitions différentes.
La cible de son initiative est une catégorie de menace qui a pris une ampleur considérable dans les entreprises – en particulier les PME – en quelques mois. Elle consiste à utiliser diverses méthodes, telles que l'ingénierie sociale, afin de convaincre le service comptable de régler une facture par virement vers un compte illégitime. Il s'agira, par exemple, d'un escroc se faisant passer pour un collaborateur d'un fournisseur et demandant à modifier les coordonnées bancaires de ce dernier. La particularité de ces attaques est qu'elles sont souvent ponctuelles mais portent sur des montants élevés.
Bien que la banque écarte (légitimement, dans la plupart des cas) toute responsabilité dans les affaires de ce genre, elle est idéalement placée pour détecter et prévenir les anomalies, grâce à sa vision globale sur les flux. C'est justement le raisonnement que tient NatWest et qui a conduit à la mise en place de son dispositif. Alimenté par les millions de transactions traitées au fil du temps et un échantillon significatif de cas frauduleux, il « apprend » automatiquement à reconnaître les transferts suspects, les signale aux victimes potentielles et attend une validation avant de les exécuter.
La filiale de RBS affirme que, depuis l'introduction du système (développé avec Vocalink), l'année dernière, elle a évité plus de 7 millions de livres de pertes à ses clients. Or ce succès n'a pas d'impact direct sur ses résultats : où est son retour sur investissement ? En réalité, si elle voit dans ce projet une concrétisation de son engagement à contribuer à la sécurité des entreprises, l'enjeu est plus large et touche à la confiance dans la banque, son principal actif, qui repose de plus en plus sur sa capacité à protéger l'argent de ses clients en toutes circonstances et contre toutes sortes de menaces.
Les institutions financières ont encore beaucoup de chemin à parcourir pour remplir cette mission, qui deviendra rapidement critique pour leur survie. La solution mise en place par NatWest – dont j'espère, sans trop y croire, qu'elle n'est pas un cas isolé – n'est qu'un premier pas dans la bonne direction. À l'avenir, il faudra développer des réponses aux nouveaux types d'attaques plus rapidement, à défaut de pouvoir les pré-empter. À tort ou à raison, la confiance dépendra de cette capacité de défense étendue.