Le concept est relativement ancien mais, en dépit de la croissance exponentielle des menaces planant sur les services en ligne, le recours à des techniques d'analyse du comportement afin d'assurer leur sécurité reste marginal. CaixaBank, en collaboration avec Revelock, l'introduit maintenant (enfin !) dans son arsenal de cyberdéfense.
À l'ère de l'intelligence artificielle installée dans les moindres recoins de notre vie quotidienne, le principe semble pourtant ne pas présenter de complexité majeure. Une capture des interactions habituelles avec les outils bancaires disponibles sur le web permet d'abord d'établir une sorte d'empreinte du comportement normal de l'utilisateur. Par la suite, au fil des sessions et du suivi de la navigation, un contrôle permanent, silencieux, des gestes réalisés vérifie le concordance avec cette référence.
Deux catégories d'applications sont possibles et, en général, coexistent. Dans une situation ordinaire, l'accumulation d'indices confirmant que la personne connectée est légitime autorise une élévation de privilèges, c'est-à-dire, potentiellement, l'accès à des options sensibles sans requérir une opération intrusive supplémentaire de vérification (par exemple une authentification forte). L'expérience client s'en trouve améliorée.
L'autre facette est le cas d'un accès indésirable, notamment dans l'hypothèse d'une tentative de fraude. La détection d'un écart dans les modalités d'utilisation du site éveille rapidement les soupçons et, selon les implémentations, déclenche l'émission d'une alerte, vers la banque et/ou vers la victime supposée, voire engage une procédure immédiate de protection, soit en « éjectant » l'intrus, soit en exigeant une nouvelle identification.
Le système mis en place par CaixaBank, fourni par son partenaire de longue date (récemment acquis par Feedzai), exploite des technologies d'intelligence artificielle pour plus d'efficacité et de meilleures performances, comme la plupart de ses concurrents. Il intègre en outre au sein de ses algorithmes et autres modèles une connaissance diversifiée des risques (logiciels malveillants, failles connues des appareils, campagnes de hameçonnage…) qui renforce ses capacités de diagnostic et de prévention.
Bien qu'elle soit essentielle à leur promesse de valeur, cette intrusion de l'IA dans les solutions constitue probablement aussi un facteur d'hésitation pour les banques à qui elles s'adressent, justifiant leur adoption quasi confidentielle. En effet, il est difficile d'accepter qu'un logiciel dont les « raisonnements » précis sont opaques exerce une emprise directe sur l'expérience client. Et il n'est pas certain que l'ajout de facultés d'explicabilité, œuvrant nécessairement a posteriori, suffise à renverser la tendance.
Il faudra pourtant en passer par là, autant pour répondre aux enjeux de cybersécurité que, dans un tout autre registre, pour offrir les services ultra-personnalisés que demandent les consommateurs (et les entreprises). Il s'agit là d'une des principales raisons pour lesquelles une sensibilisation et une formation ad hoc à l'IA sont indispensables, dans une logique de démystification, et elles devront s'accompagner de la définition et du déploiement de garde-fous extrêmement rigoureux afin d'éviter les catastrophes.