Face au digital bien ancré dans les mœurs des entreprises modernes et des établissements de service, on assiste à une démultiplication des attaques informatiques : phishing, vol de mot de passe, usurpation d’identité, vol de données massives… Le secteur bancaire enregistre pour sa part plusieurs millions de cas de fraudes chaque année concernant l’utilisation des moyens de paiement. Parmi les crises importantes de ces dernières années, le cas Tesco Banque (fin 2016 en Grande-Bretagne) a défrayé les chroniques avec des dizaines de milliers de comptes clients piratés. Les banques ont donc fait état de 9000 comptes sur lesquels les mouvements frauduleux ont été découverts et l’incident a nécessité le blocage du système de paiement en ligne ainsi qu’une énorme indemnisation.
Depuis il s’est avéré la nécessité d’un renforcement de la gestion des fraudes non détectées, pour éviter des suites extrêmement préjudiciables sur divers aspects comme la finance, l’image de marque, la confiance client, les opérations, etc. Cela étant dit, les banques elles-mêmes ont fait face à des techniques de fraude très évoluées, en créant et en optimisant des dispositifs de lutte, sans pour autant compromettre l’expérience client. Comment Société Générale s’y prend avec la donne actuelle ?
La solution “machine learning” : limites des protections classiques
De manière générale, SG entend répondre aux attaques en améliorant le parcours client. Pour ce faire, elle entreprend de sécuriser les opérations sensibles, de détecter rapidement la fraude, et d’occasionner une plus grande réactivité. En même temps, cela entraîne plus de fluidité et de simplicité dans les opérations.
Actuellement, ce processus se base sur une authentification à double facteur (la carte et le code notamment). C’est une solution de protection multiple qui a longtemps constitué une première couche de protection importante en matière de paiement et pour d’autres opérations délicates. Mais qu’elle soit simple ou à double facteur, l’authentification est généralement le premier niveau de sécurité mis à l’épreuve par les fraudeurs. Aussi, les banques ont-elles mis en œuvre des pratiques additionnelles de protection comme la temporisation des opérations, la limitation des prestations ou encore d’autres systèmes. Mais en même temps, elles ont participé à une dégradation de l’expérience client.
En matière de détection de fraude, la technique traditionnelle repose sur un rapprochement avec des schémas de fraude déjà rencontrés par le passé. Cela consiste globalement à appliquer des règles d’usage commun touchant les mouvements bancaires comme la détection unitaire (alerte en cas de non-respect d’une règle métier comme le virement vers un compte / IBAN sous surveillance), ou encore la corrélation d’événements (mise en œuvre de règles métiers avancées associant divers types de données pour générer une alerte). Cela étant dit devant la complexité et la diversité des attaques, il faut des stratégies de détection plus évoluées et induisant une meilleure connaissance client.
Ces limites et ces inconvénients ont encouragé davantage de recherche et de développement entourant des systèmes plus avancés en matière de détection et de réaction contre les fraudes. Les réglementations en matière bancaire elles-mêmes exigent des établissements financiers de réfléchir au-delà de la simple authentification, en usant de prouesses techniques pour détecter en temps réel des faits frauduleux ou même seulement douteux.
Ceci amène à davantage de recours à la Big data des banques et à la mise en œuvre d’approches innovantes utilisant algorithmes et technologies de data analytics.
Machine learning et protection bancaire chez Société Générale
L’objectif dans la mise en œuvre d’un mécanisme de sécurité bancaire orienté machine learning est de favoriser une détection proactive des fraudes. Il s’agit désormais d’utiliser des algorithmes d’apprentissage automatique alimentées Big data qui apprennent, non plus avec des instructions, mais via à des exemples de corrélations détectées au sein d’échantillons de données. L’outil algorithmique en question minimise ainsi la supervision humaine.
La création et l’exploitation d’un programme de machine learning passe par trois étapes, à savoir :
- La collecte des données de natures diverses au niveau interne (métier, comportement, satisfaction, techniques…) ou externe (réseaux et médias sociaux, sites d’actualités, données partenaires, etc.)
- L’apprentissage : en utilisant tous les types de données, le modèle arrive de façon autonome à établir des corrélations statistiques, des modalités décisionnelles et des éléments précis pour affiner la détection.
- La prédiction : c’est l’étape d’exploitation de l’intelligence artificielle mise en place. Le modèle exploite les données entrantes de façon immédiate. La prédiction consiste à établir des scores de niveau de risque : 0 pour une opération évidente, 100 pour une fraude notoire.
Pour plus de précisions sur le machine learning ou deep learning de Société Générale, cette technique appliquée à la banque en ligne débute avec la création d’un profil client, régulièrement mis à jour sur la base de données variées (historiques d’opérations, terminaux utilisés, paramètres et habitudes de connexion…) En comparant les données du profil client avec l’activité détectée en temps réel sur un terminal via la carte bancaire par exemple, il est possible de prédire le caractère frauduleux de l’opération en cours.
Machine learning anti-fraude : les enjeux pour SG
Le programme de sécurité des Systèmes d’Information de Société Générale vise aussi bien la mise en place de dispositifs innovants et intelligents capables de détecter les événements « frauduleux », que le renforcement des dispositifs de lutte contre la fuite d’information. Cela implique un certain nombre de gageures :
- Mettre en place un outil de sécurisation transverse capable de réunir et d’exploiter des datas multicanales et permettant d’avoir une stratégie globale de lutte anti-fraude : une solution qui cible tous les aspects de la banque (banque en ligne, monétique, etc.) et non plus un seul canal à la fois.
- Garder une pratique éthique des techniques du machine learning : tout d’abord, assurer une mise en place transparente et une grande vigilance dans l’utilisation des données clients, pour garantir la régularité de la banque vis-à-vis des réglementations (Loi informatique et libertés ou LIL, Règlement européen pour la protection des données personnelles ou RGPD). Ensuite préserver son image de marque et sa relation de confiance avec la clientèle.
- Éviter autant que possible les faux positifs qui peuvent même apparaître à la mise en place des systèmes de machine learning.
La machine learning à la manière des banques vise toujours à éviter de gêner les clients. Pour y arriver facilement, la SG a opté pour la mise en œuvre d’une étroite collaboration entre des équipes de data science et Big data d’une part, et les Responsables clientèle d’autre part. La banque s’est aussi efforcée de favoriser davantage les profils donnés par les data scientists et de s’orienter surtout vers la réactivité.
Vous souhaitez vous former au Big Data ? Retrouvez les formations Data Full Stack et Data Analyst qui vous forment aux métiers de Data Analyst, Data Scientist, Data Engineer et AI Scientist.
Merci pour votre lecture ! Si vous souhaitez lire nos prochains articles autour de la Data et de l’IA, vous pouvez nous suivre sur Facebook, LinkedIn et Twitter pour être notifié lorsqu’un nouvel article est publié !
