Jean-Michel Schneider (Responsable France ACI) Jean-Michel Schneider (ACI) : "Le système doit identifier l'opération de skimming et couper le distributeur"
Afin de lutter contre la fraude bancaire sur Internet, et bientôt sur mobile, ACI fournit un progiciel de traitement des transactions comprenant un moteur de règles expertes et d'analyse comportementale.
Comment proposez-vous de lutter contre la fraude bancaire ?
Il convient d'abord de préciser qu'ACI est un spécialiste des moyens de paiement électroniques : carte de crédit, virement, prélèvements, ... Le traitement des transactions réalisées électroniquement constitue notre cœur de métier. Pour cela nous fournissons aux établissements financiers un progiciel pour traiter les paiements, aussi bien pour ce qui relève de l'acquisition que du backoffice - compensation, crédit, débits...
Dans le cadre du traitement des transactions que nos logiciels permettent, l'aspect fraude prend logiquement un rôle important. En raison de l'explosion des paiements électroniques, les cybercriminels ont mis au point des stratagèmes pour frauder les clients des banques. Les technologies évoluent et malheureusement les méthodes de fraude changent elles aussi.
Pour détecter les fraudes, dans le cadre d'une transaction, il est déjà indispensable de faire de l'authentification du porteur en vérifiant notamment le numéro de carte. A cela, nous ajoutons un outil de détection : ACI Proactif Risk Manager. La spécificité de ce module est que pour une transaction authentifiée, il va analyser l'historique du porteur, dont son point d'origine, et appliquer une règle d'ubiquité. Si par exemple une transaction est réalisée à Paris à 10h et une autre à 10h02 à Madrid du même porteur, la probabilité qu'il s'agisse d'une fraude est grande.
"Nous analysons les opérations bancaires pour les comparer à un historique"
L'application est donc basée sur des règles expertes analysant les éléments de la transaction. Sur la base de cette analyse, le système définit un score, soit une recommandation d'approuver ou non l'opération, selon des seuils préétablis. La décision de la banque sera basée sur cette valeur. Elle demeure maîtresse de son métier.
Vous avez adopté une approche dite d'IP profiling. De quoi s'agit-il ?
Dans le cadre de l'analyse, le système peut catégoriser en deux blocs : les éléments du porteur ou émetteur, mais aussi réaliser une analyse sur le point d'acquisition. On parle ici de fraude acquéreur. Un point d'acquisition peut être un distributeur de billets, un terminal de paiement, un PC connecté à Internet faisant un achat en ligne, etc.
Or tous ces points disposent d'un numéro d'identification. Si sur un DAB donné est détecté un grand nombre de tentatives de retraits successifs, le système doit identifier l'opération de skimming et couper automatiquement le distributeur.
Le principe est le même pour des transactions réalisées sur Internet via des scripts conçus pour tester des cartes. Si pour une même IP, trois essais avec des cartes différentes échouent, il y a une probabilité de fraude. Eunexus, dont nous sommes partenaire, collecte ainsi les adresses IP que nous utilisons ensuite dans nos analyses. Grâce à ce croisement de données, nous analysons les opérations bancaires pour les comparer avec un historique afin de fournir un score sur lequel la banque appuiera sa décision.
Ce profiling peut concerner aussi bien le porteur d'une carte que l'adresse IP elle-même en lui définissant un profil, un comportement. Une IP pourra par exemple être principalement utilisée pour des achats de voyages ou des paiements de 100 à 200 euros. Ce principe permet de créer des catégories dans l'application et d'appliquer des règles spécifiques à des profils, un peu en quelque sorte à la manière des outils de CRM, mais avec pour finalité de protéger contre la fraude.
La sécurité des transactions sur mobile est-elle également envisageable ?
Le m-paiement est amené à croître avec comme objectif de remplacer le micro cash, c'est-à-dire les petits achats comme le parking ou le pain. Selon l'ampleur de ce mode de paiement, les banques seront sans doute amenées à lutter contre la fraude.
Nous considérons donc le téléphone portable comme autre point d'acquisition, au même titre qu'un DAB. Par conséquent, toutes les règles définies dans le progiciel sont applicables au mobile. Il est possible également de définir des profils. Ainsi un utilisateur consommera via son portable plutôt du cinéma et des achats de sonneries.