4 conseils pour adopter l'innovation numérique sans risquer la fraude par prise de contrôle de compte et les frictions avec les clients
De nombreux commerçants et organismes de services en ligne sont confrontés à un paradoxe : Les clients demandent des services numériques plus pratiques alors que les cyberattaques ciblant le commerce électronique et les services en ligne augmentent en flèche, tant en nombre qu’en impact. Cela place les entreprises en ligne dans la position malheureuse d’essayer de répondre aux préférences des clients en matière d’innovation numérique tout en s’exposant à un risque accru de fraude et d’autres formes de cybercriminalité.
Au cœur de cette énigme se trouvent trois facteurs principaux. Premièrement, chaque nouveau service numérique ou site de commerce électronique déployé par les organisations élargit la surface d’attaque existante, offrant aux criminels une cible plus large et rendant la détection et l’atténuation plus complexes. Ensuite, dans la plupart des organisations, les groupes les plus concentrés sur la défense contre la cybercriminalité sont les équipes de sécurité et de fraude, qui existent souvent dans leurs propres silos, collaborant rarement sur la stratégie cybernétique ou les tactiques de défense. Cela entrave une approche coordonnée de la cybersécurité qui pourrait limiter ou prévenir les attaques et mettre fin plus rapidement aux violations et aux fraudes.
Enfin, et de manière quelque peu ironique, certaines habitudes et certains comportements des clients augmentent involontairement l’exposition des vendeurs et prestataires de services en ligne. Selon une étude de Google , environ deux tiers des consommateurs réutilisent les mêmes informations d’identification (noms d’utilisateur et mots de passe) sur plusieurs sites Web. Et qui peut les blâmer ? Il existe près de 33 millions de sites de commerce électronique sur Internet, selon un rapport de distribution de l'utilisation du commerce électronique de BuiltWith , et presque tous nécessiteront une forme de nom d'utilisateur et de mot de passe pour effectuer un achat.
Cependant, la réutilisation répétée des informations d’identification crée des vulnérabilités qui sont facilement exploitées par les cybercriminels et leurs armées de robots automatisés. Selon Hacker News , les informations d'identification volées ou compromises représentent 54 % de toutes les failles de sécurité, ouvrant la voie à l'un des vecteurs de cybermenace les plus impactants : la prise de contrôle de compte, ou ATO. À l’aide d’armées de robots, l’attaquant effectue des tentatives de connexion automatisées à grande échelle, une pratique appelée « bourrage d’informations d’identification », pour découvrir quelles paires d’informations d’identification sont valides sur plusieurs formulaires de connexion. Étant donné qu’une part importante des informations d’identification piratées serviront également à accéder à des comptes sur d’autres sites, les attaquants peuvent prendre le contrôle des comptes, modifier les informations d’identification pour bloquer le propriétaire légitime du compte, drainer les actifs et utiliser les comptes pour commettre des actes de fraude supplémentaires.
Les ATO ont bondi au premier semestre 2022, augmentant de 131 % par rapport à la même période de l'année précédente, selon un rapport de VentureBeat . Les impacts sont réels : Selon l' étude Javelin 2022 ID Fraud Study , 22 % des adultes américains ont été victimes de l'ATO, et les pertes liées à la fraude numérique devraient dépasser 343 milliards de dollars à l'échelle mondiale entre 2023 et 2027, selon les rapports d'American Banker .
Il semble clair que pour de nombreux services de commerce électronique et en ligne, l’adoption de l’innovation numérique augmente également le risque de cyberattaque et de pertes potentielles dues à la fraude. Mais cela ne signifie pas que les organisations doivent restreindre l’innovation et l’investissement dans de nouveaux services et expériences clients numériques. Cela signifie que les organisations doivent adopter l’innovation technique pour protéger leurs canaux numériques contre les menaces de sécurité et de fraude.
Quatre étapes pour protéger l'innovation numérique
Voici quatre mesures proactives que les entreprises peuvent prendre pour les aider à atténuer les risques au sein de leurs canaux numériques :
- Atténuer les robots malveillants. Plus de la moitié du trafic sur Internet provient de robots, et même si certains de ces robots sont utiles (chatbots, robots d'exploration des moteurs de recherche), la majorité sont malveillants. Les robots malveillants lancent des attaques automatisées qui volent des marchandises, thésaurisent des stocks, créent de faux comptes pour commettre des fraudes, ralentissent les performances du Web et des applications et effectuent des ATO via le bourrage d'informations d'identification. Prenez le contrôle de l'activité des robots sur vos réseaux et vos propriétés Web avec des solutions avancées d'atténuation des robots qui utilisent la collecte de signaux côté client riche, la collecte de données agrégées et l'apprentissage automatique pour empêcher les attaques de robots en temps réel en automatisant la prévention ATO.
- Arrêtez la fraude manuelle. Lorsque le retour sur investissement est suffisamment élevé, les attaquants contourneront les contrôles anti-automatisation avec une fraude manuelle plus difficile à surveiller. L’identification de la fraude ATO manuelle sur les canaux numériques nécessite d’évaluer la véracité de l’identité des utilisateurs et d’établir leur intention, mais cela doit être accompli sans impacter l’expérience utilisateur des clients légitimes. Les solutions anti-fraude sophistiquées d’aujourd’hui utilisent des systèmes basés sur l’IA formés sur des données humaines vérifiées pour évaluer la véracité et l’intention afin d’aider à mettre fin à la fraude manuelle en temps réel sans perturber le parcours client pour les clients réels.
- Brisez les cloisonnements organisationnels entre les équipes de sécurité et de fraude. Bien que les équipes de lutte contre la fraude et de sécurité soient confrontées aux complexités des cyberattaques, elles abordent souvent le problème sous des angles différents et avec des outils différents. Les équipes de sécurité protègent les réseaux informatiques et les applications externes contre les infiltrations et les exploits, tandis que les services de lutte contre la fraude se concentrent sur la protection des transactions numériques en ligne et la réponse aux incidents. Les deux équipes peuvent être confrontées aux conséquences du même incident ou du même exploit, mais si elles ne communiquent pas, les renseignements sur les menaces peuvent être perdus et l’ampleur de l’attaque peut ne pas être révélée, une situation qui ne profite qu’aux attaquants. La collaboration entre les équipes de lutte contre la fraude et de sécurité offre une meilleure visibilité sur les attaques, améliore la surveillance et la détection et permet des réponses plus ciblées.
- Réduisez la fraude sans interrompre l'expérience client. Si les organisations prennent des mesures pour atténuer le trafic automatisé des robots, mettent en place des protections contre la fraude manuelle et font converger les équipes de fraude et de sécurité pour une meilleure collaboration et une réponse plus efficace aux exploits, elles sont en mesure de réduire les défenses antifraude conventionnelles qui ajoutent des frictions à leurs processus de parcours client. En d'autres termes, lorsque le risque de fraude est contrôlé, les entreprises peuvent en grande partie supprimer les énigmes CAPTCHA irritantes et autres tests de réponse aux défis ennuyeux, offrant ainsi une expérience utilisateur grandement améliorée aux clients légitimes, sans introduire de risque de fraude dans vos canaux numériques.
Développer vos sites de commerce électronique et autres services numériques ne signifie pas nécessairement augmenter votre risque de cyberattaque. Les solutions avancées de lutte contre les robots et la fraude telles que F5 Distributed Cloud Bot Defense vous aident à garder une longueur d'avance sur les attaquants tout en éliminant les frictions de sécurité frustrantes pour améliorer la sécurité et l'expérience en ligne de vos clients. En utilisant des technologies sophistiquées telles que la modélisation des renseignements sur les menaces et l'apprentissage automatique pour détecter les techniques d'attaque, Distributed Cloud Bot Defense déploie des contre-mesures appropriées en temps réel pour lutter contre la fraude et l'ATO avec une efficacité maximale, permettant à votre organisation d'adopter l'innovation numérique sans risquer la fraude et les frictions avec les clients.
Pour découvrir l'impact économique des bots sur votre organisation, planifiez une séance de conseil gratuite sur le retour sur investissement de votre entreprise en matière de gestion des bots. Pour en savoir plus sur les attaques de « credential stuffing » qui conduisent à la prise de contrôle de compte, lisez l'eBook F5 Credential Stuffing 2022 : Les dernières tendances et outils d’attaque . Ou lisez cette présentation de la solution pour découvrir comment F5 Distributed Cloud Bot Defense peut vous aider à protéger vos canaux en ligne contre les attaques et la fraude.