BLOG

Fraude: Moins c'est plus

Miniature de Joshua Goldfarb
Josué Goldfarb
Publié le 17 juin 2022

Dans son livre Megatrends , publié en 1982, John Naisbitt écrit : « Nous sommes submergés d’informations mais affamés de connaissances. » C’est l’une de mes citations préférées, car je trouve qu’elle reflète avec précision l’état de nombreuses choses dans la vie moderne. 

En particulier, il décrit succinctement l’état de nombreux programmes de gestion des risques et de lutte contre la fraude au sein des entreprises. Malheureusement, bon nombre de ces programmes souffrent de niveaux élevés de faux positifs et d’autres « bruits » qui réduisent leur efficacité.

Pour comprendre pourquoi le bruit constitue un tel problème dans la gestion de la fraude et des risques, nous devons d’abord comprendre ses conséquences pour l’entreprise. Bien que cette liste ne soit pas exhaustive, en voici quelques-uns essentiels :

  • Cycles gaspillés : Lorsque les équipes de lutte contre la fraude créent un flux de travail autour d’une file d’attente de travail centralisée, tous les événements de la file d’attente doivent être hiérarchisés et examinés. Le bruit remplit cette file d’attente avec des éléments qui doivent être examinés mais qui n’ajoutent pas de valeur au programme de fraude et de risque. En d’autres termes, le bruit gaspille les précieux cycles de l’équipe.
  • Vrais positifs manqués : L’expression « chercher une aiguille dans une botte de foin » est une bonne façon de décrire ce que signifie rechercher une fraude parmi le grand volume de données et d’événements que l’entreprise type voit. Dans cette analogie, l’aiguille représente les vrais positifs (incidents de fraude), tandis que la botte de foin représente les faux positifs qui ne sont pas des fraudes. Plus il y a de faux positifs, plus il est difficile de trouver les vrais positifs.
  • Augmentation des coûts d’infrastructure : Le bruit a également un coût en termes d’infrastructure. Chaque journal, alerte et événement, qu’il ajoute ou non de la valeur au programme de lutte contre la fraude et les risques, doit être conservé. Ainsi, si l’équipe collecte une grande quantité d’informations qui n’ajoutent que peu ou pas de valeur, elle utilise simplement une infrastructure excédentaire. Cela implique un coût qui réduit le budget des domaines dans lesquels il pourrait apporter une valeur ajoutée significative.
  • Métriques biaisées : Les faux positifs ont pris l’habitude de fausser les statistiques. Certaines mesures, notamment celles qui se concentrent sur le pourcentage de temps consacré aux véritables incidents de fraude, les ratios de vrais positifs par rapport aux faux positifs, le volume d'événements, le nombre d'événements traités, le temps d'analyse par événement et d'autres seront fortement affectés par le volume de bruit. Plus le taux de faux positifs est faible, plus ces mesures seront précises et favorables.

Connaître quelques-unes des raisons pour lesquelles les faux positifs et le bruit affectent négativement notre programme de lutte contre la fraude nous aide à élaborer un plan pour résoudre le problème. Voici quelques suggestions que j’ai trouvées utiles au cours de ma carrière :

  • Commencer par le risque : Sans surprise, tous les chemins vers le succès commencent par une solide compréhension et un engagement envers le risque.  Évaluez les risques et les menaces pour l’entreprise, comprenez ce qu’ils affectent au sein de l’entreprise et découvrez les coûts/pertes potentiels associés à chacun d’eux.
  • Fixez-vous des objectifs et des priorités : Choisir ce qu’il faut traiter et quand est l’une des décisions stratégiques les plus importantes qu’une équipe de lutte contre la fraude et les risques puisse prendre. Hiérarchisez les risques et les menaces énumérés à l’étape précédente et définissez des objectifs et des priorités qui seront traités à court et à long terme.
  • Évaluer l’impact : L’identification des actifs critiques, des ressources clés et des magasins de données importants, entre autres, aide l’équipe à comprendre l’impact potentiel d’un incident. Savoir où se trouvent les actifs, les ressources et les données les plus sensibles et les plus importants aide l’équipe à se concentrer sur les lacunes en matière de télémétrie.
  • Identifier les données et les lacunes : Comprendre la collecte de télémétrie existante et évaluer si chaque source de données contribue au programme de fraude et de risque. Si ce n’est pas le cas, la collecte ne fait qu’ajouter des coûts d’infrastructure sans ajouter de valeur. Identifiez les lacunes dans la télémétrie qui laissent l’équipe aveugle aux fraudes potentielles et élaborez un plan pour combler ces lacunes.
  • Tenez compte de la technologie et des lacunes : Examinez attentivement la technologie existante en place, examinez où elle est utile, comme la détection fiable des fraudes avec de faibles volumes de faux positifs, la collecte de données de télémétrie précieuses et/ou l’amélioration de l’efficacité des processus et des flux de travail. Gardez un œil attentif sur les domaines dans lesquels la technologie combat, plutôt que d’aider, l’équipe de lutte contre la fraude, ainsi que sur les lacunes en matière de télémétrie et de détection.
  • Jetez les règles et les signatures bruyantes : Les règles, les signatures et autres techniques de détection qui génèrent un volume important de bruit n’ajoutent pas de valeur au programme de lutte contre la fraude. Au lieu de cela, ils enfouissent l’équipe dans de faux positifs et travaillent activement contre la détection rapide et précise des incidents de fraude. Cela peut paraître radical, mais il y a bien plus d’avantages à se débarrasser de ces mécanismes de détection bruyants que d’inconvénients.
  • Mettre en œuvre une détection stricte : Adopter véritablement la philosophie « moins c’est plus » implique de comprendre la nécessité d’interroger les données de manière incisive et de produire des alertes et des événements de haute fidélité et de haute fiabilité. Bien que la mise en œuvre d’approches de détection plus sophistiquées nécessite un investissement en temps important au départ, elle s’avère très rentable.  Plus les alertes et les événements sont efficaces, plus le signal sera important et moins la file d'attente de travail sera bruyante.
  • Se concentrer sur le processus : La file d’attente de travail de la plus haute qualité au monde ne sera d’aucune aide lorsque les processus sont interrompus ou inexistants. Une équipe de lutte contre la fraude de classe mondiale dispose de processus matures, efficaces et efficients qui guident et régissent son travail.
  • Améliorer continuellement : Aucune équipe de lutte contre la fraude n’est parfaite, et les meilleures équipes de lutte contre la fraude sont parfaitement conscientes de leurs faiblesses et de leurs possibilités d’amélioration. Tirer les leçons de chacun des points ci-dessus et les utiliser pour améliorer en permanence le programme de lutte contre la fraude est essentiel au succès à long terme de l’équipe de lutte contre la fraude.

L’idée reçue selon laquelle plus de données, plus d’événements et plus d’alertes permettent une meilleure détection des fraudes est dépassée et erronée. En se concentrant stratégiquement sur le risque et en adoptant une approche méthodique visant à réduire le bruit, les entreprises peuvent améliorer à la fois l’état de leur détection de fraude et la maturité de leurs programmes de lutte contre la fraude. L’amélioration du rapport signal/bruit et l’adoption de la philosophie « moins c’est plus » pour la détection des fraudes peuvent aider les entreprises à détecter davantage de fraudes tout en gaspillant beaucoup moins de ressources sur les faux positifs.

Vous souhaitez en savoir plus ? Venez discuter avec Josh à Infosecurity Europe du 21 au 22 juin (Stand P20) .