WHITE PAPER

Des bots à la salle de conférence : comment les robots malveillants influent défavorablement sur votre bilan

Les robots malveillants sont plus qu’un problème de sécurité

Les robots malveillants entraînent des coûts financiers importants pour les entreprises : ils s’emparent des comptes des clients à l’aide du credential stuffing (bourrage d’identifiants) et ralentissent les performances des sites web et des applications grâce au scraping (ratissage de contenu). Les robots frustrent également les clients fidèles et empêchent d’effectuer des achats par le biais du scalping (micro spéculation) et de l’accaparement de stocks, volent les cartes cadeaux et les points de fidélité grâce à l’énumération, et accumulent des remboursements indus en validant les données de cartes bancaires volées. Les stratégies inefficaces d’atténuation des bots, comme les CAPTCHA et la multiplication de l’authentification multifactorielle, créent des frictions sur le plan de la sécurité. Il en résulte une perte de chiffre d’affaires, due à la baisse des taux de conversion et aux abandons des paniers.

Les coûts que les criminels imposent par le biais des robots sont si variés qu’il peut être difficile pour les professionnels de la sécurité d’expliquer aux dirigeants d’une organisation l’impact économique et opérationnel global du trafic de robots malveillants. Ce livre blanc présente une vue d’ensemble des impacts quantitatifs et qualitatifs des attaques automatisées de robots ainsi que les avantages commerciaux d’une gestion efficace des robots. Nous souhaitons que ce document serve de point de départ à des conversations entre les équipes chargées de la sécurité informatique et de la lutte contre la fraude et la direction de l’entreprise, en ce qui concerne l’impact des attaques de robots malveillants sur le chiffre d’affaires et les avantages financiers significatifs des technologies de défense efficaces contre les robots.

« Les attaques de robots malveillants sont plus qu’une menace pour l’infrastructure de sécurité : elles représentent un défi commercial qui doit être relevé pour préserver les opérations commerciales et la santé financière de votre organisation. »

Présenter la menace économique des attaques de robot à la direction de l’entreprise

Une série de nouveaux rapports de recherche ont mis en évidence les conséquences financières et commerciales des attaques automatisées par des robots, ce qui permet aux professionnels de la sécurité de mettre en évidence l’impact fiscal de la cybercriminalité et de discuter du retour sur investissement des solutions anti-bot avec les dirigeants d’entreprise. Ces informations peuvent aider les équipes de sécurité à élever le niveau des discussions critiques concernant l’effet économique des attaques de robots sur la santé financière d’une organisation.

Les robots représentent jusqu’à 40 % du trafic en ligne mondial et constituent une cause majeure de cyberattaques, d’après un rapport d’Aite-Novarica Group.. Selon des recherches citées par la Global Privacy Assembly, une association regroupant plus de 130 régulateurs et responsables de la protection des données et de la vie privée, 193 milliards d’attaques par credential stuffing pilotées par des bots se sont produites dans le monde en 2020, ce qui équivaut à plus de 16 milliards d’attaques par mois et plus de 500 millions d’attaques par jour. Ces attaques peuvent avoir de graves conséquences économiques : les pertes mondiales liées à la fraude en ligne devraient dépasser 48 milliards de dollars par an d’ici 2023, d’après les conclusions d’un rapport de Juniper Research.

Économie de la gestion des robots

Des stratégies efficaces de gestion des robots permettent d’améliorer la gestion des coûts, de renforcer l’efficacité opérationnelle, de réduire les risques commerciaux et financiers, et de contrôler les dépenses informatiques : tous ces éléments ont des répercussions positives directes sur la réussite financière de votre organisation. De plus, une détection précise des robots, qui ne repose pas sur des contrôles pénibles pour utilisateurs, permet d’améliorer le chiffre d’affaires et de fidéliser les clients.

Impact économique des attaques de robots

Les robots malveillants sont à l’origine d’un large éventail d’attaques automatisées qui ont un impact économique négatif direct sur les organisations, tant sur le chiffre d’affaires que sur le coût des activités. Parmi elles, on retrouve :

Attaques de robots courantes et coûts par secteur d’activité

Table de conférence

Impacts quantitatifs et qualitatifs des coûts associés aux robots

La gestion des robots est devenue un sujet de conversation pour le conseil d’administration. Vous trouverez ci-dessous des mesures quantitatives et qualitatives qui vous aideront à démontrer qu’une bonne stratégie en matière de robots est désormais une question économique fondamentale.

Les coûts en termes de finances, de fonctionnement et de réputation représentent les principaux impacts des attaques par robots automatisées.  

Coûts quantitatifs en termes de recettes financières et de réputation

Les attaques par robots automatisées peuvent également provoquer directement des pertes financières et des manques à gagner :

  • Perte de la confiance des clients après une prise de contrôle du compte. Les clients ont toutes les raisons d’être mécontents quand les défaillances des défenses anti-bots d’une organisation entraînent une prise de contrôle des comptes (ATO) et une activité frauduleuse coûteuse. Les conséquences sont lourdes : dégradation de la satisfaction client, dommages à la réputation et pertes de relations commerciales. Plus d’un quart des consommateurs américains interrogés déclarent qu’ils changeraient de banque s’ils n’étaient pas satisfaits des mesures mises en place pour intervenir en cas de fraude. 
  • Augmentation des pertes dues à la fraude et aux remboursements. Les attaques d’ATO menées par des robots et la création de comptes frauduleux ont un impact sur les résultats lorsque les criminels utilisent des identifiants volés pour effectuer des achats ou créer de faux comptes. Les remboursements indus nuisent à la réputation du commerçant auprès des sociétés de carte bancaire et entraînent des pénalités.
  • Augmentation des coûts de main-d’œuvre. Les attaques de robots comme le credential stuffing, qui conduisent à des ATO, nécessitent des enquêtes par les analystes des fraudes et les détournent d’investigations approfondies plus importantes. Même lorsque les robots de credential stuffing ne parviennent pas à prendre le contrôle, ils bloquent souvent les comptes en essayant plusieurs mots de passe à la suite rapidement ; les clients se retrouvent obligés d’appeler le service d’assistance, ce qui augmente les coûts à chaque appel.
  • Déformation des évaluations des investisseurs. Lorsque la valorisation d’une société cotée en bourse dépend du nombre d’abonnés, d’utilisateurs ou d’engagements, la présence de comptes robots non humains peut grandement fausser les évaluations. Par exemple, les récentes tentatives pour parvenir à une évaluation précise de Twitter, basée sur le nombre de comptes gérés par des humains par rapport aux bots, ont fait la Une de journaux en 2022. 
  • Confusion entre robots et humains, et inversement, avec des solutions d’atténuation peu fiables. De mauvaises mesures d’atténuation des bots peuvent provoquer ces erreurs, mais il faut les limiter et les prévenir. Les faux positifs (lorsqu’un outil de gestion des robots accuse un humain réel d’être un robot) et les faux négatifs (lorsque l’outil prend un robot pour un humain) ont tous deux un impact sur le chiffre d’affaires et les bénéfices. L’un vous fera perdre des clients et l’autre vous fera subir les effets de la fraude. En réalité, un faux positif qui empêche un client stratégique d’effectuer un transfert d’argent peut être plus dommageable pour une banque qu’un faux négatif qui entraîne une fraude ou un remboursement. Les deux situations nécessiteront également le temps et le travail d’un analyste des fraudes pour les enquêtes qui en découlent.
  • Défaillances dans la protection des données des consommateurs. La législation et les normes telles que le Règlement général sur la protection des données (RGPD) au sein de l’UE, la Loi californienne sur la protection des consommateurs (CCPA) et le Payment Card Industry Data Security Standard (PCI-DSS) sont conçus pour garantir la confidentialité des données des consommateurs et imposer d’importantes sanctions pécuniaires en cas de violation des données. Ce sont principalement les attaques par ATO et par ratissage de contenu qui exposent des données privées à des robots. Les violations de données résultant du non-respect de ces réglementations peuvent être très coûteuses : dans le cadre du RGPD, les autorités de protection des données de l’UE peuvent imposer des amendes pouvant aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial de l’exercice précédent.

Dépenses opérationnelles quantitatives

Les attaques de robots n’ont pas seulement un impact sur le chiffre d’affaires. Elles augmentent également le coût de fonctionnement des entreprises :

  • Entrave aux performances et à la disponibilité des applications, avec un risque d’augmentation des coûts d’infrastructure. Les attaques de ratissage automatique, en raison de leur volume, peuvent compromettre les performances des applications et des plateformes. Si elles ne sont pas contrôlées, elles peuvent nécessiter un surinvestissement dans les capacités de l’infrastructure et entraîner des frais supplémentaires d’utilisation du cloud pour maintenir les niveaux de performance requis.
  • Réduction de la disponibilité des applications et de la résilience de l’entreprise. Les applications web qui sont submergées par l’activité des robots ne sont plus disponibles pour répondre aux demandes des clients en temps réel et permettre l’activité de commerce électronique, avec de lourdes conséquences perte de chiffre d’affaires, atteinte à la réputation, désaffection des clients et perturbation de l’expérience des utilisateurs.
  • Dégradation des relations avec les partenaires de l’écosystème tiers. Les plateformes et les applications qui sont surchargées par un trafic de robots indésirables peuvent amener les partenaires de l’économie des API à ne pas respecter les accords de niveau de service et à rompre les engagements contractuels.
  • Décisions commerciales faussées. L’activité des robots peut fausser les statistiques des sites web, les données des journaux et les mesures d’interaction avec les clients sur lesquelles les entreprises s’appuient pour prendre des décisions commerciales, telles que la tarification et l’optimisation du référencement organique et payant.
  • Manipulation de la gestion des stocks. Les robots automatisés peuvent acheter des biens ou des services en ligne en masse dès leur mise en vente, ce qui permet aux criminels de prendre le contrôle à grande échelle de stocks précieux. Ceux-ci sont généralement revendus sur les marchés secondaires avec une marge importante : il en résulte une rareté artificielle, un déni d’inventaire et la frustration des consommateurs.
  • Augmentation du coût du service client. Les robots automatisés peuvent augmenter la pression sur les équipes de service client lorsque les attaques réussissent, multipliant les appels et les communications liées aux prises de contrôle de comptes, aux fraudes aux cartes cadeaux ou aux points de fidélité, ainsi que les plaintes de clients concernant des comptes compromis. L’utilisation d’outils CAPTCHA et de l’authentification multifactorielle (MFA) pour se protéger contre la fraude peut également avoir pour conséquence involontaire d’augmenter les frictions pour les utilisateurs et les appels au service client, car ces processus peuvent être difficiles à réaliser correctement et entraîner le verrouillage du compte pour les clients légitimes. Cela peut augmenter les coûts opérationnels des centres de service client, les pertes de clients et les dommages causés à la réputation de la marque par les scores nets de recommandation (NPS) et les mauvaises critiques et évaluations sur les réseaux sociaux.
  • Augmentation du coût des heures-personnes consacrées à l’atténuation des attaques de robots. La lutte contre les attaques de robots malveillants au moyen de pare-feu d’applications Web (WAF) et le blocage manuel des adresses IP prennent beaucoup de temps et nécessitent un nombre croissant d’employés compétents. Les WAF de base n’apprennent pas en temps réel ; ils s’appuient sur des règles prédéfinies pour détecter les robots malveillants. Pour maintenir les WAF à jour, il faut généralement appliquer des correctifs et définir des règles de manière incrémentielle. Le seul moyen d’étendre les défenses à l’aide de ces processus manuels est d’augmenter le nombre d’informaticiens et de spécialistes de la sécurité.

Impacts qualitatifs

Les impacts qualitatifs peuvent être plus difficiles à mesurer que les impacts quantitatifs, mais cela ne signifie pas qu’ils sont moins importants pour les organisations. Les attaques par robots automatisées peuvent aussi contribuer directement à ces facteurs de valeur subjectifs :

  • Impact sur l’expérience des employés. L’expertise en infosécurité est rare, et de nombreuses organisations sont confrontées à une pénurie de personnel de cybersécurité, alors même que les attaques par robots automatisées sont de plus en plus nombreuses et sophistiquées. Malgré tous leurs efforts, de nombreuses équipes SOC et de lutte contre la fraude ne parviennent pas à tenir le rythme de cybercriminels capables de modifier et de réorganiser leurs attaques de robots plusieurs fois par semaine. En l’absence de solutions de défense contre les robots plus intelligentes et plus perfectionnées sur le plan technique, il est difficile de conserver des professionnels de la sécurité talentueux, surtout lorsqu’ils sont épuisés et débordés. 
Salle de conférence 2

Étude de cas sur la gestion des robots

La première chose à retenir est que la gestion des robots est un sujet important pour les entreprises. La protection de vos applications et de votre infrastructure contre les attaques de robots offre des avantages financiers tangibles :

  • Réduction des coûts grâce à la diminution des coûts d’infrastructure et de main-d’œuvre.
  • Prévention des pertes de chiffre d’affaires grâce à l’amélioration de la disponibilité des sites et à la diminution des pertes de clients.
  • Augmentation du chiffre d’affaires grâce à des expériences utilisateur sans friction et à l’amélioration des taux de conversion.
  • Amélioration de la satisfaction des employés et de la collaboration interorganisationnelle.

Pour illustrer la valeur financière et l’impact d’une gestion efficace des robots, prenons l’exemple suivant. Un important détaillant en ligne comptant 31 millions de comptes d’utilisateurs et un revenu mensuel moyen par compte d’utilisateur de 54 $ a été attaqué par des robots malveillants. Le coût de ces attaques est estimé à 1 million de dollars par an. Il englobe la résolution des incidents de credential stuffing et d’ATO, les dépenses liées aux dédommagements et le coût du centre d’appel, ainsi que le manque à gagner pendant les interruptions de service du site dues à des incidents de ratissage par bots et à l’exploitation par les robots de l’infrastructure web et des ressources d’hébergement.

F5 et le détaillant en ligne ont collaboré pour quantifier l’impact du déploiement de F5 Distributed Cloud Bot Defense en tant que solution de gestion des robots en s’appuyant sur des mesures d’analyse de rentabilité telles que les économies de coûts, l’augmentation des revenus et la prévention des pertes de chiffre d’affaires. À l’aide d’un outil interactif de modélisation de l’analyse de rentabilité, F5 et le détaillant en ligne ont déterminé que le déploiement de la solution F5 Distributed Cloud Bot Defense permettrait de réaliser des économies d’environ 930 000 dollars la première année, avec des économies cumulées de près de 4,9 millions de dollars sur cinq ans.

En outre, l’outil de modélisation prévoyait une prévention des pertes de chiffre d’affaires de près de 50 000 dollars par an grâce à la réduction des pannes de site dues au trafic de robots, ainsi qu’une autre de 200 000 à 1 million de dollars par an en évitant la perte de comptes d’utilisateurs et la désaffection des clients en raison d’une mauvaise expérience utilisateur. L’amélioration des taux de conversion, résultant d’une expérience utilisateur sans friction et du fait que les clients restent plus longtemps sur le site, devrait permettre une augmentation supplémentaire des revenus de 1,6 million de dollars.

Le bénéfice économique total tiré par le détaillant en ligne de Distributed Cloud Bot Defense s’est élevé à près de 3,6 millions de dollars après la première année, avec un bénéfice économique total cumulé après cinq ans de près de 19,5 millions de dollars.

Ces projections sont en adéquation avec les avantages financiers évoqués dans une étude commandée par Forrester Consulting pour le compte de F5 (présentée plus en détail ci-dessous). L’étude Total Economic Impact™ of F5 Distributed Cloud Bot Defense a révélé qu’une organisation composite représentative des cinq décideurs que Forrester a interrogés pourrait économiser 9,72 millions de dollars sur trois ans, avec un retour sur investissement de 195 % grâce à la mise en œuvre de Distributed Cloud Bot Defense.

Comment aborder le sujet sur le plan commercial avec les principales parties prenantes

Le fait d’expliquer comment les attaques de robots peuvent avoir un impact sur les opérations et les mesures relatives aux rôles et fonctions spécifiques d’une organisation est un excellent moyen de présenter la valeur d’une gestion efficace des robots.

RSSI

Le RSSI se préoccupe de la sécurité de l’information, de la maîtrise des coûts et de l’adéquation de l’informatique à la mission de l’entreprise ; les robots ont un impact sur chacune de ces préoccupations.

Les robots compromettent chaque aspect de la triade de sécurité des informations que sont la protection de la vie privée, l’intégrité et la disponibilité. Un robot de credential stuffing qui s’empare d’un compte expose des données qui devraient rester confidentielles. De même, ces robots permettent aux attaquants de modifier les données et d’effectuer des transactions, ce qui porte atteinte à l’intégrité. Les robots de ratissage faussent les données, tout comme les robots de création de faux comptes, ce qui porte atteinte à l’intégrité des indicateurs clés de l’entreprise. Enfin, les robots de ratissage et d’accaparement d’inventaire peuvent augmenter la charge de l’infrastructure d’un site au point de le rendre indisponible.

Les robots exercent un impact sur les coûts de plusieurs façons :

  • Les robots de credential stuffing augmentent les coûts liés à l’assistance technique suite au verrouillage des comptes et démultiplient la responsabilité financière si les criminels vident les soldes des comptes.
  • Les robots de carding (trafic et utilisation non autorisés de cartes de crédit) augmentent les frais de remboursement et peuvent entraîner des amendes.
  • Les robots de ratissage et d’accaparement d’inventaire augmentent la charge de trafic et les coûts d’infrastructure.
  • La lutte contre les robots à l’aide d’outils inefficaces comme un WAF entraîne des coûts élevés en matière de SecOps.

Les robots préoccupent également les RSSI dans la mesure où ils empêchent l’informatique de contribuer à l’activité de l’entreprise. Une gestion inefficace des robots, comme les CAPTCHA et une dépendance excessive à l’égard de l’authentification multifactorielle, crée des frictions qui nuisent à l’expérience client et réduisent le chiffre d’affaires. Les robots faussent les mesures de l’activité à tel point qu’il devient difficile d’évaluer la stratégie de l’entreprise. Comment mettre en œuvre une stratégie commerciale lorsque vous ne savez même pas avec qui vous interagissez ?

Opérations de sécurité (SecOps)

L’équipe SecOps est chargée de gérer efficacement les risques de cybersécurité pour l’entreprise, et les robots font obstacle à cette mission. Comme le RSSI, l’équipe SecOps se préoccupe de la protection de la vie privée, de l’intégrité et de la disponibilité, qui sont toutes affectées par les bots. En plus de ces préoccupations communes, lorsqu’il s’agit de gérer efficacement les risques de sécurité, les robots créent beaucoup de bruit et noient le signal, en dissimulant les menaces dans un océan de trafic malveillant.

Lorsque les robots représentent la majeure partie du trafic d’un site, il est plus difficile d’analyser les journaux à la recherche de signes d’analyse de vulnérabilité et d’attaques par injection. Les outils de sécurité tels que les SIEM et les systèmes de détection et de prévention des intrusions sont rapidement submergés, ce qui augmente les coûts et génère beaucoup trop de faux positifs à analyser. Lorsque trop peu de choses sont normales, la recherche des anomalies devient impossibles.

Une gestion efficace des robots élimine le bruit et permet aux équipes SecOps de se concentrer efficacement sur les menaces restantes.

Opérations frauduleuses

Comme pour les équipes SecOps, les robots ont un impact sur les équipes chargées des opérations de fraude en augmentant considérablement le bruit. Quand un tel nombre de robots prend le contrôle de comptes et les verrouille, crée des faux comptes et déclenche des alertes, il devient impossible de gérer la charge de travail.

Lorsque les équipes chargées de la fraude et de la sécurité travaillent ensemble pour gérer les bots, les deux y gagnent. Les équipes de sécurité se concentrent alors sur un ensemble beaucoup plus restreint d’incidents de sécurité, et le niveau de fraude est réduit. Les équipes de gestion des fraudes peuvent ainsi se concentrer sur des cas de fraude plus complexes qui nécessitent leur expertise : ceci réduit la charge de travail et améliore les indicateurs de réussite. Du point de vue de la fraude, les robots sont un prélude, un moyen par lequel les fraudeurs obtiennent un accès, et arrêter les robots en amont réduit la charge de travail en aval.

Opérations réseau (NetOps)

Les équipes NetOps sont chargées de faire fonctionner l’infrastructure qui sert l’entreprise, en maintenant la disponibilité et les performances tout en contrôlant les coûts.

Dans certains cas, les robots de ratissage représentent plus de 90 % du trafic d’une application de commerce électronique. Autrement dit, la majeure partie de l’infrastructure sert les bots, ce qui gaspille une part importante du budget consacré à l’infrastructure – et cet indicateur peut être mentionné très clairement dans une facture de services cloud.

Ces robots ne se soucient pas des performances ou de la disponibilité d’un site et peuvent augmenter le trafic à tout moment sans avertissement, ce qui entraîne une imprévisibilité et augmente les coûts de l’évolutivité.

DevSecOps

Dans une culture DevOps, les équipes DevSecOps sont chargées d’incorporer la sécurité dans le pipeline d’intégration continue/développement continu (CI/CD), de garantir un retour d’information rapide aux développeurs sur les bogues de sécurité et d’améliorer en permanence l’intégration de la sécurité dans la chaîne de valeur technologique.

Le DevSecOps déplace la sécurité en amont, en s’assurant que toutes les lacunes sont traitées plus tôt dans le flux de travail. Les robots sont concernés ici car les nouvelles fonctionnalités doivent être évaluées pour savoir comment les robots pourraient les exploiter, les dommages qui pourraient être causés et les mesures à prendre lors du déploiement afin de les éviter.

Les équipes DevSecOps sont particulièrement concernées par la télémétrie. Selon le DevOps Handbook1, la télémétrie est essentielle pour prévoir, diagnostiquer et résoudre les problèmes des systèmes complexes. Pour que l’équipe DevOps puisse y parvenir, la télémétrie doit couvrir plusieurs couches, notamment les indicateurs commerciaux, l’utilisation des fonctions, les performances du réseau et la charge de l’infrastructure, de sorte qu’un problème dans une couche puisse être retracé à travers la pile technologique pour identifier rapidement les causes profondes.

Les robots déforment la télémétrie de façon importante. De nombreux clients de F5 Distributed Cloud Bot Defense ont découvert que la plupart de leurs comptes utilisateurs étaient faux et que les robots représentaient plus de 95 % du trafic de connexion. Dans certains cas, la majeure partie de l’infrastructure d’une organisation ne faisait rien d’autre que de servir des robots de ratissage. Les équipes DevSecOps doivent supprimer cette distorsion de la télémétrie pour accomplir leur mission de sécurité.

Responsables de secteurs d’activité

Tout dépend de qui est responsable des chiffres. Le vice-président du commerce électronique est-il responsable du coût de la fraude, de l’infrastructure et des compensations ? Ces frais réduisent-ils considérablement les bénéfices de l’activité en ligne ? Les taux de conversion et les revenus sont-ils affectés par les frictions de sécurité telles que le CAPTCHA ? Si c’est le cas, ce vice-président s’intéressera de près à la façon dont la gestion des robots peut améliorer à la fois le chiffre d’affaires et les bénéfices.

Il en va de même pour les leaders de toute gamme de produits ou de services vendus en ligne par le biais d’applications web ou mobiles. Chercher à maximiser les profits implique nécessairement de s’attaquer à la plus grande source de trafic vers vos applications.

Marketing

Les spécialistes du marketing ont leurs propres raisons de se préoccuper des robots. Les robots qui ralentissent le site, le mettent hors service et s’emparent des comptes des clients ternissent l’image de la marque. Les robots faussent les analyses de sites web sur lesquelles les responsables marketing s’appuient pour prendre des décisions. Et la fraude au clic, due aux bots, draine les budgets publicitaires sans produire de chiffre d’affaires.

S’adresser au conseil d’administration et à la direction générale

Toutes ces conversations doivent être synthétisées pour que la direction et le conseil d’administration comprennent l’impact des robots malveillants sur tous les aspects de l’entreprise. Le total cumulé des coûts et des pertes de chiffre d’affaires peut très bien représenter un impact matériel sur le résultat net qui mérite leur attention.

« Si nous subissons des cyberattaques ou d’autres incidents liés à la vie privée ou à la sécurité des données, et que cela génère des failles de sécurité qui perturbent nos opérations ou qui entraînent la diffusion involontaire d’informations personnelles protégées ou d’informations exclusives ou confidentielles, nous pourrions subir une perte de chiffre d’affaires et une augmentation de nos coûts, et nous nous exposerions à une atteinte à la réputation et d’autres conséquences négatives graves. »

Avantages commerciaux d’une atténuation efficace des robots

Les attaques de bot peuvent avoir un impact direct sur les revenus, faire perdre du temps et des ressources aux équipes de sécurité chargées de bloquer les automatismes malveillants, et compromettre l’expérience client. Pour atténuer ces conséquences, F5 Distributed Cloud Bot Defense fournit une surveillance et une intelligence en temps réel pour protéger les organisations contre les attaques de bot, sans introduire de friction pour les utilisateurs.

Une étude commandée par Forrester Consulting pour le compte de F5 a examiné le retour sur investissement potentiel que les entreprises peuvent obtenir en déployant Distributed Cloud Bot Defense. Voici ses principales conclusions et le chiffrage des avantages :

Réduction de 30 % des coûts de la fraude liée aux attaques de robots. En déplaçant les processus anti-fraude des professionnels de la fraude en aval vers le front-end, où les attaques automatisées de robots se produisaient, l’organisation composite a pu réduire de 30 % les coûts de la fraude liée aux robots. Les personnes interrogées ont indiqué avoir réduit la création de comptes frauduleux de 92 %, amélioré le blocage des robots de 80 % en l’absence de solution antérieure, et amélioré le blocage des robots de 30 % lorsqu’un outil de protection contre les robots était en place.

Réduction de 96 % des coûts liés aux attaques par credential stuffing. Distributed Cloud Bot Defense a également permis d’économiser sur les coûts supplémentaires non liés à la fraude et associés au credential stuffing. En réduisant les attaques de 96 %, de plus de 50 par an à environ deux par an, le groupe économise plus de 1,2 million de dollars par an. Les personnes interrogées ont noté que les coûts par attaque pour le credential stuffing pouvaient atteindre 500 000 dollars, ce qui équivaut à environ 25 millions de dollars par an.

Réduction de 88 % des verrouillages de comptes et du coût d’assistance associé. En empêchant le verrouillage des comptes, les personnes interrogées ont pu améliorer l’expérience client. Elles ont réduit le temps et les efforts nécessaires aux clients pour créer un nouveau compte, réinitialiser leurs mots de passe ou contacter le service client. En réduisant les appels au service client, les organisations ont pu économiser sur les coûts tels que la main-d’œuvre du service client et les coûts technologiques.

Élimination des processus manuels de protection contre les robots et réduction de 40 % du travail de définition des règles. En mettant en œuvre l’automatisation du produit F5 dans leurs pratiques de protection contre les robots, les équipes de sécurité des entreprises interrogées ont pu économiser 10 000 heures par an, qui étaient auparavant consacrées au blocage des adresses IP et aux enquêtes sur les incidents de sécurité, soit l’équivalent de cinq employés à temps plein. En outre, ces équipes de sécurité ont économisé 40 % du temps qu’elles consacraient auparavant à la définition des règles.

Les avantages non quantifiés de l’étude sont les suivants :

Amélioration de la collaboration entre les équipes de sécurité et de lutte contre la fraude. Les clients ont noté, sans pouvoir le quantifier, un impact positif sur le niveau de collaboration entre leurs équipes de sécurité et de lutte contre la fraude après avoir déployé le produit.

Réduction des coûts grâce à la mise hors service d’outils tiers de protection contre les robots. Les personnes interrogées dont les organisations disposaient d’un outil de protection contre les robots ont pu le mettre hors service après avoir investi dans F5 Distributed Cloud Bot Defense, ce qui leur a permis de réduire leurs coûts.

Résilience en période d’activité en ligne accrue. Les personnes interrogées ont noté que la protection fournie par F5 contre les attaques automatisées a permis à leurs présences en ligne de s’adapter avec plus de résilience lors de l’augmentation massive de l’activité en ligne pendant la pandémie de COVID-19.

Flexibilité pour s’étendre à de nouveaux cas d’utilisation et marchés. Les personnes interrogées ont également indiqué qu’elles prévoyaient d’étendre l’utilisation de Distributed Cloud Bot Defense à de nouveaux cas d’utilisation, tels que la protection contre la capture de données d’écran (screen scraping), et à de nouveaux marchés géographiques à l’avenir.

Salle de conférence 3

« Maintenant que nous avons des informations concernant notre adversaire, je ne sais pas si un niveau de dotation en personnel sera efficace sans un outil similaire à [Distributed Cloud Bot Defense]. »

« Avec F5 Distributed Cloud Bot Defense, nous bloquons 97 % de tout le trafic entrant malveillant avant même qu’il n’atteigne la couche applicative, ce qui réduit considérablement les risques pour nos clients. »

Conclusion

La gestion des robots est désormais synonyme de gestion des coûts. Si elle est bien réalisée, il est possible d’améliorer l’efficacité opérationnelle, de réduire les risques commerciaux et financiers, de contrôler les dépenses informatiques, de libérer du temps pour les équipes de sécurité et les analystes des fraudes, et de gérer stratégiquement les robots des partenaires avec une détection et une déviation précises, tout en offrant une meilleure expérience client.

Les attaques automatisées représentent un défi économique que les entreprises et les organisations doivent relever pour le bien de leurs bénéfices et la sécurité de leurs opérations commerciales. Pour atteindre leurs objectifs de chiffre d’affaires, les entreprises doivent protéger leurs clients et leurs consommateurs de la fraude et de la prise de contrôle de comptes et soulager leurs équipes de sécurité des flux de travail anti-bots manuels et inefficaces.

 

F5 Distributed Cloud Bot Defense prévient les fraudes et les abus qui peuvent contourner les solutions existantes de contrôle des robots et fournit une surveillance et des renseignements en temps réel pour protéger les organisations contre les attaques automatisées, sans causer de frictions avec les utilisateurs ni perturber l’expérience client. Ces protections permettent de réduire les coûts dus à la fraude et aux impacts économiques du trafic de robots malveillants tout en diminuant les dépenses de service client.

Pour en savoir plus sur l’impact commercial du trafic de robots sur votre organisation, utilisez notre calculateur d’impact des robots pour déterminer combien les robots malveillants vous coûtent en termes de fraude, de manipulation des stocks, de dépenses d’infrastructure, d’épuisement des employés et de perte de clients.

Salle de conférence 4

Sources :

1. Gene Kim, Patrick Debois, John Willis, Jez Humble, and John Allspaw. The DevOps Handbook: How to Create World-Class Agility, Reliability, and Security in Technology Organizations. Portland, OR, IT Revolution Press, LLC, 2021.

Plus d’informations

RAPPORT

Forrester : Total Economic Impact of Bot Defense

Lire le rapport ›

E-BOOK

L’économie des cybercriminels : comprendre l’économie des cyberattaques

Lire le livre numérique ›

PRÉSENTATION DE LA SOLUTION

F5 Distributed Cloud Bot Defense

Lire la présentation ›

CALCULATEUR DE RETOUR SUR INVESTISSEMENT

Consultation gratuite sur l’impact des robots sur les entreprises

Essayez le Calculateur d’impact des robots ›

Published November 17, 2022

Connect with F5

F5 Labs

The latest in application threat intelligence.

DevCentral

The F5 community for discussion forums and expert articles.

F5 Newsroom

News, F5 blogs, and more.