Des bots à la salle de conférence : comment les robots malveillants influent défavorablement sur votre bilan

Les attaques par robots automatisées peuvent également provoquer directement des pertes financières et des manques à gagner :

• Perte de la confiance des clients après une prise de contrôle du compte. Les clients ont toutes les raisons d’être mécontents quand les défaillances des défenses anti-bots d’une organisation entraînent une prise de contrôle des comptes (ATO) et une activité frauduleuse coûteuse. Les conséquences sont lourdes : dégradation de la satisfaction client, dommages à la réputation et pertes de relations commerciales. Plus d’un quart des consommateurs américains interrogés déclarent qu’ils changeraient de banque s’ils n’étaient pas satisfaits des mesures mises en place pour intervenir en cas de fraude. 
  
• Augmentation des pertes dues à la fraude et aux remboursements. Les attaques d’ATO menées par des robots et la création de comptes frauduleux ont un impact sur les résultats lorsque les criminels utilisent des identifiants volés pour effectuer des achats ou créer de faux comptes. Les remboursements indus nuisent à la réputation du commerçant auprès des sociétés de carte bancaire et entraînent des pénalités.
  
• Augmentation des coûts de main-d’œuvre. Les attaques de robots comme le credential stuffing, qui conduisent à des ATO, nécessitent des enquêtes par les analystes des fraudes et les détournent d’investigations approfondies plus importantes. Même lorsque les robots de credential stuffing ne parviennent pas à prendre le contrôle, ils bloquent souvent les comptes en essayant plusieurs mots de passe à la suite rapidement ; les clients se retrouvent obligés d’appeler le service d’assistance, ce qui augmente les coûts à chaque appel.
  
• Déformation des évaluations des investisseurs. Lorsque la valorisation d’une société cotée en bourse dépend du nombre d’abonnés, d’utilisateurs ou d’engagements, la présence de comptes robots non humains peut grandement fausser les évaluations. Par exemple, les récentes tentatives pour parvenir à une évaluation précise de Twitter, basée sur le nombre de comptes gérés par des humains par rapport aux bots, ont fait la Une de journaux en 2022. 
  
• Confusion entre robots et humains, et inversement, avec des solutions d’atténuation peu fiables. De mauvaises mesures d’atténuation des bots peuvent provoquer ces erreurs, mais il faut les limiter et les prévenir. Les faux positifs (lorsqu’un outil de gestion des robots accuse un humain réel d’être un robot) et les faux négatifs (lorsque l’outil prend un robot pour un humain) ont tous deux un impact sur le chiffre d’affaires et les bénéfices. L’un vous fera perdre des clients et l’autre vous fera subir les effets de la fraude. En réalité, un faux positif qui empêche un client stratégique d’effectuer un transfert d’argent peut être plus dommageable pour une banque qu’un faux négatif qui entraîne une fraude ou un remboursement. Les deux situations nécessiteront également le temps et le travail d’un analyste des fraudes pour les enquêtes qui en découlent.
  
• Défaillances dans la protection des données des consommateurs. La législation et les normes telles que le Règlement général sur la protection des données (RGPD) au sein de l’UE, la Loi californienne sur la protection des consommateurs (CCPA) et le Payment Card Industry Data Security Standard (PCI-DSS) sont conçus pour garantir la confidentialité des données des consommateurs et imposer d’importantes sanctions pécuniaires en cas de violation des données. Ce sont principalement les attaques par ATO et par ratissage de contenu qui exposent des données privées à des robots. Les violations de données résultant du non-respect de ces réglementations peuvent être très coûteuses : dans le cadre du RGPD, les autorités de protection des données de l’UE peuvent imposer des amendes pouvant aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial de l’exercice précédent.

Les attaques de robots n’ont pas seulement un impact sur le chiffre d’affaires. Elles augmentent également le coût de fonctionnement des entreprises :

• Entrave aux performances et à la disponibilité des applications, avec un risque d’augmentation des coûts d’infrastructure. Les attaques de ratissage automatique, en raison de leur volume, peuvent compromettre les performances des applications et des plateformes. Si elles ne sont pas contrôlées, elles peuvent nécessiter un surinvestissement dans les capacités de l’infrastructure et entraîner des frais supplémentaires d’utilisation du cloud pour maintenir les niveaux de performance requis.
  
• Réduction de la disponibilité des applications et de la résilience de l’entreprise. Les applications web qui sont submergées par l’activité des robots ne sont plus disponibles pour répondre aux demandes des clients en temps réel et permettre l’activité de commerce électronique, avec de lourdes conséquences perte de chiffre d’affaires, atteinte à la réputation, désaffection des clients et perturbation de l’expérience des utilisateurs.
  
• Dégradation des relations avec les partenaires de l’écosystème tiers. Les plateformes et les applications qui sont surchargées par un trafic de robots indésirables peuvent amener les partenaires de l’économie des API à ne pas respecter les accords de niveau de service et à rompre les engagements contractuels.
  
• Décisions commerciales faussées. L’activité des robots peut fausser les statistiques des sites web, les données des journaux et les mesures d’interaction avec les clients sur lesquelles les entreprises s’appuient pour prendre des décisions commerciales, telles que la tarification et l’optimisation du référencement organique et payant.
  
• Manipulation de la gestion des stocks. Les robots automatisés peuvent acheter des biens ou des services en ligne en masse dès leur mise en vente, ce qui permet aux criminels de prendre le contrôle à grande échelle de stocks précieux. Ceux-ci sont généralement revendus sur les marchés secondaires avec une marge importante : il en résulte une rareté artificielle, un déni d’inventaire et la frustration des consommateurs.
  
• Augmentation du coût du service client. Les robots automatisés peuvent augmenter la pression sur les équipes de service client lorsque les attaques réussissent, multipliant les appels et les communications liées aux prises de contrôle de comptes, aux fraudes aux cartes cadeaux ou aux points de fidélité, ainsi que les plaintes de clients concernant des comptes compromis. L’utilisation d’outils CAPTCHA et de l’authentification multifactorielle (MFA) pour se protéger contre la fraude peut également avoir pour conséquence involontaire d’augmenter les frictions pour les utilisateurs et les appels au service client, car ces processus peuvent être difficiles à réaliser correctement et entraîner le verrouillage du compte pour les clients légitimes. Cela peut augmenter les coûts opérationnels des centres de service client, les pertes de clients et les dommages causés à la réputation de la marque par les scores nets de recommandation (NPS) et les mauvaises critiques et évaluations sur les réseaux sociaux.
  
• Augmentation du coût des heures-personnes consacrées à l’atténuation des attaques de robots. La lutte contre les attaques de robots malveillants au moyen de pare-feu d’applications Web (WAF) et le blocage manuel des adresses IP prennent beaucoup de temps et nécessitent un nombre croissant d’employés compétents. Les WAF de base n’apprennent pas en temps réel ; ils s’appuient sur des règles prédéfinies pour détecter les robots malveillants. Pour maintenir les WAF à jour, il faut généralement appliquer des correctifs et définir des règles de manière incrémentielle. Le seul moyen d’étendre les défenses à l’aide de ces processus manuels est d’augmenter le nombre d’informaticiens et de spécialistes de la sécurité.

Les impacts qualitatifs peuvent être plus difficiles à mesurer que les impacts quantitatifs, mais cela ne signifie pas qu’ils sont moins importants pour les organisations. Les attaques par robots automatisées peuvent aussi contribuer directement à ces facteurs de valeur subjectifs :

• Impact sur l’expérience des employés. L’expertise en infosécurité est rare, et de nombreuses organisations sont confrontées à une pénurie de personnel de cybersécurité, alors même que les attaques par robots automatisées sont de plus en plus nombreuses et sophistiquées. Malgré tous leurs efforts, de nombreuses équipes SOC et de lutte contre la fraude ne parviennent pas à tenir le rythme de cybercriminels capables de modifier et de réorganiser leurs attaques de robots plusieurs fois par semaine. En l’absence de solutions de défense contre les robots plus intelligentes et plus perfectionnées sur le plan technique, il est difficile de conserver des professionnels de la sécurité talentueux, surtout lorsqu’ils sont épuisés et débordés. 

Le fait d’expliquer comment les attaques de robots peuvent avoir un impact sur les opérations et les mesures relatives aux rôles et fonctions spécifiques d’une organisation est un excellent moyen de présenter la valeur d’une gestion efficace des robots.

Le RSSI se préoccupe de la sécurité de l’information, de la maîtrise des coûts et de l’adéquation de l’informatique à la mission de l’entreprise ; les robots ont un impact sur chacune de ces préoccupations.

Les robots compromettent chaque aspect de la triade de sécurité des informations que sont la protection de la vie privée, l’intégrité et la disponibilité. Un robot de credential stuffing qui s’empare d’un compte expose des données qui devraient rester confidentielles. De même, ces robots permettent aux attaquants de modifier les données et d’effectuer des transactions, ce qui porte atteinte à l’intégrité. Les robots de ratissage faussent les données, tout comme les robots de création de faux comptes, ce qui porte atteinte à l’intégrité des indicateurs clés de l’entreprise. Enfin, les robots de ratissage et d’accaparement d’inventaire peuvent augmenter la charge de l’infrastructure d’un site au point de le rendre indisponible.

Les robots exercent un impact sur les coûts de plusieurs façons :

• Les robots de credential stuffing augmentent les coûts liés à l’assistance technique suite au verrouillage des comptes et démultiplient la responsabilité financière si les criminels vident les soldes des comptes.
  
• Les robots de carding (trafic et utilisation non autorisés de cartes de crédit) augmentent les frais de remboursement et peuvent entraîner des amendes.
  
• Les robots de ratissage et d’accaparement d’inventaire augmentent la charge de trafic et les coûts d’infrastructure.
  
• La lutte contre les robots à l’aide d’outils inefficaces comme un WAF entraîne des coûts élevés en matière de SecOps.

Les robots préoccupent également les RSSI dans la mesure où ils empêchent l’informatique de contribuer à l’activité de l’entreprise. Une gestion inefficace des robots, comme les CAPTCHA et une dépendance excessive à l’égard de l’authentification multifactorielle, crée des frictions qui nuisent à l’expérience client et réduisent le chiffre d’affaires. Les robots faussent les mesures de l’activité à tel point qu’il devient difficile d’évaluer la stratégie de l’entreprise. Comment mettre en œuvre une stratégie commerciale lorsque vous ne savez même pas avec qui vous interagissez ?

L’équipe SecOps est chargée de gérer efficacement les risques de cybersécurité pour l’entreprise, et les robots font obstacle à cette mission. Comme le RSSI, l’équipe SecOps se préoccupe de la protection de la vie privée, de l’intégrité et de la disponibilité, qui sont toutes affectées par les bots. En plus de ces préoccupations communes, lorsqu’il s’agit de gérer efficacement les risques de sécurité, les robots créent beaucoup de bruit et noient le signal, en dissimulant les menaces dans un océan de trafic malveillant.

Lorsque les robots représentent la majeure partie du trafic d’un site, il est plus difficile d’analyser les journaux à la recherche de signes d’analyse de vulnérabilité et d’attaques par injection. Les outils de sécurité tels que les SIEM et les systèmes de détection et de prévention des intrusions sont rapidement submergés, ce qui augmente les coûts et génère beaucoup trop de faux positifs à analyser. Lorsque trop peu de choses sont normales, la recherche des anomalies devient impossibles.

Une gestion efficace des robots élimine le bruit et permet aux équipes SecOps de se concentrer efficacement sur les menaces restantes.

Comme pour les équipes SecOps, les robots ont un impact sur les équipes chargées des opérations de fraude en augmentant considérablement le bruit. Quand un tel nombre de robots prend le contrôle de comptes et les verrouille, crée des faux comptes et déclenche des alertes, il devient impossible de gérer la charge de travail.

Lorsque les équipes chargées de la fraude et de la sécurité travaillent ensemble pour gérer les bots, les deux y gagnent. Les équipes de sécurité se concentrent alors sur un ensemble beaucoup plus restreint d’incidents de sécurité, et le niveau de fraude est réduit. Les équipes de gestion des fraudes peuvent ainsi se concentrer sur des cas de fraude plus complexes qui nécessitent leur expertise : ceci réduit la charge de travail et améliore les indicateurs de réussite. Du point de vue de la fraude, les robots sont un prélude, un moyen par lequel les fraudeurs obtiennent un accès, et arrêter les robots en amont réduit la charge de travail en aval.

Les équipes NetOps sont chargées de faire fonctionner l’infrastructure qui sert l’entreprise, en maintenant la disponibilité et les performances tout en contrôlant les coûts.

Dans certains cas, les robots de ratissage représentent plus de 90 % du trafic d’une application de commerce électronique. Autrement dit, la majeure partie de l’infrastructure sert les bots, ce qui gaspille une part importante du budget consacré à l’infrastructure – et cet indicateur peut être mentionné très clairement dans une facture de services cloud.

Ces robots ne se soucient pas des performances ou de la disponibilité d’un site et peuvent augmenter le trafic à tout moment sans avertissement, ce qui entraîne une imprévisibilité et augmente les coûts de l’évolutivité.

Dans une culture DevOps, les équipes DevSecOps sont chargées d’incorporer la sécurité dans le pipeline d’intégration continue/développement continu (CI/CD), de garantir un retour d’information rapide aux développeurs sur les bogues de sécurité et d’améliorer en permanence l’intégration de la sécurité dans la chaîne de valeur technologique.

Le DevSecOps déplace la sécurité en amont, en s’assurant que toutes les lacunes sont traitées plus tôt dans le flux de travail. Les robots sont concernés ici car les nouvelles fonctionnalités doivent être évaluées pour savoir comment les robots pourraient les exploiter, les dommages qui pourraient être causés et les mesures à prendre lors du déploiement afin de les éviter.

Les équipes DevSecOps sont particulièrement concernées par la télémétrie. Selon le DevOps Handbook¹, la télémétrie est essentielle pour prévoir, diagnostiquer et résoudre les problèmes des systèmes complexes. Pour que l’équipe DevOps puisse y parvenir, la télémétrie doit couvrir plusieurs couches, notamment les indicateurs commerciaux, l’utilisation des fonctions, les performances du réseau et la charge de l’infrastructure, de sorte qu’un problème dans une couche puisse être retracé à travers la pile technologique pour identifier rapidement les causes profondes.

Les robots déforment la télémétrie de façon importante. De nombreux clients de F5 Distributed Cloud Bot Defense ont découvert que la plupart de leurs comptes utilisateurs étaient faux et que les robots représentaient plus de 95 % du trafic de connexion. Dans certains cas, la majeure partie de l’infrastructure d’une organisation ne faisait rien d’autre que de servir des robots de ratissage. Les équipes DevSecOps doivent supprimer cette distorsion de la télémétrie pour accomplir leur mission de sécurité.

Tout dépend de qui est responsable des chiffres. Le vice-président du commerce électronique est-il responsable du coût de la fraude, de l’infrastructure et des compensations ? Ces frais réduisent-ils considérablement les bénéfices de l’activité en ligne ? Les taux de conversion et les revenus sont-ils affectés par les frictions de sécurité telles que le CAPTCHA ? Si c’est le cas, ce vice-président s’intéressera de près à la façon dont la gestion des robots peut améliorer à la fois le chiffre d’affaires et les bénéfices.

Il en va de même pour les leaders de toute gamme de produits ou de services vendus en ligne par le biais d’applications web ou mobiles. Chercher à maximiser les profits implique nécessairement de s’attaquer à la plus grande source de trafic vers vos applications.

Les spécialistes du marketing ont leurs propres raisons de se préoccuper des robots. Les robots qui ralentissent le site, le mettent hors service et s’emparent des comptes des clients ternissent l’image de la marque. Les robots faussent les analyses de sites web sur lesquelles les responsables marketing s’appuient pour prendre des décisions. Et la fraude au clic, due aux bots, draine les budgets publicitaires sans produire de chiffre d’affaires.