close
Share with your friends
La fraude par prise de contrôle de compte

La fraude par prise de contrôle de compte

La fraude par prise de contrôle de compte

Une fraude par prise de contrôle de compte est le fait de criminels qui mettent la main sur les renseignements personnels d’un utilisateur pour prendre le contrôle de ses comptes en ligne. Ce type de fraude continue d’avoir des répercussions réelles tant sur les clients (utilisateurs) que
sur les entreprises avec lesquelles ils font affaire. Alors que les criminels sont de plus en plus audacieux et utilisent des méthodes hautement sophistiquées, les institutions financières (« IF »)
sont de plus en plus douées pour détecter, surveiller et gérer la fraude par prise de contrôle de compte avant et après le fait. L’un des principaux moyens adoptés par les IF pour se protéger est le modèle des « trois lignes de défense » (« 3LoD » en anglais).

Pour connaître les meilleures pratiques actuelles et savoir comment le modèle des trois lignes de défense s’y intègre, KPMG a consulté plusieurs IF de premier plan afin d’examiner comment les grandesorganisations gèrent une fraude par prise de contrôle de compte.

La première ligne de défense

La première ligne de défense d'une organisation regroupe normalement ses unités administratives (« UA ») et ses centres d'excellence (« CE »). Ceux-ci s'appuient en retour sur une démarche rigoureuse à l'échelle de l'entreprise quant à la gouvernance de la fraude par prise de contrôle de compte. Bon nombre de cabinets semblables au nôtre ont établi des structures de gouvernance au niveau des groupes pour favoriser le partage de renseignements entre les UA et faciliter l'acheminement à l'échelon supérieur des questions liées à la fraude ou à la cybersécurité, dès qu'elles font leur apparition.

La définition claire des rôles est également essentielle à une gouvernance efficace de la fraude par prise de contrôle de compte. Les structures de gouvernance sont normalement supervisées par des personnes responsables issues des équipes chargées d'établir et de surveiller les politiques antifraude des première et deuxième lignes de défense. Les grandes IF attribuent également des rôles particuliers en matière de prévention de la fraude (ou elles nomment des spécialistes antifraude) au sein de leurs UA. Les personnes qui se voient confier un tel rôle doivent orienter le processus d'évaluation des risques, gérer les cas, surveiller l'efficacité des contrôles de lutte contre la fraude par prise de contrôle de compte et agir comme agents de liaison sur le terrain. Plusieurs IF regroupent leurs initiatives concernant le blanchiment d'argent, la cybersécurité et la fraude par prise de contrôle de compte pour créer des « centres antifraude » multidisciplinaires afin de tirer parti des chevauchements et du partage des données et des ressources.

  • Évaluation du risque. La gestion de la fraude par prise de contrôle de compte consiste à comprendre les origines et les acteurs de la fraude ainsi que les secteurs de l'organisation qui sont vulnérables aux actes frauduleux. La technologie peut s'avérer une véritable alliée lors de l'évaluation des lacunes et des faiblesses de l'organisation. Un nombre croissant d'IF tablent sur l'apprentissage machine et les outils d'analyse de données (applications commerciales ou conçues en interne) pour réaliser des analyses en temps réel, rechercher les synergies entre les systèmes antifraude et les systèmes de lutte contre le blanchiment d'argent, et mettre à profit les données non transactionnelles, de façon à obtenir des informations globales sur les crimes financiers. Certaines IF combinent aussi les données provenant de divers canaux afin d'élaborer en temps réel un profil de risque de fraude par prise de contrôle de compte qui soit plus global et plus précis, en vue de réduire les faux positifs.
  • Réponse au risque. Plusieurs mesures s'avèrent efficaces pour diminuer les tentatives de fraude par prise de contrôle de compte. Parmi celles-ci, on retrouve les systèmes axés sur le risque ou l'authentification à deux facteurs et les barrières de sécurité biométriques, ces dernières s'imposant de plus en plus dans les canaux à risque élevé. Sur le plan transactionnel, des services de clavardage, des robots utilisant l'intelligence artificielle et des services virtuels sont déployés pour permettre aux clients de gérer le risque de fraude par prise de contrôle de compte. Quelles que soient les mesures de contrôle ou de prévention qui sont mises en place, les cabinets semblables au nôtre s'entendent sur le fait que les mesures de prévention de la fraude, bien qu'essentielles, ne doivent pas nuire à l'expérience client.

Il convient de noter que ces initiatives cadrent avec les efforts du secteur et les vastes campagnes publicitaires axées sur l'amélioration des pratiques des clients en matière de cybersécurité. Lorsque des problèmes surviennent avec des clients commerciaux ou d'affaires, les grandes IF travaillent en étroite collaboration avec le client touché afin de mieux comprendre ses risques et d'éviter que l'incident ne se reproduise.

  • Plan d'intervention en cas d'incident. Les enquêtes et les plans d'intervention en cas d'incident sont indispensables pour remédier rapidement aux cas de fraude par prise de contrôle de compte et atténuer les dommages tant pour la société que pour le client. Pour s'assurer que ces plans n'aboutissent pas sur une tablette, bon nombre d'IF ont formé des équipes antifraude constituées de personnel d'expérience en juricomptabilité informatique, en application de la loi et en analyse de données. Il incombe habituellement à ces équipes d'interagir avec les clients, les organismes d'application de la loi et les autorités de réglementation au cours d'un incident. Dans certains cas, des IF ont intégré d'autres crimes financiers à cette fonction afin de s'assurer que les communications externes sont cohérentes et éclairées.
  • Rapports sur les risques. Plusieurs IF ont recours à une série de mesures pour refléter l'expérience client (interventions, faux positifs), afin d'être plus à même de déterminer si les mesures antifraude sont une source d'irritation pour les clients. Elles produisent aussi des rapports sur les budgets de pertes et sur leur adéquation avec la propension au risque qu'elles déclarent avoir, mais il s'agit d'une pratique peu répandue à l'extérieur du secteur bancaire.

La deuxième ligne de défense

La deuxième ligne de défense a pour mission de guider, de définir et de surveiller les stratégies de la première ligne de défense en matière de fraude par prise de contrôle de compte. De plus, elle veille à la cohérence entre les unités administratives, pour que les ressources soient déployées et que l'information soit disséminée adéquatement au besoin.

  • Une stratégie maîtresse. Les stratégies habiles en matière de prévention de la fraude par prise de contrôle de compte s'appuient sur des politiques et des normes structurées qui fournissent un point de référence aux organisations pour fixer les attentes et les responsabilités minimales. Il faut souligner que ces stratégies sont revues et actualisées sur une base régulière, ce qui procure à chacune des UA la souplesse nécessaire pour s'aligner au cadre général.

Les stratégies efficaces en matière de prévention de la fraude par prise de contrôle de compte détaillent également la fonction antifraude en ce qui a trait aux solutions informatiques, à l'analyse, aux ressources, aux menaces futures et aux capacités nécessaires. En outre, elles comprennent des initiatives de prévention de la fraude et de reprise des activités qui font l'objet d'un contrôle pour s'assurer non seulement qu'elles fonctionnent, mais qu'elles sont au diapason de la vision de l'organisation.

  • Établir la propension au risque. Quel est le degré de tolérance au risque de l'organisation? Quels sont les risques qui en valent la peine, et ceux qu'il vaut mieux ne pas prendre? C'est seulement une fois que la propension au risque d'une organisation a été clairement définie et communiquée que les contrôles antifraude adéquats peuvent être mis en place, suivis et évalués en fonction d'indicateurs clés de performance (« ICP ») précis.
  • Surveillance de l'évaluation des risques. La surveillance de l'évaluation des risques effectuée par les UA aide à obtenir une perspective indépendante quant aux risques, tout en remettant en question les hypothèses et l'efficacité du contrôle de la première ligne de défense. Sachant cela, de nombreux cabinets semblables aux nôtres permettent à leurs UA de réaliser des auto-évaluations et des évaluations des risques dans un gabarit centralisé; ces évaluations sont ensuite passées en revue par les équipes de la deuxième ligne de défense, qui effectuent d'autres tests au besoin. Certaines équipes de la deuxième ligne de défense poussent leurs fonctions de surveillance un peu plus loin en tenant des réunions tout au long de l'année dans le but de faire un suivi des ICP, en veillant à ce que les évaluations des risques soient pertinentes et à jour et en passant en revue les changements dans l'environnement interne et externe du cabinet.
  • Méthode axée sur le renseignement. De nombreuses IF vont au-delà de leurs murs pour puiser des informations pertinentes sur la prévention de la fraude et sur les meilleures pratiques dans ce domaine. Elles cherchent ainsi à rester au fait des tendances actuelles du secteur, des menaces et des innovations en matière de prévention et de détection. Ce savoir est partagé avec les UA concernées, et il est utilisé pour orienter (et actualiser) en continu les plans et les contrôles en matière de fraude par prise de contrôle de compte. Les IF appliquent les leçons apprises dans le cadre de leurs enquêtes portant sur un incident de fraude et de l'analyse des causes profondes au processus d'évaluation des risques, de façon à aider les UA touchées et l'organisation à améliorer leurs contrôles.

Les sources de renseignements externes peuvent être des consultants du secteur, des organismes d'application de la loi, des organismes sectoriels, des concurrents et des sociétés de technologies financières (fintech en anglais). De nombreuses IF ont mis sur pied un centre d'excellence en matière de renseignements au niveau du groupe pour disséminer l'information sur la fraude partout dans l'organisation et pour aider la fonction des crimes financiers dans son ensemble.

  • Tests et rapports. Lorsqu'ils sont exécutés au niveau de la deuxième ligne de défense, les tests visant la fraude par prise de contrôle de compte assurent le bon fonctionnement des processus et des contrôles de la première ligne de défense. Les IF de premier plan se sont dotées de ressources consacrées à la fraude et aux crimes financiers qui sont chargées d'exprimer régulièrement une assurance sur les principaux risques et d'effectuer des examens à la suite de menaces particulières. Lorsque le signalement d'une fraude est envisagé, plusieurs IF s'entendent pour dire que lorsque les rapports des UA sont transmis au niveau du groupe, il est plus facile pour l'organisation de suivre les tendances à long terme. Ces rapports présentent aussi à la haute direction un portrait de l'efficacité globale de la prévention de la fraude et des contrôles connexes. Certaines IF ont pu constater les avantages de l'ajout d'ICP pour mesurer certaines données liées aux clients, comme les abandons, les faux positifs et les taux d'intervention, en plus des renseignements typiques comme les pertes nettes par rapport aux prévisions budgétaires et le nombre de cas de fraude.

La troisième ligne de défense

S'il existe un thème commun entre les première et deuxième lignes de défense au sein des grandes IF, c'est que la fraude par prise de contrôle de compte n'est pas un problème qui se traite isolément. C'est pourquoi de nombreuses institutions se tournent vers des tiers pour obtenir des cadres et des pratiques exemplaires liés aux programmes de fraude par prise de contrôle de compte.

Les audits indépendants se sont avérés tout aussi importants pour veiller à ce que les contrôles financiers soient en place et fonctionnent comme prévu. Au moyen de l'analyse de données, ces audits indépendants permettent d'analyser des populations entières de données en vue d'améliorer l'échantillonnage aléatoire ou systématique habituellement effectué par les fonctions d'audit interne.

De plus, l'application d'un cadre d'assurance intégré a aidé de nombreuses IF à se sentir plus confiantes à l'égard de leur couverture des risques et de leurs contrôles. Ce cadre permet à la troisième ligne de défense d'harmoniser ses activités avec le suivi effectué par les première et deuxième lignes de défense pour mieux relever les écarts, les chevauchements et les redondances en ce qui a trait à l'assurance. Et bien que ce ne soit pas nécessairement une pratique courante, certaines IF préparent, à l'intention de leur conseil d'administration ou de leur comité d'audit, un rapport intégré par type de risque, au lieu de présenter des rapports indépendants des deuxième et troisième lignes de défense.

En somme, les IF nous disent que cette assurance intégrée offre une vision globale et complète des risques d'assurance (« une seule vérité »), tout en favorisant la collaboration à l'échelle de l'organisation.

Alors que les cybercriminels deviennent de plus en plus habiles à utiliser les techniques de piratage les plus sophistiquées, notamment la fraude par prise de contrôle de compte, les IF subissent de la pression pour utiliser des systèmes de défense tout aussi perfectionnés et rigoureux. Le modèle des trois lignes de défense permet à l'organisation de mettre à profit l'expertise de ses employés, le potentiel des données massives ainsi que les tiers entrepreneurs pour concevoir une mosaïque de solutions adaptées aux besoins des organisations. En évaluant les lacunes dans la cyberdéfense, puis en établissant un cadre global pour détecter, surveiller et gérer la fraude par prise de contrôle de compte avant et après le fait, les institutions financières peuvent être assurées que les bons contrôles sont en place en vue de l'amélioration continue de leurs capacités en matière de cyberdéfense.