En préambule à cette matinée, José Diz a posé aux intervenants plusieurs questions pour lancer le sujet : Quels moyens pour contenir ou endiguer la fraude numérique ? Qu’entend-on par fraude numérique ? Chiffres et tendances sur la fraude. Quels moyens pour la détecter ou la prévenir à travers des exemples concrets ? Cloud, réseaux sociaux et mobilité aggravent-ils vraiment la situation ?

Alain Pétrissans d’IDC France a présenté les résultats de l’étude IDC sur la fraude en particulier concernant le vol de données personnelles et professionnelles, les données de santé.... Cette fraude touche tous les secteurs aujourd’hui. Pour étayer son propos il a rappelé quelques chiffres :

– Dans le domaine de la finance la détection de la fraude est d’environ +7,3% la croissance 2014 des dépenses IT des banques européennes pour combattre la fraude financière ce qui est particulièrement important en rapport avec les 3,3% de croissance pour les dépenses IT globales.
– Quant aux systèmes SCADA le nombre d’attaques aurait augmenté de 600% entre 2010 et 2014.

Ainsi, il explique qu’il y a toujours plus de vol, de techniques nouvelles utilisées pour y arriver et des processus d’attaques sont de plus en plus souvent ciblés. En regard, des solutions existent comme le recours aux technologies d’analytiques et de Big Data, l’amélioration de la Gouvernance des données par le Nettoyage, l’intégration et les systèmes de Protection des données. A cela il faut ajouter l’analyse des transactions en temps réel, la gestion des identités, avec sous jacent les outils d’authentification et d’autorisation. Enfin, il a rappelé l’importance des actions de sensibilisation les utilisateurs.

José Diz : Qu’est-ce que la fraude numérique ?

Thierry Jardin CGI Business Consulting recense trois types de fraudes. La fraude à l’identité, le vol des données personnelles et stratégiques et enfin la fraude numérique liée au domaine bancaire.
Rebondissant sur les données critiques, il explique que pour les entreprises savoir ce qu’est une donnée critique est une des difficultés. Ces dernières concernent semble t’il uniquement 2% des informations. Si aujourd’hui, la sécurité est un sujet encore « annexe » au sein des entreprises, le nouveau règlement européen va sans doute changer la donne du fait de l’obligation de publication des pertes de données et les amendes associées.

José Diz : Comment faire pour s’en protéger ?

Selon Marc Cierpisz, Econocom Osiatis, les entreprises pour les grandes font de la sécurité et de la conformité pour se protéger de la fraude. Effectivement, on en fait, reprend Thierry Jardin, CGI Business Consulting, mais tant qu’il n’y a pas d’impact sur le business, les entreprises font le minimum réglementaire. Par contre, suite à un grave incident, les budgets peuvent se débloquer parfois même de façon importante. En France, moins qu’ailleurs, le marché de la sécurité est encore peu mature. Par exemple, des vrais projets de SOC se compte sur les doigts des deux mains expliquent de concerts Claire Souhaut, HP et Benoit Rostagni, RSA groupe EMC2. Ce dernier explique que la détection de la fraude se base le plus souvent sur l’analyse comportementale des utilisateurs.

Pour Yannis Marigo Terradata, le croisement d’un maximum de données permet de mieux détecter la fraude d’où l’intérêt de l’analyse du Big Data. Par exemple, la détection de multiples transactions peut répondre à cette problématique. Pour y arriver, il faut travailler avec les métiers et ainsi mieux comprendre les habitudes. Ainsi, l’analyse prédictive peut être un bon moyen semble t’il. Thierry Jardin, CGI Business Consulting rappelle qu’aucun outil technique ne va détecter la fraude. En revanche, le savoir faire des collaborateurs de l’entreprise qui connaissent les comportements des clients est essentiel. En France, les entreprises du domaine bancaire veulent travailler seules alors qu’en Grande Bretagne les banques mettent leur donner métier en commun pour lutter contre la fraude.

José Diz : Est-ce que les RSSI, Risk manager, métiers communiquent ensemble ?

Selon Claire Souhaut, HP, cette communication bouge peu du fait de l’organisation en silo des entreprises.
Au lieu d’essayer de bloquer l’adversaire avant qu’il rentre, il faut plutôt le bloquer quand il est entré. Il faut en moyenne 6 mois aujourd’hui pour qu’une entreprise s’aperçoive qu’elle est piratée. Marc Cierpisz Econocom Osiatis, reprend ce propos en expliquant que cette faiblesse est sans due au fait que sécurité périmétrique est aujourd’hui une commodité qui permet d’avoir un discours de sécurité.

José Diz : Data center, mobile, réseaux sociaux, Cloud, nouveaux moyens d’attaque ?

Effectivement répond Thierry Jardin, CGI Business Consulting, mais il ne faut pas oublier que les portes d’entrée aujourd’hui passe souvent par les prestataires. Les réseaux sociaux, pour leur part, sont à la fois un moyen d’attaques mais aussi de détection d’attaques. En effet, souvent les pirates explique sucrés réseaux leur actions.... Claire Souhaut, HP rapporte qu’il faut tout de même monitorer ces alertes pour éviter d’avoir à gérer trop d’informations. Quant aux applications mobiles mises en ligne il semble que 95% d’entre-elles soient des portes d’entrées pour obtenir des données personnelles.

José Diz : Qui a la contrainte pénale en France ?

C’est le responsable du traitement explique Thierry Jardin, CGI Business Consulting. Par contre, in fine, c’est toujours le mandataire sociale qui est responsable. Toutefois, les sanctions sont toujours faibles.

José Diz : quelles actions sont menées en France suite à des incidents ?

Claire Souhaut, HP explique que souvent les mesures sont prises après un incident grave, comme par exemple le cas d’une grande banque française qui après une attaque réussie a mis en place un SOC. Toutefois cette mise en place débutée il y a déjà deux ans n’est pas encore opérationnelle à 100% aujourd’hui. Marc Cierpisz Econocom Osiatis rapporte que le domaine bancaire n’est pas unique, il cite par exemple le domaine de la santé. Dans les Telecom, la fraude passe souvent par les SIM BOX explique Yannis Marigo Terradata. Pour la repère on fait appel à réseaux de neurones pour repérer les comportements anormaux de ces cartes.

Au final, la fraude a encore de beau jour devant elle entre des outils en devenir, des usages à risque faute d’éducation et des législations trop peu efficaces…