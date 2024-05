Plus d’un tiers des attaques frauduleuses visant les institutions financières utilisent désormais l’IA

mai 2024 par Signicat with Consult Hyperion

Signicat annonce la publication d’un nouveau rapport sur la menace croissante de la fraude à l’identité conduite par l’IA, en partenariat avec le cabinet de conseil indépendant Consult Hyperion. L’étude révèle que les décideurs en matière de prévention de la fraude à travers l’Europe sont confrontés à une augmentation de la fraude d’identité conduite par l’IA et s’attendent à ce qu’elle se développe, mais ne sont pas préparés à y faire face et n’ont pas encore été en mesure de mettre en œuvre des mesures pour l’empêcher.

The Battle against AI-driven Identity Fraud est la première étude sur la façon dont les organisations à travers l’Europe luttent contre la menace croissante de la fraude à l’identité générée par l’IA. On y interroge des banques, des assureurs, des prestataires de paiement et des fintechs sur leur expérience, sur la manière dont l’IA modifie la fraude et sur leur préparation à la combattre. Plus d’un millier de décideurs en matière de fraude en Belgique, en Allemagne, aux Pays-Bas, en Norvège, en Espagne, en Suède et au Royaume-Uni ont participé à l’étude.

Les principales conclusions sont les suivantes :

• L’essor des « deepfakes » : Il y a trois ans, l’IA était utilisée pour créer des identités nouvelles ou synthétiques et des documents falsifiés. Aujourd’hui, l’IA est utilisée plus largement et à plus grande échelle pour les deepfakes et les attaques d’ingénierie sociale.

• Un tiers des tentatives de fraude basées sur l’IA sont réussies : 42,5 % des tentatives de fraude détectées utilisent l’IA, selon les estimations des répondants, et 29 % d’entre elles sont considérées comme réussies. Un répondant sur neuf a déclaré que l’utilisation estimée de l’IA dans les tentatives de fraude atteignait 70 % dans son organisation. On estime que 38 % des pertes de revenus dues à la fraude sont imputables à des attaques utilisant l’IA.

• Prise de contrôle de comptes dans le secteur B2B : Bien que la prise de contrôle de comptes soit généralement considérée comme un problème lié aux consommateurs, il s’agit en fait du type de fraude le plus courant pour les organisations B2B.

• Confusion sur les moyens de lutter : Les décideurs en matière de fraude reconnaissent que l’IA sera à l’origine de la quasi-totalité des futures fraudes à l’identité. Cependant, la nature exacte de l’IA, son impact et les meilleures technologies de prévention restent confus et mal compris.

• Des plans mais peu d’actions : Plus de trois quarts des entreprises ont des équipes dédiées à la question de la fraude à l’identité induite par l’IA, mettent à niveau leur technologie de prévention de la fraude et prévoient une augmentation des budgets. Cependant, moins d’un quart d’entre elles ont commencé à mettre en œuvre des mesures.

Un point d’inflexion

L’IA ne permet pas encore d’augmenter substantiellement le taux de réussite des fraudes - du moins, pas encore. Les taux de réussite des tentatives de fraude, qu’elles soient basées sur l’IA ou non, sont restés stables au cours des trois dernières années. C’est pourquoi nous nous trouvons à un point d’inflexion.

L’IA permet une fraude plus sophistiquée, à une échelle plus grande que jamais. La fraude sera probablement plus fructueuse, mais même si les taux de réussite restent stables, le simple volume de tentatives signifie que les niveaux de fraude risquent de grimper rapidement.

Au cours des trois dernières années, les fraudeurs sont passés de la création de nouveaux comptes à l’aide d’informations d’identification falsifiées à la corruption de comptes existants. L’étude de Signicat révèle que les attaques par prise de contrôle de compte sont le type de fraude le plus populaire, tirant souvent parti de mots de passe faibles ou réutilisés. Les « deepfakes », souvent utilisés pour usurper l’identité du titulaire d’un compte plutôt que de créer une nouvelle identité ou une identité synthétique, sont beaucoup plus populaires, représentant une tentative de fraude sur 15. Les fraudeurs sont prêts à évoluer et à attaquer là où ils voient des vulnérabilités.

Compris mais non préparé

Le problème de la fraude d’identité basée sur l’IA est largement compris. La plupart des décideurs en matière de fraude s’accordent à dire que l’IA est un moteur important de la fraude d’identité (73 %), que l’IA permettra à l’avenir la quasi-totalité des fraudes d’identité (74 %) et que l’IA fera en sorte que plus de personnes seront victimes de la fraude que jamais auparavant (74 %). Les organisations comprennent au moins la menace que représente l’IA dans sa capacité à rendre la fraude d’identité plus facile, plus accessible et à fonctionner à grande échelle. Ces organisations peuvent détecter l’IA dans les attaques auxquelles elles sont confrontées et elles comprennent que le problème ne fera que s’aggraver.

Cependant, elles ne sont pas préparées à cette menace. Elles ne savent pas quelles techniques et technologies les aideront le plus, et leurs plans de défense ne sont que des plans, dont les délais de mise en œuvre se situent pour la plupart dans les douze mois à venir. Ce qui est encore plus inquiétant, c’est que les organisations déclarent que les conditions sont défavorables : elles manquent de budget, d’expertise et de temps.

« La fraude a toujours été l’une des plus grandes préoccupations de nos clients, et la fraude pilotée par l’IA devient maintenant une nouvelle menace pour eux. Elle représente désormais le même nombre de tentatives réussies que la fraude en général, et elle est plus fructueuse si l’on considère la perte de revenus", a déclaré Asger Hattel, PDG de Signicat. « L’IA va devenir de plus en plus sophistiquée. Si notre étude montre que les décideurs en matière de prévention de la fraude comprennent la menace, ils ont besoin de l’expertise et des ressources nécessaires pour éviter qu’elle ne devienne une menace majeure. L’un des éléments clés sera l’utilisation d’outils de prévention de la fraude à plusieurs niveaux basés sur l’IA, afin de lutter contre ces menaces avec ce que la technologie offre de mieux. »

« Il est essentiel que les entreprises financières disposent d’une stratégie solide pour lutter contre la fraude à l’identité induite par l’IA. L’identité est la première ligne de défense", a déclaré David Birch, directeur chez Consult Hyperion. “Les systèmes d’identité doivent être capables de résister et de s’adapter à des tactiques de fraude en constante évolution, afin de protéger les clients légitimes et d’assurer la réputation du service.”

Comprenant la nécessité pour les organisations de mettre en place des défenses à plusieurs niveaux, Signicat propose des solutions d’identité numérique orchestrées de manière sécurisée et organisée, tant pour les entreprises que pour les utilisateurs finaux. De la vérification de l’identité par diverses méthodes telles que la vérification automatisée de l’identité de l’utilisateur ou les systèmes nationaux d’identité numérique, à l’authentification et aux signatures électroniques juridiquement contraignantes, Signicat couvre l’ensemble du cycle de vie de l’identité numérique. Une approche stratifiée étant essentielle pour garder une longueur d’avance sur la fraude induite par l’IA, Signicat propose également des solutions d’enrichissement et de vérification des données, ainsi qu’une surveillance continue de l’identité pour s’assurer qu’aucune fraude n’est commise après le processus d’inscription du client.

Méthodologie

Signicat a fait appel à la société de recherche indépendante Censuswide pour sonder 1206 décideurs en matière de fraude en Belgique, en Allemagne, aux Pays-Bas, en Norvège, en Espagne, en Suède et au Royaume-Uni. Les répondants à l’enquête provenaient de banques, de compagnies d’assurance, de prestataires de paiement et de fintech, et tous étaient impliqués dans le processus de prise de décision en matière de fraude. Les réponses ont été recueillies via une enquête en ligne entre le 22 mars et le 23 avril 2024.