Le Temps – Joël Winteregg, directeur de NetGuardians: «Notre but? Créer une Interpol numérique»

Le Temps: Faut-il s’inquiéter de l’augmentation des fraudes financières?

Joël Winteregg: S’en inquiéter, oui, et agir: plus l’économie se numérise, plus les paiements passent par des plateformes, plus les risques de fraudes sont nombreux. Ça ne fait que commencer.

Depuis le début de la crise sanitaire, la croissance des fraudes financières et, surtout, leur accélération sont inquiétantes. Chez NetGuardians, nous avons ainsi constaté une augmentation de 500% des arnaques aux paiements en Suisse au cours du premier semestre de cette année par rapport à la même période en 2021. Et encore, ces chiffres ne portent que sur les chiffres d’un échantillon de nos clients: elles ne sont que la partie émergée de l’iceberg. Elles s’élèvent en moyenne à 25 000 dollars, pouvant aller jusqu’à 500 000 dollars. Et nous nous attendons à voir davantage d’arnaques aux paiements en 2023.

Selon une étude de Juniper Research, les pertes liées à la fraude sur les paiements en ligne dépasseront 343 milliards de dollars dans le monde au cours des cinq prochaines années.

A quoi cela est-il dû?

En tout premier lieu, à la professionnalisation de la fraude. Le temps où le piratage était essentiellement synonyme de petits délits a cédé la place à des infractions de plus grande envergure, qui supposent de maîtriser de mieux en mieux l’IA.

En second lieu, à la sophistication des possibilités qu’offre précisément l’IA. Il y a quelques années, générer un simple spam ou une fausse adresse e-mail, ce qui est à la portée de quasiment tout le monde, suffisait à gagner quelques dizaines de milliers de francs. Aujourd’hui, les infractions sont plus subtiles: les concevoir relève de professionnels. Les identifier aussi.

Anecdotique il y a cinq ans, la fraude s’est généralisée. Tant et si bien que notre pain quotidien consiste à repérer des factures de fin de mois suspicieuses, à arrêter des paiements frauduleux, à apporter un niveau de contrôle supplémentaire indispensable.

Qui sont ces nouveaux fraudeurs?

La palette est large, depuis des amateurs qui approchent la fraude comme un hobby, aux bandes organisées qui en font une industrie.

N’importe quel ingénieur dans un cursus technologique est capable de répliquer le site web d’une banque avec un accès, d’envoyer un e-mail sous une fausse identité, et de capturer le mot de passe d’un client en temps réel (realtime phishing). Il peut alors transférer de l’argent vers des faux numéros IBAN de comptes «mules» qui se louent n’importe où. Il peut également, et c’est un autre exemple parlant en cette période où le prix de l’électricité a pris l’ascenseur, émettre de fausses factures au nom des SIG ou de tout autre fournisseur. Les clients, s’attendant à une augmentation, donc ne prêteront pas attention. Ils régleront leur facture en ligne vers un IBAN d’un compte «mule». Inutile d’être très malin pour y arriver. Ils trompent les utilisateurs, et non leur banque, c’est presque un jeu d’enfant.

Pris isolément, ce type de fraudeur n’est pas forcément dangereux. Les montants détournés passent facilement inaperçus, ils se fondent dans la masse. Le problème est qu’ils sont de plus en plus nombreux. Les fraudeurs professionnels, eux, sont très organisés. Leurs forfaits portent sur des opérations à grande échelle et sur des montants beaucoup plus élevés. Le point commun à tous les fraudeurs est leur immunité: ils sont très peu à se faire arrêter. Il arrive de temps en temps que des gangs soient repérés grâce à des enquêtes de procédures fédérales, mais c’est compliqué. Frauder est devenu si facile qu’il est difficile de résister à la tentation.

Comment contrer ce mouvement?

La seule solution est d’équiper les banques d’outils qui, grâce à l’IA, sont capables d’analyser toutes les données relatives aux flux sortants sans exception, et de les comparer à des données historiques en temps réel. Dès qu’une anomalie est repérée, une alerte est créée, le client est contacté. Naguère encore, les banques se contentaient d’appliquer des règles – qui fonctionnaient comme des filtres sur un fichier Excel. Ce système a marché tant que le nombre de fraudes est resté limité. Il est parfaitement obsolète aujourd’hui.

De fait, seule l’intelligence artificielle est capable de mettre en échec les fraudes. Nous vivons dans une ère de guerre des IA. Pour la gagner, il faut continuer d’investir dans le développement de l’IA, dans sa capacité de traitement et d’analyse de toujours plus de données. Sans pouvoir à coup sûr empêcher un détournement malveillant de son usage…

Concrètement, nous connectons un logiciel dans le circuit de paiement des banques. La configuration ne prend que quelques jours. Dès la mise en production, un paiement qui serait identifié comme atypique sur la base du passé du compte client est intercepté.

C’est donc au niveau des banques, et non des cartes de paiement, que la prévention est la plus efficace?

Ce sont deux niveaux de contrôle complémentaires, mais très différents. La détection des fraudes est dans l’ADN des Visa, MasterCard, etc. Elle repose sur l’application systématique de règles pas forcément très intelligentes mais adaptées en temps réel par des experts en mégadonnées.

Les solutions développées pour les banques aujourd’hui, telles que celle de NetGuardians, font appel à l’IA et à l’autoapprentissage, qui permet rapidement d’intégrer et d’interpréter les données. C’est beaucoup plus efficace et cela requiert beaucoup moins de spécialistes en interne.

Toutes les banques? Même les banques centrales?

40% des banques cantonales helvétiques ont opté pour notre solution (parmi lesquelles la ZKB, la BLKB et la LUKB). Notre portefeuille de clients compte également des banques numériques et des banques privées – Pictet ou Lombard Odier notamment.

Les banques centrales ne sont pas en reste. Dans leur cas, les volumes de transactions sont bien évidemment moins nombreux mais les montants en jeu colossaux. S’il paraît plus difficile, sinon impossible de pirater leur système de paiement, des précédents ont eu lieu. Réussi dans le cas de la banque centrale du Bangladesh en 2016, raté dans celui de la banque centrale de Tunisie au début de l’année 2022. Voilà pourquoi plusieurs d’entre elles nous ont mandatés pour installer notre solution, adaptable à tout type d’institutions financières. La clé est l’IA qui fonctionne aussi bien pour repérer des anomalies sur de gros nombres de transactions que de petits.

A terme, notre objectif est de connecter le plus grand nombre de banques possibles sur une seule et même plateforme de détection des fraudes. Une sorte d’Interpol numérique pour lutter contre les crimes financiers.

Une Interpol pour quoi faire?

Pour mettre les établissements bancaires au même niveau de maturité que les entreprises criminelles, solides et très organisées, des fraudeurs professionnels. C’est la condition pour qu’ils soient mieux et durablement protégés.

Envisagez-vous d’étendre votre clientèle aux entreprises?

C’est probablement la prochaine étape de notre développement stratégique via le virage communautaire que nous entamons (l’Interpol de la prévention de la fraude). L’objectif est de consolider et contextualiser les informations collectives des banques, des FinTech et d’autres sources pour fournir une capacité de « scoring » améliorée.

Imaginez, avant de faire un paiement, vous avez la possibilité «d’appeler» l’Interpol de la prévention de la fraude afin de leur demander d’analyser le paiement que vous allez saisir. Tout cela de manière transparente et en temps réel. C’est le concept de «community scoring» que nous allons dévoiler au public prochainement. C’est de l’IA collective et c’est l’avenir de la lutte contre la criminalité. C’est grâce aux talents de notre équipe très internationale (26 nationalités) que nous sommes précurseurs dans ce domaine. Notre ADN est suisse, mais nos ambitions sont globales.

Avec le même modèle d’affaires?

Il est prématuré de le dire. Aujourd’hui, nos revenus proviennent des abonnements annuels pour l’utilisation de la licence et des frais d’installation de notre solution. Les abonnements varient en fonction de la taille de la banque et des volumes de paiement.