Le vrai visage de la fraude #4 : pourquoi le secteur financier peine à reprendre la main sur la fraude  1

Nous pensons comprendre la fraude. Nous l’étudions, légiférons contre elle, investissons des milliards pour la combattre. Et pourtant, les pertes continuent d’augmenter, les attaques se sophistiquent et les criminels gardent une longueur d’avance. Dans ce volet de notre série, nous examinons les raisons structurelles pour lesquelles le secteur financier accuse ce retard, et pourquoi le combler exige bien plus que de meilleurs outils.

Tout au long de cette série, nous avons mis en lumière l’ampleur des opérations de fraude industrialisées : des complexes générant des milliards de dollars, employant des centaines de milliers de travailleurs victimes de trafic, des hiérarchies calquées sur le modèle de l’entreprise avec des départements R&D qui développent des attaques alimentées par l’IA, et des plateformes sophistiquées de Fraud-as-a-Service qui démocratisent la cybercriminalité. Nous vous avons montré la mécanique. Vient maintenant la question la plus difficile : pourquoi la société n’a-t-elle pas réussi à l’enrayer ?

La réponse simple est que la fraude est plus rapide, moins coûteuse, plus scalable et plus collective que la réponse du secteur. Les syndicats de fraude n’attendent pas le prochain cycle réglementaire et ne fonctionnent pas en silos. Ils itèrent en temps réel, partagent librement leurs renseignements et exploitent chaque faille, qu’elle soit technique, institutionnelle ou humaine, dès qu’elle apparaît. Pendant que les entreprises s’efforcent de répondre à la dernière attaque, les fraudeurs sont déjà passés à la suivante.

Soyons clairs : la fraude ne sera jamais éradiquée. Elle existait bien avant Internet et bien avant l’identité numérique. Des acteurs malveillants chercheront toujours à exploiter le système à leur profit. Mais l’objectif n’est pas l’éradication. C’est de rendre la fraude plus difficile, plus coûteuse et moins scalable. Pour y parvenir, nous devons comprendre précisément pourquoi le secteur continue de perdre du terrain.

La fraude financière mondiale dépasse 1 000 milliards de dollars : comprendre l’ampleur de la crise

Le coût financier de la fraude est colossal. Les pertes mondiales ont dépassé 1 000 milliards de dollars en 2024, et les banques devraient perdre plus de 45 milliards de dollars chaque année. L’instruction d’un seul incident de fraude coûte en moyenne 4,3 millions de dollars aux établissements, en incluant l’enquête, le recouvrement et les amendes réglementaires. À l’échelle mondiale, les dépenses annuelles de lutte contre la fraude dépassent 12,6 milliards de dollars.

Mais le coût va bien au-delà des bilans institutionnels. Si de nombreuses banques peuvent absorber ces pertes, les victimes, elles, récupèrent rarement leur argent. Seules 4 % d’entre elles récupèrent leur argent. Dans les cas de fraude aux cryptoactifs, la perte moyenne par victime s’élevait à 12 400 dollars en 2024, représentant souvent l’intégralité d’une épargne constituée sur une vie, anéantie en quelques minutes.

Au moment où une victime signale une escroquerie, les fonds ont déjà transité par plusieurs juridictions, été convertis en cryptomonnaies, dissimulés via des sociétés écrans et transférés dans des portefeuilles contrôlés par des syndicats retranchés dans des complexes protégés par des officiels corrompus. Comment de telles organisations criminelles peuvent-elles continuer à prospérer quasiment sans entrave ?

Pourquoi la fraude prospère : les 5 failles structurelles du secteur

1. L’IA au service des fraudeurs : une arme redoutable et accessible

Le changement le plus significatif dans le paysage de la fraude au cours des deux dernières années n’est pas réglementaire ni économique : il est technologique. Les syndicats de fraude ont industrialisé l’IA, avec des conséquences dévastatrices. L’IA générative permet désormais la production en masse d’identités synthétiques : visages réalistes, documents falsifiés, données biométriques usurpées et vidéos deepfake capables de tromper des systèmes de vérification conçus pour faire face aux menaces d’hier. Le clonage vocal permet aux fraudeurs d’usurper l’identité de clients, de dirigeants, voire de proches, en temps réel. Les grands modèles de langage alimentent des campagnes de phishing hyper-personnalisées à grande échelle. L’époque des messages en anglais approximatif et des indices grossiers qui trahissaient les arnaques est révolue.

Ce n’est plus le domaine exclusif d’acteurs étatiques sophistiqués. Les outils d’IA sont disponibles dans le commerce, peu coûteux et de plus en plus accessibles via des plateformes de Fraud-as-a-Service. Nous avons récemment décrit comment les syndicats de fraude fonctionnent comme des entreprises technologiques, avec des fonctions R&D, des cycles d’itération produit et des processus d’assurance qualité. Chaque fois que les défenseurs mettent à jour leurs modèles, les attaquants ont déjà mis à jour les leurs.

La prise de conscience du secteur face à l’IA comme vecteur de menace n’a pas suivi le rythme auquel les fraudeurs l’ont armée. Avant d’examiner pourquoi les défenses peinent à tenir, il faut distinguer deux vecteurs d’attaque que l’IA a considérablement amplifiés, chacun à sa manière :

  • Les attaques techniques, comme les identités synthétiques, les deepfakes, les attaques par injection et le vol de données d’identification, visent à contourner les contrôles de vérification et d’authentification.
  • L’ingénierie sociale cible les individus : phishing, vishing, usurpation d’identité et fraude aux virements autorisés manipulent les victimes pour qu’elles autorisent elles-mêmes des transactions. L’IA a amplifié les deux : elle rend les attaques techniques plus difficiles à détecter et les attaques d’ingénierie sociale plus difficiles à identifier.

Chacune de ces menaces appelle des approches fondamentalement différentes.

2. Des systèmes de défense en silos : le talon d’Achille des organisations

La fraude est une entreprise criminelle mondiale, en réseau et collaborative. Les défenses construites pour la contrer ne le sont pas.
Le problème est structurel : le dispositif anti-fraude type est un ensemble d’outils déconnectés, chacun opérant dans son propre silo de données. La vérification d’identité, le scoring de risque, la surveillance des transactions, l’authentification : chacun remplit sa fonction de manière isolée, sans jamais communiquer avec les autres.
Un signal de risque détecté lors de l’onboarding ne remonte jamais jusqu’au système de surveillance des transactions. Un comportement de connexion suspect n’est jamais répercuté sur la vérification d’identité suivante. Les fraudeurs exploitent délibérément ces angles morts, adoptant un comportement irréprochable à un point de contact tout en agissant de manière frauduleuse à un autre.

La faille au niveau de l’authentification est particulièrement dangereuse. Dans un dispositif fragmenté, la personne authentifiée lors de la connexion n’a aucun lien vérifié avec l’identité établie lors de l’onboarding. L’authentification devient un identifiant distinct, un mot de passe ou un OTP, qui pourrait appartenir à n’importe qui. La prise de contrôle de compte exploite précisément cette faille. Le fraudeur n’a pas besoin de contourner le contrôle KYC initial : il lui suffit de contourner la couche d’authentification, bien plus faible, qui n’en garde aucune mémoire.

Les régulateurs opèrent sans cadres de reporting harmonisés entre juridictions. Les services répressifs n’ont pas accès en temps réel aux données de transaction. Les éditeurs de solutions de détection de la fraude développent leurs outils de manière isolée, résolvant souvent des parties du même problème sans jamais relier les points.

Il en résulte une asymétrie profonde : les syndicats de fraude partagent des bases de données de victimes, coordonnent leurs attaques à l’échelle internationale, mutualisent leurs ressources et tirent les enseignements de leurs succès respectifs. Les défenseurs, eux, opèrent sans renseignement partagé. Et les criminels exploitent chaque faille qui les sépare.

3. Expérience utilisateur contre sécurité : quand l’obsession de la conversion fragilise les défenses

L’une des raisons les moins reconnues pour lesquelles la fraude gagne du terrain n’a rien à voir avec les criminels : elle tient aux choix que font les entreprises dans la conception de leurs parcours client.

Confrontées à un arbitrage entre taux de conversion et friction sécuritaire, trop d’entreprises choisissent la conversion. Les flux d’onboarding sont délibérément raccourcis, les étapes de vérification sont réduites pour limiter l’abandon, et les signaux de risque sont relégués au second plan dès qu’ils menacent les indicateurs d’expérience utilisateur. Le résultat est un dispositif de défense calibré non pas pour bloquer la fraude, mais pour être juste suffisant afin qu’elle ne soit pas immédiatement visible.

Les fraudeurs sont des acteurs rationnels. Ils ciblent le chemin de moindre résistance. Les entreprises qui optimisent pour la rapidité et la fluidité de l’onboarding deviennent, par conception, les cibles les plus faciles. Les cibles les plus vulnérables sont toujours les premières visées.

Au fond, il s’agit d’un échec stratégique, et non technologique. La prévention de la fraude est trop souvent traitée comme un centre de coûts plutôt que comme un avantage concurrentiel, financée de manière réactive et dotée de ressources défensives. Tant que ce calcul ne changera pas, les fraudeurs continueront d’exploiter l’écart entre ce que les entreprises affirment en matière de sécurité et ce qu’elles y investissent réellement.

4. Détection de fraude réactive : pourquoi agir après coup ne suffit plus

La détection de la fraude a historiquement reposé sur des règles : définir à quoi ressemble une attaque connue, écrire une règle pour la détecter, déployer la règle. Le problème est que, le temps qu’une règle soit rédigée, testée et déployée, l’attaque qu’elle était censée intercepter a déjà évolué. Les fraudeurs sont extrêmement rapides et ne préviennent pas de leur prochain mouvement. Ils sondent les systèmes, identifient les failles, exécutent leurs attaques et itèrent, souvent en quelques heures.

La fraude n’est généralement détectée qu’après coup, une fois le mal fait. Et au moment où les règles mises à jour sont déployées, le schéma d’attaque a déjà changé. C’est précisément pourquoi une approche réactive ne peut pas fonctionner. Elle repose sur l’hypothèse que le paysage des menaces est suffisamment stable pour être défini et codifié, ce qui est tout simplement faux.

La différence clé réside dans la vitesse : la fraude se produit en temps réel, tandis que la plupart des systèmes conçus pour la contrer réagissent avec un délai de plusieurs semaines, voire plusieurs mois. Il est impératif de passer d’une approche réactive à une approche proactive : de systèmes qui ne détectent la fraude connue qu’après qu’elle s’est produite, à des systèmes capables de détecter des anomalies, d’identifier des signaux de risque et de signaler des comportements suspects avant même qu’une attaque n’ait lieu, y compris face à des schémas d’attaque jusqu’alors inconnus.

5. Fraude sans frontières, régulation fragmentée : un déséquilibre structurel

Contrairement à la réglementation et aux forces de l’ordre, la fraude ne connaît pas de frontières. Un escroc basé en Birmanie cible une victime en Norvège via une infrastructure hébergée en Europe de l’Est, blanchit des fonds sur des plateformes d’échange de cryptomonnaies dans plusieurs juridictions et les récupère grâce à des mules financières au Royaume-Uni, souvent elles-mêmes victimes recrutées par des campagnes d’ingénierie sociale.

Chaque étape franchit une frontière juridique. Chaque frontière ralentit la réponse. Les syndicats de fraude localisent délibérément leurs opérations dans des juridictions où la réglementation est fragmentée, les moyens répressifs insuffisants et la coopération internationale lente. Poursuivre des criminels au-delà des frontières requiert des protocoles de partage de preuves, des traités d’extradition et une coordination multilatérale pouvant prendre des mois. Le temps que la coopération internationale soit obtenue, la piste est froide et l’argent a disparu.

Les cadres réglementaires varient également de manière significative dans leurs exigences en matière de vérification d’identité, de surveillance des transactions et de signalement de la fraude, créant des failles que les réseaux criminels sophistiqués excellent à identifier et à exploiter. Tant que la réglementation n’aura pas rattrapé la réalité transfrontalière de la fraude, la complexité juridictionnelle restera l’un des outils les plus fiables dans l’arsenal des fraudeurs.

Vers une riposte coordonnée : les signaux encourageants qui se dessinent

Malgré ces obstacles, la tendance commence à s’inverser. Des pays harmonisent leurs réglementations via des cadres tels que le Règlement AML de l’UE (AMLR). Des écosystèmes multi-parties prenantes se constituent pour permettre le partage de renseignements en temps réel entre banques, régulateurs et forces de l’ordre. Des technologies avancées, de la détection de fraude par IA à la blockchain en passant par l’analyse comportementale, comblent des failles que les criminels exploitaient depuis longtemps.

Le changement le plus important est peut-être d’ordre conceptuel : abandonner l’idée que la vérification d’identité est un événement ponctuel. La fraude ne se produit pas uniquement lors de l’onboarding. Les contrôles ne doivent donc pas s’y arrêter non plus. Ce qu’il faut, c’est une vision unifiée du client sur l’ensemble de son cycle de vie : une vision qui se met à jour en continu, signale les anomalies et traite la confiance non comme une barrière à franchir, mais comme un signal à entretenir.

La Trust Platform d’IDnow est précisément conçue pour cette nouvelle réalité. Là où les systèmes historiques s’appuyaient sur un signal unique, qu’il s’agisse d’un contrôle documentaire ou d’un scan biométrique, IDnow agrège et croise simultanément de multiples signaux : documents, données biométriques, données d’appareil, comportements et indicateurs contextuels. Cela inclut la capacité 360 Signals, qui détecte les récidivistes en identifiant la réutilisation suspecte de visages, de modèles de documents et d’appareils entre les sessions, même lorsque les signaux individuels semblent légitimes pris isolément. Des fonctionnalités telles que le scoring de risque en temps réel, les listes de blocage et la visualisation du graphe d’identité offrent aux établissements financiers non pas un simple instantané de l’identité déclarée d’une personne, mais une image continuellement mise à jour de sa fiabilité, lors de l’onboarding et tout au long du cycle de vie client.

« Cette image continue est ce qui change la donne : la confiance ne s’établit pas une fois pour toutes, elle doit être maintenue et vérifiée à chaque étape », déclare Christophe Chaput, Principal Product Manager chez IDnow.

La technologie et la réglementation seules ne suffiront pas à gagner cette guerre. La fraude gagne parce qu’elle est plus rapide, moins coûteuse, plus scalable et plus collaborative que la réponse du secteur. La solution n’est pas de faire davantage de la même chose. C’est de changer fondamentalement de modèle : passer de défenses réactives et cloisonnées à une protection proactive, alimentée par l’IA et intégrée, couvrant la vérification d’identité, l’authentification et la surveillance continue de la confiance sur l’ensemble du cycle de vie client, conçue pour évoluer à la vitesse de la menace.

Découvrez comment la Trust Platform d’IDnow vous offre une vision continuellement mise à jour de l’identité, de l’onboarding à l’ensemble du cycle de vie client.

Vous souhaitez lire d’autres articles de notre série ? Découvrez :

Par

Le vrai visage de la fraude #4 : pourquoi le secteur financier peine à reprendre la main sur la fraude  2

Nikita Rybová
Customer & Product Marketing Manager chez IDnow
Rejoignez Nikita sur LinkedIn