A l'occasion du SAS Forum France 2016 qui s'est déroulé le 10 octobre dernier au Palais des Congrès de Paris, une conférence adressée aux acteurs de l'e-commerce et présentée par Florence Giuliano, EMEA Fraud Strategy Director chez SAS, avait pour but de présenter l'essentiel sur la lutte des fraudes dans le secteur et les solutions qui existent.
Verteego vous propose de (re)découvrir les derniers chiffres présentés lors de cette intervention, qui parlent d'eux-mêmes, sur cet enjeu majeur auquel la plupart de nos clients se trouvent confrontés.
L'e-commerce en croissance
Le secteur de l'e-commerce grandit à vue d’œil, et le nombre d'utilisateurs aussi. Le marché en France en 2015 représentait :
- 190 000 sites de commerce en ligne ;
- 36 millions de consommateurs français ;
- 65 milliards d'euros d'achat sur internet ;
- 1780 euros par cyber-acheteur ;
- 22,9 transactions par cyber-acheteur par an.
Les cyber-acheteurs sont majoritairement des jeunes entre 25-34 ans, avec 90% des transactions, mais on note une augmentation également chez les "séniors" (de 55 ans et plus), parmi les adeptes de l'e-commerce.
Les fraudeurs à l'étude
Évidemment, les fraudes qui accompagnent systématiquement tout flux économique, augmentent elles aussi mais sont de mieux en mieux définies. Des études ont été réalisées sur la typologies des fraudeurs, afin de cerner leurs pratiques et d'adopter les méthodes de lutte adaptées.
On peut répartir les fraudeurs en 2 grandes catégories : la fraude opportuniste et la fraude organisée.
La fraude opportuniste est, comme son nom l'indique, ponctuelle. Il s'agira d'individus utilisant des cartes bancaires trouvées ou volées pour acheter en ligne. Ce type de fraude ne représente qu'une part faible du panier des fraudeurs, comparé à la fraude organisée. Celle-ci va utiliser des cyber-acheteurs, appelées "mules", pour commettre la fraude : les fraudeurs vont se faire passer pour des organismes réels (employeur, site de rencontre, association, organisme humanitaire, ...) afin de détourner les comptes clients (phishing) et/ou utiliser les cyber-acheteur comme intermédiaires (où "mules") de réception des colis.
La professionnalisation de la fraude
On assiste, dans cette fraude organisée, à une professionnalisation de la fraude et à la construction de filières de revente, pour en faire une fraude de masse. Sans cesse à la recherche de nouvelles failles, les fraudeurs s'avèrent inventifs et deviennent :
- Plus techniques : expertise dans le domaine de la fraude numérique ;
- Dynamiques, rapides et de masse : adaptation aux nouvelles technologies et aux nouveaux systèmes de protection ;
- Multiformes : s'attaquent à tout produit de consommation
Face à l'évolution rapide des fraudes, un dispositif de lutte efficace doit :
- Évoluer en permanence ;
- Être capable d'évaluer le risque en temps réel, le volume concerné et le coût de la fraude pour se focaliser sur ce qui coûte le plus cher (le phishing par exemple coûte relativement peu) ;
- Permettre une vigilance 24h/7j et fournir au e-marchand des outils de monitoring en temps réel ;
- Agréger les données de plus en plus nombreuses provenant aussi de l'extérieur (PSP et banques, les données internes étant généralement insuffisantes) pour consolider et renforcer les analyses et la protection.
Il doit aussi s'intéresser à la valeur des produits fraudés, qui se divise en 3 catégories correspondant à des besoins du fraudeur :
- Valeur vénale : produits haut de gamme (besoin pécuniaire pour le fraudeur) ;
- Valeur sociale : produits à la mode (s’apparenter à un groupe de personnes) ;
- Valeur vitale : produits bons marchés (besoins primaires, vitaux, comme s’habiller ou se nourrir).
Les fraudes organisées portent majoritairement sur la 1ère valeur, et plus le produit est petit et cher, plus il est prisé par les filières de revente (car facile à transporter en grande quantité avec une valeur unitaire élevée).
Enjeux et solutions à la clef
Pour les commerçants victimes de ces fraudes, l'enjeu est triple :
- Financier, avec des montants pouvant s'envoler si ses marchandises répondent aux critères de produits les plus prisés ;
- Opérationnel, car les solutions de lutte contre la fraude ont certes un coût mais impliquent aussi des changements d'organisation en interne ;
- D'image, car des fraudes fréquentes entraînent une perte de réputation, de confiance dans la marque, etc.
Des solutions très répandues et désormais connues du grand public sont les mécanismes d'identification comme 3D Secure (3DS), qui ont fait leurs preuves mais qui ne sont malheureusement pas suffisants pour une lutte efficace. Un sondage mené auprès des adhérents FEVAD (Fédération E-commerce et Vente A Distance) en mai/juin 2013 a révélé que :
- pour 50 % : 3DS ne répond que partiellement à la problématique de la lutte contre la fraude ;
- pour 25 % : 3DS n'est qu'une solution parmi d'autres ;
- pour 12 % : 3DS est inadaptée aux enjeux de la fraude, c'est déjà une solution datée ;
- pour 3 % : 3DS est la solution parfaitement adaptée à la lutte contre la fraude.
C'est pourquoi de nouvelles solutions se développent, plus complètes et couvrant un large périmètre fonctionnel adapté au e-commerce. Ces solutions intègrent notamment :
- Des accès à la donnée brute, transformée et agrégée issue de sources internes et externes ;
- Des modèles dédiés à la détection par typologie de fraude ciblée ;
- La génération d'alertes pour informer et clôturer au plus vite la fraude identifiée ;
- Le pilotage de l'activité de lutte et de détection, d'un point de vue opérationnel et financier, pour adapter les outils dans le temps.
Concernant la détection des fraudes, il existe beaucoup de méthodes que l'on peut combiner les unes aux autres pour limiter les risques pour le commerçant. En voici 6 exemples, donnés le jour de la conférence, sur le schéma ci-contre.
A ces modules de détection s'ensuivent des modules d'alertes en temps réel pour contrer la fraude au bon moment. Ces alertes passent dans un workflow de traitement permettant l'apprentissage continu des algorithmes de détection.
Les solutions de lutte contre la fraude en ligne ne se résume pas pour autant à des algorithmes de machine learning capables de s'adapter à tout type de fraude. Il est nécessaire, lorsqu'un e-marchand souhaite mettre en place un tel outil, de réaliser une cartographie de la fraude à laquelle on fait face. Il est en effet indispensable d'analyser le rapport coût financier vs. coût opérationnel vs. gain de la protection. Il faut évaluer et cibler la fraude qui coûte le plus cher au commerçant, calculer les gains possibles grâce à l'outil de détection et de lutte contre cette typologie de fraude, et connaître le coût liés aux changements dans l'organisation et les pratiques en interne, pour limiter les risques. C'est la prise en compte de ces 3 facteurs qui permettra de choisir la solution la plus adaptée. Oublier l'un d'eux ne permettrait pas d'assurer que la solution offre des gains supérieurs aux coûts de la solution elle-même.
En guise d'exemple, on estime que les e-commerçants perdent jusqu'à 18% de leurs ventes à cause du 3DS qui freinent certains consommateurs. La mise en place d'un tel mécanisme permet donc de sécuriser les transactions mais fait aussi perdre des ventes. Le commerçant doit donc pouvoir décider, lorsqu'il met en place une solution anti-fraude, du seuil de risque qu'il souhaite voir appliquer. Les systèmes, analysant le comportement des clients dans le temps (nombre d'onglets ouverts, sites visités, historiques de transactions, suivi des achats par CB, adresses IP, devices et pays de connexion,...) permettent d'évaluer le niveau de risque lié à l'acheteur et laissent ou non la transaction se réaliser suivant le niveau de risque choisi.
En interne, donc, la communauté d'acteurs anti-fraude et les départements doivent s'organiser pour une lutte efficace. Les différents profils (gestionnaires de bases de données, statisticiens, experts métiers, managers, investigateurs, administrateurs) doivent pouvoir communiquer facilement et rapidement pour faire face aux fraudeurs et pour identifier les nouvelles failles.
Les projets de lutte contre la fraude dans l'e-commerce sont donc des ensembles de briques technologiques qui répondent aux besoins spécifiques d'un e-commerçant face à une typologie de fraude bien précise. Il n'existe pas de système global et universel efficace. La prévention des fraudes est encore un sujet sur lequel il reste du chemin à parcourir, pour consolider entièrement les solutions de lutte existantes.
Finalement et contrairement à ce qu'on peut imaginer, la lutte anti-fraude en ligne repose non seulement sur un calcul entre coûts et gain de mise en place d'uns solution technique, mais aussi sur les bonnes pratiques des collaborateurs et leur coordination en interne pour limiter et prévenir les risques, ainsi que sur une analyse fine, en amont, sur la typologie de fraude à laquelle on fait face. Ce sont les trois ingrédients principaux pour une lutte efficace mais là encore, ça ne suffit pas : en plus de développer des solutions modulaires qui peuvent s'adapter à chaque problématique client, il faut sans cesse faire évoluer ces solutions en fonction des nouvelles typologies de fraudes, des nouvelles failles exploitées par ces derniers, et aux nouveaux produits qui attirent leur convoitise : bien connaître les fraudeurs est indispensable pour mieux les combattre.
L'avis de Verteego : Une conférence intéressante de l'éditeur SAS sur un sujet cher à Verteego, la fraude est en effet un marché majeur pour nos modules prédictifs. En matière de fraude, il y a nécessité de 1/ cibler la problématique majeure, 2/ construire la solution adaptée à chaque client, 3/ changer les pratiques en interne, pour mettre en œuvre une démarche de changement. C'est en clarifiant la problématique qu'on offre la solution la plus efficace. Cette conférence est venue rappeler cela de manière on ne peut plus limpide.