Une menace, deux réponses : pourquoi les équipes de cybersécurité et de lutte contre la fraude ne peuvent pas rester cloisonnées

• La fraude commence souvent par un cyberincident, mais les signes avant-coureurs passent inaperçus lorsque les équipes de cybersécurité et de lutte contre la fraude fonctionnent en silos. 
• Des silos persistent entre les équipes de cybersécurité et de lutte contre la fraude en raison d’un manque de communication et de partage des données, ce qui compromet la capacité des banques à détecter et à arrêter la fraude à un stade précoce. 
• Les renseignements sur les menaces spécifiques aux paiements offrent aux équipes de sécurité une vision commune pour identifier les liens entre les cyberincidents et les risques de fraude, ce qui permet des réponses plus rapides et plus proactives qui réduisent les pertes et améliorent l’intégration de la cyberfraude.  

Les équipes de lutte contre la fraude et de cybersécurité traquent les mêmes criminels sur des voies parallèles.

Dans la plupart des organisations, les équipes de cybersécurité se concentrent sur la détection et le confinement des violations, tandis que les équipes de lutte contre la fraude surveillent les transactions suspectes qui signalent que des données volées sont en cours d’utilisation. Leurs enquêtes sont souvent liées, mais en l’absence de coordination, les signes avant-coureurs de fraude passent entre les mailles du filet. 

Cet écart coûte cher aux banques : 60 % des responsables mondiaux de la fraude et des risques déclarent qu’ils n’apprennent pas l’existence des cyberviolations avant que les pertes dues à la fraude aient commencé à se produire et que les données volées aient été monétisées. Ce délai donne aux attaquants une longueur d’avance et laisse les banques rattraper leur retard.

À mesure que la cyberfraude augmente, les banques doivent traiter l’intégration de la cyberfraude comme une priorité commerciale, et pas seulement comme une solution technique. Cela commence par une assistance de niveau C pour éliminer les silos et se poursuit par des étapes pratiques telles que l’amélioration du partage des données, l’alignement des indicateurs de réussite et l’adoption d’une approche unifiée des renseignements sur les menaces.

Les équipes de cybersécurité et de prévention de la fraude partagent l’objectif d’assurer la sécurité des banques, mais restent souvent cloisonnées en raison de différences fondamentales.

Les principaux obstacles sont les suivants :

• Priorités et indicateurs de réussite 
• Langue de fonctionnement 
• Structure organisationnelle 

Bien que les équipes de cybersécurité et de lutte contre la fraude protègent toutes deux la banque, elles fonctionnent avec des priorités et des indicateurs clés de performance (KPI) distincts.

Les équipes de cybersécurité :

• Se concentrer sur la protection des réseaux, des systèmes et des données contre les accès non autorisés ou les attaques 
• Détectez et circulez les violations en surveillant les vulnérabilités techniques et les activités des menaces 
• Mesurez le succès à l’aide d’indicateurs tels que la vitesse de réponse aux incidents, la maîtrise des menaces et la conformité aux cadres de sécurité 

Équipes de lutte contre la fraude :

• Se concentrer sur la protection des clients et des transactions contre les activités frauduleuses afin de maintenir la confiance des clients 
• Détectez les activités suspectes grâce à des outils de surveillance des paiements et de détection des fraudes, et travaillez directement avec les clients pour résoudre les problèmes 
• Mesurez le succès en fonction d’indicateurs tels que la réduction des taux de fraude, le recouvrement des pertes et la satisfaction des clients

Étant donné que chaque groupe a des objectifs différents, il n’existe pas de taxonomie ou de mécanisme commun pour faciliter l’échange d’informations sur une base régulière.

Les équipes de cybersécurité et de lutte contre la fraude utilisent des vocabulaires différents, ce qui contribue aux défis de communication. Par exemple, les responsables de la cybersécurité peuvent utiliser le terme « compromission » pour décrire un attaquant qui s’attaque aux systèmes internes de la banque. Pour les équipes de lutte contre la fraude, le même terme peut décrire un compte marchand ou client piraté.

Ces différences de vocabulaire semblent mineures, mais elles mettent en évidence un problème plus large : la cybersécurité et la prévention de la fraude sont des disciplines distinctes qui font rarement l’objet de conversations. L’absence d’un langage commun rend la collaboration difficile.

Dans de nombreuses institutions financières, les équipes de cybersécurité et de lutte contre la fraude siègent dans différentes divisions et rendent compte par l’intermédiaire de chaînes de commandement distinctes. 

Par conséquent, les informations ne sont généralement échangées que lorsque des problèmes urgents surviennent. En fait, 24 % des émetteurs et acquéreurs mondiaux ne disposent toujours pas de processus formels de collaboration en matière de cyberfraude. 

Les banques ont besoin d’une gestion du changement intentionnelle pour surmonter ces obstacles structurels. En établissant des points de contact réguliers et en utilisant des renseignements partagés, les équipes de lutte contre la fraude et de cybersécurité peuvent montrer la valeur de l’intégration et encourager les dirigeants à conduire des changements structurels plus profonds.

Le manque d’intégration entre les équipes de cybersécurité et de lutte contre la fraude est plus qu’un risque théorique. Cela se produit tous les jours dans des cas de fraude dans le monde réel. 

Par exemple, voici comment une attaque de skimming numérique peut s’intensifier avec des équipes de cybersécurité et de fraude cloisonnées :

1. L’équipe cyber détecte un risque de violation : L’équipe de cybersécurité reçoit des informations sur l’augmentation des injections de logiciels malveillants sur les sites de commerce électronique. (Ces attaques sont en hausse. Près de 11 000 domaines e-commerce uniques ont été identifiés avec des infections par e-skimmer en 2024, soit trois fois plus qu’en 2023.) Étant donné que la menace n’affecte pas directement l’infrastructure numérique de la banque, l’équipe cyber ne partage pas les informations et ne prend aucune mesure. 
2. L’équipe de lutte contre la fraude voit les retombées : Quelques semaines plus tard, l’équipe de fraude bancaire émettrice remarque une augmentation des rétrofacturations et des transactions suspectes. Sans contexte de la part de l’équipe cyber sur la recrudescence des attaques e-skimmer, ils traitent l’activité comme une fraude isolée. 
3. La cause profonde révélée trop tard : Après une enquête plus approfondie, l’équipe de lutte contre la fraude retrace la fraude jusqu’aux sites infectés. À ce moment-là, les attaquants ont déjà monétisé les données de la carte volée. Les dommages ne se limitent pas au titulaire de la carte. L’acquéreur absorbe souvent la dette ou le coût des transactions frauduleuses. 

Bien que l’équipe de cybersécurité ait identifié une menace potentielle, elle ne disposait pas d’un processus pour transmettre des renseignements à l’équipe de lutte contre la fraude, ce qui a permis à la fraude de s’intensifier sans être détectée.

L’un des meilleurs endroits pour commencer à briser les silos entre la fraude et la cybersécurité est le partage de renseignements sur les menaces.

Les renseignements sur les menaces fournissent des données et des informations sur les cyberattaques émergentes. Lorsque ces informations sont adaptées aux paiements, elles aident à combler le fossé entre les cyberincidents et les risques de fraude au niveau des transactions, en donnant aux équipes une base commune sur laquelle agir.

Dans ce contexte, les équipes de cybersécurité et de lutte contre la fraude peuvent :

• Partager les données de manière cohérente 
• Parler une langue commune 
• Coordonner la réponse aux menaces 

Les équipes de lutte contre la cybersécurité et la lutte contre la fraude doivent aller au-delà de la communication ad hoc et établir des points de contact réguliers pour partager des informations. Les renseignements sur les menaces spécifiques aux paiements soutiennent ce processus en créant une base commune d’informations pertinentes. 

Par exemple, les synchronisations hebdomadaires des renseignements permettent aux groupes de collaborer et d’identifier les modèles de fraude émergents. Au cours de ces synchronisations, les équipes peuvent partager en toute sécurité des informations sur les pages de paiement compromises des marchands ou les numéros de carte volés apparaissant sur des places de marché criminelles, conformément aux bonnes pratiques de protection des données. 

De même, les dirigeants peuvent renforcer cette collaboration. Les RSSI peuvent poser des questions sur les risques de fraude lors des briefings cyber ou impliquer les équipes de lutte contre la fraude dans les examens des menaces pertinents, signalant ainsi que le partage des données est une priorité organisationnelle. Il est tout aussi important de s’assurer que les informations du titulaire de la carte et les informations d’identification du commerçant sont protégées et traitées en toute sécurité afin d’éviter toute autre compromission.

Les équipes de cybersécurité et de lutte contre la fraude définissent les risques différemment, ce qui crée des défis d’alignement. Cependant, l’utilisation de la Threat Intelligence pour cartographier les menaces techniques et la fraude en aval aide les équipes à comprendre comment leurs priorités se chevauchent. 

Pour les RSSI, ce lien clarifie les enjeux business derrière les défenses techniques. Pour les analystes de la fraude, il s’agit d’un lien entre les activités frauduleuses et leurs origines cybernétiques. Un cadre de référence partagé permet aux équipes d’allouer les ressources plus efficacement et de démontrer le retour sur investissement des investissements en cybersécurité et en prévention de la fraude. 

Lorsque les équipes de lutte contre la cybersécurité et la fraude partagent des renseignements, elles peuvent coordonner leurs réponses plutôt que de travailler en silos. 

Par exemple, les renseignements sur les menaces peuvent signaler des activités inhabituelles de test de cartes sur le site Web d’un commerçant spécifique, au cours desquelles les fraudeurs initient de petites transactions de test pour valider les cartes volées. À leur tour, les équipes peuvent examiner les informations conjointement et les équipes de lutte contre la fraude peuvent surveiller les portefeuilles de cartes à risque pour détecter les activités connexes, ce qui leur permet d’intervenir avant que les attaquants n’étendent leurs opérations.

La cybersécurité et la prévention de la fraude ne peuvent plus mener des batailles séparées. Lorsqu’ils le font, les attaquants exploitent les lacunes. Cependant, lorsque les équipes collaborent, les banques peuvent prendre des mesures coordonnées pour arrêter les pertes avant qu’elles ne s’aggravent.

Mastercard Threat Intelligence fournit aux équipes de lutte contre la fraude des informations sélectionnées sur les dernières menaces et vulnérabilités liées à la fraude aux paiements, ce qui leur permet de collaborer avec les équipes cybernétiques et d’agir rapidement pour réduire les pertes. 

Votre organisation est-elle prête à combler le fossé entre la cybersécurité et la fraude ? Découvrez comment Mastercard Threat Intelligence peut vous aider.