Une menace, deux réponses : Pourquoi les équipes chargées de la cybersécurité et de la fraude ne peuvent pas rester cloisonnées

• La fraude commence souvent par un cyberincident, mais les signes avant-coureurs passent inaperçus lorsque les équipes chargées de la cybersécurité et de la fraude travaillent en vase clos. 
• Des cloisonnements persistent entre les équipes chargées de la cybersécurité et de la fraude en raison d'un manque de communication et de lacunes dans le partage des données, ce qui compromet la capacité des banques à détecter et à stopper la fraude à un stade précoce. 
• Les renseignements sur les menaces spécifiques aux paiements donnent aux équipes de sécurité une vision commune pour identifier les liens entre les cyberincidents et les risques de fraude, ce qui permet des réponses plus rapides et plus proactives qui réduisent les pertes et améliorent l'intégration de la cyberfraude.  

Les équipes chargées de la fraude et de la cybersécurité poursuivent les mêmes criminels sur des pistes parallèles.

Dans la plupart des organisations, les équipes chargées de la cybersécurité se concentrent sur la détection et l'endiguement des brèches, tandis que les équipes chargées de la fraude surveillent les transactions suspectes qui signalent l'utilisation de données volées. Leurs enquêtes sont souvent liées, mais sans coordination, les signes avant-coureurs de la fraude passent à travers les mailles du filet. 

Cette lacune coûte cher aux banques : 60% des responsables mondiaux de la lutte contre la fraude et le risque affirment qu'ils n'apprennent l'existence de cyberattaques qu'une fois que les pertes dues à la fraude ont commencé à se produire et que les données volées ont été monnayées. Ce retard donne aux attaquants une longueur d'avance et laisse les banques dans l'obligation de rattraper leur retard.

Face à la montée en puissance de la fraude cybernétique, les banques doivent considérer l'intégration de la fraude cybernétique comme une priorité commerciale, et non comme une simple solution technique. Cela commence par le soutien de la direction à la suppression des cloisonnements et se poursuit par des mesures pratiques telles que l'amélioration du partage des données, l'alignement des mesures de réussite et l'adoption d'une approche unifiée de la veille sur les menaces.

Les équipes chargées de la cybersécurité et de la prévention de la fraude ont pour objectif commun de garantir la sécurité des banques, mais elles restent souvent cloisonnées en raison de différences fondamentales.

Les principaux obstacles sont les suivants :

• Priorités et indicateurs de réussite 
• Langue de travail 
• Structure organisationnelle 

Bien que les équipes chargées de la cybersécurité et de la fraude protègent toutes deux la banque, elles fonctionnent avec des priorités et des indicateurs clés de performance (ICP) distincts.

Les équipes de cybersécurité :

• Se concentrer sur la protection des réseaux, des systèmes et des données contre les accès non autorisés ou les attaques. 
• Détecter et contenir les brèches en surveillant les vulnérabilités techniques et l'activité des menaces 
• Mesurer le succès en fonction d'indicateurs tels que la rapidité de la réponse aux incidents, l'endiguement des menaces et la conformité aux cadres de sécurité. 

Équipes de lutte contre la fraude :

• Se concentrer sur la protection des clients et des transactions contre les activités frauduleuses afin de maintenir la confiance des clients 
• Détecter les activités suspectes au moyen d'outils de surveillance des paiements et de détection des fraudes, et travailler directement avec les clients pour résoudre les problèmes. 
• Mesurer le succès sur la base d'indicateurs tels que la réduction des taux de fraude, le recouvrement des pertes et la satisfaction des clients.

Chaque groupe ayant des objectifs différents, il n'existe pas de taxonomie ou de mécanisme commun pour faciliter l'échange d'informations sur une base régulière.

Les équipes chargées de la cybersécurité et de la fraude utilisent des vocabulaires différents, ce qui complique la communication. Par exemple, les responsables de la cybersécurité peuvent utiliser le terme "compromission" pour décrire l'intrusion d'un pirate dans les systèmes internes de la banque. Pour les équipes chargées de la lutte contre la fraude, le même terme peut décrire une violation du compte d'un commerçant ou d'un client.

Ces différences de vocabulaire semblent mineures, mais elles soulignent un problème plus important : la cybersécurité et la prévention de la fraude sont des disciplines distinctes qui se rencontrent rarement dans les conversations. L'absence d'une langue commune rend la collaboration difficile.

Dans de nombreuses institutions financières, les équipes chargées de la cybersécurité et de la fraude font partie de divisions différentes et relèvent de chaînes de commandement distinctes. 

Par conséquent, les informations ne sont généralement échangées que lorsque des problèmes urgents se posent. En fait, 24% des émetteurs et acquéreurs mondiaux ne disposent toujours pas de processus formels de collaboration en matière de cyber-fraude. 

Les banques ont besoin d'une gestion intentionnelle du changement pour surmonter ces obstacles structurels. En établissant des points de contact réguliers et en utilisant des informations partagées, les équipes chargées de la fraude et de la cybersécurité peuvent montrer la valeur de l'intégration et encourager les dirigeants à conduire des changements structurels plus profonds.

Le manque d'intégration entre les équipes chargées de la cybersécurité et de la fraude est plus qu'un risque théorique. Ce phénomène se manifeste tous les jours dans des cas de fraude réels. 

Par exemple, voici comment une attaque d'écrémage numérique peut s'aggraver si les équipes chargées de la cybersécurité et de la fraude sont cloisonnées :

1. L'équipe chargée de la cybersécurité constate un risque de violation : L'équipe de cybersécurité reçoit des informations sur l'augmentation des injections de logiciels malveillants sur les sites de commerce électronique. (Ces attaques se multiplient. Près de 11 000 domaines de commerce électronique uniques ont été identifiés avec des infections e-skimmer en 2024, soit trois fois plus qu'en 2023). Comme la menace n'affecte pas directement l'infrastructure numérique de la banque, l'équipe cybernétique ne partage pas l'information et ne prend aucune mesure. 
2. L'équipe de lutte contre la fraude constate les retombées : quelques semaines plus tard, l'équipe de lutte contre la fraude de la banque émettrice constate une augmentation du nombre de rétrofacturations et de transactions suspectes. En l'absence de contexte de la part de l'équipe cybernétique sur la recrudescence des attaques par e-skimmer, ils traitent l'activité comme une fraude isolée. 
3. La cause première est révélée trop tard : Après une enquête approfondie, l'équipe chargée de la lutte contre la fraude remonte jusqu'aux sites infectés. À ce moment-là, les attaquants ont déjà monnayé les données des cartes volées. Les dommages ne se limitent pas au titulaire de la carte. L'acquéreur absorbe souvent la dette ou le coût des transactions frauduleuses. 

Bien que l'équipe de cybersécurité ait identifié une menace potentielle, elle n'a pas mis en place de procédure pour transmettre les informations à l'équipe de lutte contre la fraude, ce qui a permis à la fraude de s'intensifier sans être détectée.

Le partage des informations sur les menaces est l'un des meilleurs moyens de commencer à briser les cloisonnements entre fraudeurs et cybercriminels.

Le renseignement sur les menaces fournit des données et des informations sur les cyberattaques émergentes. Lorsque ces informations sont adaptées aux paiements, elles permettent de combler le fossé entre les cyberincidents et les risques de fraude au niveau des transactions, en donnant aux équipes une base commune sur laquelle agir.

Dans ce contexte, les équipes chargées de la cybersécurité et de la fraude peuvent :

• Partager les données de manière cohérente 
• Parler une langue commune 
• Coordonner la réponse à la menace 

Les équipes chargées de la lutte contre la cybercriminalité et la fraude doivent aller au-delà de la communication ad hoc et établir des points de contact réguliers pour partager leurs connaissances. Les renseignements sur les menaces spécifiques aux paiements soutiennent ce processus en créant une base commune d'informations pertinentes. 

Par exemple, la synchronisation hebdomadaire des informations permet aux groupes de collaborer et d'identifier les nouveaux schémas de fraude. Au cours de ces synchronisations, les équipes peuvent partager en toute sécurité des informations sur des pages de paiement compromises ou des numéros de cartes volées apparaissant sur des places de marché criminelles, en respectant les meilleures pratiques en matière de protection des données. 

De même, les dirigeants peuvent renforcer cette collaboration. Les RSSI peuvent poser des questions sur les risques de fraude lors des réunions d'information sur le cyberespace ou impliquer les équipes chargées de la lutte contre la fraude dans l'examen des menaces, indiquant ainsi que le partage des données est une priorité de l'organisation. Il est tout aussi important de veiller à ce que les informations relatives aux titulaires de cartes et aux commerçants soient protégées et traitées en toute sécurité afin d'éviter toute compromission ultérieure.

Les équipes chargées de la cybersécurité et de la fraude définissent le risque différemment, ce qui pose des problèmes d'harmonisation. Cependant, l'utilisation de renseignements sur les menaces pour mettre en correspondance les menaces techniques et la fraude en aval aide les équipes à comprendre comment leurs priorités se chevauchent. 

Pour les RSSI, ce lien clarifie les enjeux commerciaux qui se cachent derrière les défenses techniques. Pour les analystes de la fraude, cela permet de relier l'activité frauduleuse à ses origines cybernétiques. Un cadre de référence commun permet aux équipes d'allouer les ressources plus efficacement et de démontrer le retour sur investissement de la cybersécurité et de la prévention de la fraude. 

Lorsque les équipes chargées de la lutte contre la cybercriminalité et la fraude partagent leurs informations, elles peuvent coordonner leurs réponses plutôt que de travailler en vase clos. 

Par exemple, les services de renseignement sur les menaces peuvent signaler une activité inhabituelle de test de cartes sur un site web marchand spécifique, au cours de laquelle les fraudeurs effectuent de petites transactions de test pour valider des cartes volées. À leur tour, les équipes peuvent examiner les informations conjointement et les équipes chargées de la fraude peuvent surveiller les portefeuilles de cartes à risque pour détecter toute activité connexe, ce qui leur permet d'intervenir avant que les attaquants n'étendent leurs opérations.

La cybersécurité et la prévention de la fraude ne peuvent plus se battre séparément. Lorsqu'ils le font, les attaquants exploitent les failles. Cependant, lorsque les équipes collaborent, les banques peuvent prendre des mesures coordonnées pour arrêter les pertes avant qu'elles ne s'aggravent.

Mastercard Threat Intelligence fournit aux équipes chargées de la fraude des informations sur les dernières menaces et vulnérabilités en matière de fraude aux paiements, leur permettant ainsi de collaborer avec les cyberéquipes et d'agir rapidement pour réduire les pertes. 

Votre organisation est-elle prête à combler le fossé qui sépare la cybercriminalité de la fraude ? Découvrez comment Mastercard Threat Intelligence peut vous aider.