La détection scientifique de la fraude : quelles évolutions ?

Le risque de fraude, notamment la fraude externe, est entré dans les priorités des risk managers. Dans certains secteurs (banque, assurance, e-commerce, téléphonie), il est devenu un risque de fréquence, c’est-à-dire un risque à forte probabilité de survenance, et dont les impacts financiers cumulés deviennent conséquents.

« La fraude est devenue un fléau. Ce n’est même plus un risque puisqu’on sait que dans certaines régions, il est une certitude, évoque un risk manager du secteur de la téléphonie. La seule question qu’on se pose encore est comment sécuriser nos nouvelles offres face à la fraude qui surviendra puisque les fraudeurs sont en veille et attendent la sortie de nos offres pour lancer des schémas d’escroquerie. »

Il existe dans beaucoup d’entreprises un ensemble de méthodes statistiques permettant de détecter des comportements atypiques de la part de clients, de prospects, voire de partenaires. Ces atypismes prennent souvent la forme de scénarios de survenance qui font l’objet en général :

• soit de contrôles réalisés par des experts métiers ou des contrôleurs dédiés ;

• soit de contrôles suivis d’alertes ressortant via des requêtes automatisées.

Ces requêtes visent à identifier par exemple les surconsommations de service par catégorie de clients, par zones géographiques ou tout simplement des attitudes s’écartant d’un comportement normal de clients attendu sur une offre.

Le tableau ci-dessous décrit des exemples de ces scénarios atypiques et leur seuil de déclenchement.

L’intérêt de ces approches classiques est à la fois de suivre l’exposition au risque – de sa détection à son aggravation potentielle -, mais aussi de renforcer la sensibilisation des équipes internes face à ces cas. Au-delà des outils, avoir des collaborateurs particulièrement vigilants est essentiel pour mieux repérer ces tentatives avant leur survenance.

« Le rôle des requêtes est de ne pas être uniquement sur la constatation des incidents passés et présents, souligne un analyste fraude du secteur de la téléphonie. Elles nous servent surtout à repérer où cela arrive et où cela peut s’étendre en contactant les équipes commerciales en agence pour les alerter. »

Ces atypismes ne sont pas nécessairement des fraudes mais fournissent des indicateurs et un déclenchement d’alerte si un ou plusieurs critères sont réunis. Ils donnent ensuite lieu à des messages d’alerte préventifs, comme l’indique ce conseiller assurance : « Si on reçoit une alerte de notre logiciel de contrôle sur une adhésion initiée en ligne, alors on sera plus vigilant et on suivra un script de questions permettant de mieux qualifier le besoin et la demande. Si le doute persiste, soit on mettra en attente l’adhésion, le temps d’avoir un avis de notre cellule fraude, soit on procèdera à une demande d’envoi de documents, et nos services internes analyseront s’il s’agit ou non de faux documents (fausses factures, faux décomptes Sécurité sociale, fausse identité). Dans la plupart des cas, ces alertes sont clôturées et cela permet d’avancer. Mais ce suivi est utile car on est sûr que, s’il y a fraude, on la détectera avant paiement. »

Ces méthodes par scénario s’appuyant sur des requêtes sont :

• soit qualitatives. Elles fonctionnent alors par occurrence de déclenchement d’un ensemble d’étapes pré-identifiées ;

• soit quantitatives. Elles s’appuient sur un seuil de déclenchement au-delà d’un certain nombre de survenances considérées par un modèle de détection comme anormales statistiquement. « Nous rapprochons notre modèle du taux de fraudes normalement observé sur l’ensemble du pays, et si cela dépasse avec une marge d’erreur ce taux, alors une alerte est déclenchée », indique un analyste fraude du secteur assurance.

Au-delà de ces approches classiques, peu à peu des entreprises lancent des projets d’outils ayant recours à l’intelligence artificielle (IA) pour mieux détecter les fraudes. L’apport de ces solutions réside dans le fait que les outils proposent eux-mêmes de nouveaux schémas de fraude non encore pris en compte par les équipes d’experts, notamment car ces cas ne figurent pas dans les historiques statistiques ou ne sont tout simplement pas identifiés par le jugement humain.

« Ce que j’attends de l’IA, c’est qu’elle nous coupe de l’effet lampadaire qui est usuellement le nôtre sur les outils fraudes, nous confie un responsable fraude du secteur bancaire. On va mettre des requêtes sur ce que l’on sait déjà : la possibilité qu’il y ait une fraude sur telle offre. On sait que cela a des limites, mais l’IA nous propose des nouveaux scénarios car une opération frauduleuse a été détectée une fois par la solution. Et c’est alors à nous de voir si cela a du sens d’en faire une étude plus complète. L’IA, c’est donc de l’aide à l’analyse, avant même de parler d’aide à la décision. »

L’outil d’intelligence artificielle d’une mutuelle santé intègre 150 scénarios de fraudes sur une base qui compte deux millions de clients et plusieurs milliers d’opérations traitées chaque jour.

La solution analyse en continu le traitement des opérations et repère celles qui sont nouvellement bloquées en allant chercher, via des connecteurs, les raisons de ces blocages. Si ces blocages ne sont pas techniques mais le fruit d’actions humaines ou d’incohérence avec des procédures internes, alors l’outil propose une génération de requêtes pour tenter de qualifier une nouvelle catégorie d’atypismes.

Cette génération de requêtes est ensuite étudiée par les analystes fraudes et les experts métiers. Ils regardent si, d’une part, des occurrences ont eu lieu et, d’autre part, si des occurrences de fraudes de ce type sont possibles (qu’elles aient ou non déjà eu lieu). Ces actions permettent ainsi de ne pas avoir une vision purement déterministe des alertes fraudes.

Le fonctionnement se fait alors par itération à la manière des méthodes de recherche : des alertes générées par l’IA sont testées en « laboratoire fraudes » puis laissées de cotées si elles ne résistent pas à des tests de robustesse visant à tenter de frauder plusieurs fois via le schéma observé. Si le schéma est plausible et réalisable, une requête préventive est alors pré-validée, l’hypothèse est fondée comme vraisemblable.

Une autre phase de test empirique survient alors dans un environnement de pré-production où sont testées ces alertes face à un jeu de données complet pour valider la capacité à détecter ces dernières. Le cas échéant, le nouveau schéma est validé statistiquement et rejoint la base de requête officielle de l’entreprise après une validation du comité de lutte contre la fraude, ce qui suppose une validation de l’opportunité de la requête, de la conformité du traitement au RGPD (Règlement général sur la protection des données), de la conformité à la politique anti-fraude de l’organisme, etc.

Il existe plusieurs points d’attention avant de lancer de telles démarches. Ils relèvent à la fois du cadrage du risque projet et de la maîtrise du risque de conformité règlementaire. En effet, ce type de démarche est un projet à part entière qui doit être cadré dans le temps et ce, une fois justifiées l’opportunité et la pertinence de ces solutions au regard de la taille de la structure. Il convient de s’assurer que de tels outils sont pertinents face aux risques de fraudes possibles dans le secteur et que l’entreprise est prête en termes de courbe d’apprentissage pour se lancer dans une telle démarche.

Un projet d’intelligence artificielle sur la fraude nécessite un à deux ans de mise en œuvre et ne permet pas de retour sur investissement fiable avant 2 ans supplémentaires a minima.

En outre, il existe un ensemble de prérequis règlementaires et opérationnels :

• s’assurer que l’outil a fait l’objet d’une étude d’impact sur les données personnelles au sens du RGPD. De plus, il conviendra de s’assurer de la conformité de ce que génère l’outil (pas de décision privative de droits pour les clients et prospects sans analyse et jugement humain), respect du principe de proportionnalité dans l’usage de ces outils, finalité du traitement anti-fraude clairement décrit avant mise en œuvre ;

• garantir que l’on dispose d’un historique de données suffisant (plus de 5 ans a minima) et d’une profondeur de données importantes (de nombreuses opérations et sur des champs variés) ;

• confirmer que l’on peut obtenir une qualité de données suffisante (exhaustivité des données permettant de confirmer la survenance des scénarios, champs exacts saisis par les métiers et présents dans les bases, pertinence des données à analyser).

En conclusion, ces démarches d’intelligence artificielle restent pertinentes pour compléter les dispositifs de requêtes existants, mais sous réserve de traiter plusieurs prérequis importants et sans en attendre un retour sur investissement immédiat.