Par Anthonie De Bos, vice-président de la sécurité et de la résilience chez Kyndryl

La numérisation des services bancaires a fondamentalement changé la façon dont nous gérons notre argent : les virements, les demandes de crédit ou les paiements par cartes s’effectuent désormais en quelques clics. Les frontières n’ont guère d’importance : l’argent circule en quelques secondes quels que soient les pays et les fuseaux horaires.

Mais avec la numérisation, les attentes des consommateurs augmentent également. Les moyens de paiement doivent être pratiques, sûrs et disponibles immédiatement. Par ailleurs, les nouvelles technologies de paiement sont soumises à une pression croissante : avec l’essor de l’intelligence artificielle, le risque augmente – la criminalité financière devient plus fréquente et plus sophistiquée. Néanmoins, ceux qui parviennent à garantir la confiance à long terme peuvent s’imposer.

Un rapport récent de TransUnion, également actif en Suisse, présente clairement l’ampleur de ce phénomène : au deuxième trimestre 2024, 49 % des personnes interrogées dans 18 pays et régions ont déclaré avoir été victimes de tentatives de fraude par e-mail, Internet, téléphone ou SMS^[1]. Pour les entreprises, cela représente un risque financier considérable. Depuis 2023, le droit pénal suisse prévoit l’infraction d’usurpation d’identité. En 2024, 59 034 infractions numériques ont été enregistrées, dont plus de 90 % relèvent de la cybercriminalité économique^[2]. Que peuvent faire les banques suisses ?

Augmentation des coûts en raison des bouleversements dans le secteur bancaire

Les banques sont confrontées à un environnement frauduleux complexe, allant du vol d’identité et du piratage de comptes à l’usurpation d’identité synthétique (SIF) et aux risques liés aux écosystèmes de fournisseurs tiers. Afin de lutter efficacement contre ces phénomènes, il faut investir considérablement en temps, en ressources ainsi qu’en technologie. Ceux qui ne mettent pas en place une gestion des risques solide s’exposent non seulement à des pertes financières directes et à des perturbations opérationnelles, mais aussi à des conséquences réglementaires importantes : sanctions, restrictions commerciales, atteinte à la réputation et frais de justice. Afin de gérer efficacement le volume croissant et la complexité de l’usurpation d’identité tout en garantissant la conformité réglementaire, il est nécessaire de minimiser les pertes de manière proactive en utilisant l’intelligence artificielle et l’apprentissage automatique (ML).

Lutter contre l’usurpation d’identité synthétique

Dans le cadre de la SIF, les criminels créent des identités fictives à partir de données personnelles (PII) réelles et inventées. Pour y remédier, il convient de mettre en place un processus d’acceptation des clients sûr et proactif, associant des données biométriques, des vérification de documents et authentification des appareils, afin de bloquer les fausses identités dès l’inscription. Pour vérifier les incohérences dans les données d’identité, les banques doivent utiliser plusieurs sources : bases de données gouvernementales, agences d’évaluation du crédit et données propriétaires.

Une stratégie SIF efficace combine des contrôles « Know Your Customer » (KYC) et une analyse efficace des liens. Cette dernière examine les comptes courants, les comptes de crédit et autres comptes financiers, ainsi que les données des demandes, afin d’identifier les relations et les schémas, tels que plusieurs utilisateurs ayant le même numéro de sécurité sociale ou des demandes de compte suspectes provenant de la même adresse IP. Cela permet de détecter et de bloquer à un stade avancé les réseaux d’identités synthétiques.

Équilibre entre gestion des risques et expérience client

Les contrôles des risques protègent contre la fraude, mais peuvent ralentir les processus. Si les vérifications complexes rendent l’ouverture de comptes ou les virements trop fastidieux, les clients se tournent vers la concurrence. Les banques doivent donc définir le niveau de risque acceptable : une protection suffisante pour les clients et les autorités de surveillance, sans pour autant peser inutilement sur l’expérience des collaborateurs, des investisseurs et des autres parties prenantes. Une gestion des risques insuffisante ou excessive est tout aussi peu attrayante pour les clients.

Gestion des risques liés aux écosystèmes de fournisseurs tiers

L’introduction de modèles d’écosystèmes dans le secteur bancaire, dans lesquels des fournisseurs tiers sont intégrés afin d’améliorer les services, comporte des risques considérables. Une mauvaise gestion des risques peut entraîner des pertes financières, des sanctions réglementaires et une atteinte à la réputation des fournisseurs tiers, ce qui compromet les avantages de la participation à l’écosystème. Les violations de la protection des données ou les interruptions de service causées par des partenaires constituent une menace directe pour les institutions financières. Les banques doivent cartographier l’ensemble de leur chaîne d’approvisionnement numérique, mettre en œuvre des exigences de sécurité à tous les niveaux de la chaîne d’approvisionnement et établir des protocoles d’intervention en cas d’incident permettant d’isoler rapidement les connexions compromises.

Des cadres solides sont essentiels pour gérer les risques liés aux tiers, notamment une diligence raisonnable approfondie, des accords contractuels clairs, une surveillance continue, une gouvernance interne forte et un plan d’urgence.

Construire des écosystèmes bancaires résilients

Les banques suisses doivent adopter une approche holistique qui traite avec la même rigueur les risques tels que l’usurpation d’identité synthétique et les risques liés aux écosystèmes tiers. Cela nécessite d’investir dans des plateformes d’analyse avancées qui relient les données provenant de plusieurs domaines de risque et identifient les attaques coordonnées ou les vulnérabilités systémiques. Les banques qui parviennent à concilier efficacement une gestion globale des risques et une expérience client fluide protègent leurs activités et s’assurent des avantages concurrentiels. 

^[1]  https://www.transunion.com/report/h2-2024-omnichannel-fraud-report

^[2] https://www.netzwoche.ch/news/2025-03-25/digitale-kriminalitaet-nimmt-in-der-schweiz-weiter-zu#:~:text=Wie%20es%20weiter%20heisst%2C%20hängt,aktuelle%20Bedrohungen%20und%20neue%20Abwehrstrategien

Retrouvez l’ensemble de nos articles Décryptage