Intelligence artificielle et fraude : où en est-on, où va-t-on ?

L’intelligence Artificielle (IA) connait un développement révolutionnaire sans précédent. L’accélération fulgurante de l’innovation dans ce domaine accompagnée du développement du big data, de la puissance des outils de calculs et de l’autonomie des machines nous font entrer dans une nouvelle ère. Le développement de l’IA prend aussi racine dans la prise en compte croissante des enjeux de qualité des données permettant d’appréhender de tels enjeux avec un degré de confiance plus grand.

Bien qu’existante depuis plusieurs années dans des domaines variés (marketing, cybersécurité) l’intelligence artificielle connait une dynamique importante notamment depuis l’arrivée des « modèles de langages conversationnels », dont les derniers modèles sont désormais capables de traiter différents types d’informations tels que le texte, l’image, l’audio, la vidéo, le code et s’orientent vers la compréhension des émotions. Cependant, elle devient à la fois vecteur et solution face à différents risques au titre desquels la fraude (au sens large) tient désormais une bonne place.

Du point de vue des entreprises, cette révolution est le terrain de nouvelles opportunités en termes de création de valeurs et de richesses. Mais comme toute révolution technologique, l’IA s’accompagne de nouveaux risques émergents et soulève de nombreuses questions quant aux usages frauduleux associés mais aussi à la capacité de l’IA de détecter des schémas de fraude sous-estimés par la compréhension humaine.

En matière de lutte contre la fraude notamment financière comme le paiement en doublon, les virements frauduleux, les dépenses injustifiées (sur la base de faux justificatifs notamment) l’IA est peu utilisée. Certains grands groupes ont recours à d’autres technologies comme les outils de visualisation et d’analyse de données (Business Intelligence) ou les outils de process métier (Process Mining). Ces logiciels permettent l’analyse des données et l’identification des potentielles anomalies qui pourraient résulter d’une activité frauduleuse ou d’identifier le non-respect d’un processus. Le processus reste plutôt détectif que préventif et nécessite des moyens humains et financiers conséquents.

Concernant la fraude documentaire, certains secteurs comme la banque, l’assurance et l’immobilier sont dotés d’outils embarquant de la technologie de reconnaissance de caractères (OCR). Il s’agit d’outils d’aide à la décision permettant la vérification d’identité, ou la vérification de l’authenticité d’un document avant l’attribution d’un prêt ou d’un logement par exemple. Ces solutions sont robustes principalement en ce qui concerne des documents standardisés (pièces d’identité, justificatifs de facture, documents administratifs) et permettent des détections avec des degrés de confiance suffisamment élevés pour engendrer un gain de temps pour des contrôleurs permanents et auditeurs internes.

Dans ces mêmes thématiques, nous pouvons citer la blockchain comme technologie permettant de stocker et tracer des informations de manière sécurisée et transparente sur un réseau décentralisé et déjà utilisée dans la lutte contre la fraude documentaire et la protection de la propriété intellectuelle.

Bien encadrée, l’utilisation de l’IA générative dans un contexte professionnel peut apporter de nombreux avantages (service client automatisé, gain temps dans la génération de texte, génération de contenu, assistance à des problématiques techniques ou bureautiques…). Un tel enjeu doit nécessairement tenir compte du cadre réglementaire défini par l’IA Act, adopté le 17 mai dernier par le Conseil de l’Europe.

Intégrée au système d’information de l’entreprise, l’IA générative peut être formée pour analyser les données de l’entreprises, détecter des schémas comptables frauduleux ou surveiller des transactions en temps réels. Mais cela nécessite le développement d’un modèle à l’aide de l’apprentissage automatique. L’apprentissage automatique (Machine Learning) est un domaine de l’intelligence artificielle qui permet aux ordinateurs d’apprendre et de traiter des informations. Il trouve à s’appliquer en considérant la nature des produits, les catégories de clients, les types d’opérations et les différents canaux d’entrée en relation clients pouvant être facteur de risque de même que les pays d’exercice des activités.

Le Machine Learning intègrera alors ces spécificités et interviendra au service de la maîtrise des risques. Il peut analyser de grandes quantités de données, analyser des codes sources ou le trafic réseau pour identifier les différentes failles et les vulnérabilités du système. Les enjeux de telles solutions, tels que présentés dans le tableau ci-après, sont aussi d’aider les équipes des fonctions dédiées (cellule fraude, cybersécurité, contrôleurs et auditeurs internes) à repérer des fraudes et à favoriser leur traitement détectif mais aussi préventif.

Ainsi, comme l’évoque un directeur des risques d’une banque interviewé en 2024 par les auteurs : « L’IA, cela n’est pas la solution miracle face à la fraude, tellement le sujet évolue rapidement. On remarque tout de même que cela nous fait gagner du temps et permet aux équipes de ne se concentrer que sur les cas les plus complexes et les plus graves que l’entendement humain a déjà du mal à saisir. Il ne faut pas partir du principe que l’IA a une longueur d’avance sur les fraudeurs tel que conçu ce jour. Le vrai fraudeur aura imaginé des schémas de fraude parfois simple et robuste, jouant sur un terrain entre les flux physiques et numériques et cela aucune IA ne pourra le faire. Alors il ne peut s’agir que d’une aide dans la détection et parfois dans la réflexion menée par un contrôleur des risques. Cela évoluera mais attention au mirage technologique. »

Toutefois, bien que l’IA puisse aider à la prévention de la fraude, son utilisation à mauvais escient entraine de nouveaux facteurs de risque cyber et de fraude. Citons comme exemple récent, la fraude au président avec le recours au « deep fake » subie par une société Hongkongaise dont 26 millions de dollars ont été détournés.

L’IA présente de multiples avantages mais nécessitent des adaptations majeures pour faire face aux différents risques cités en amont :

• Tout d’abord de manière globale, une régulation et un encadrement par les Etats est nécessaire pour le développement et l’utilisation de l’IA. A ce sujet, le nouveau règlement nommé « Artificial Intelligence Act » a été élaboré en Europe pour débuter la régulation de cette technologie ;

• En entreprise, le top management et les fonctions spécialisées seront tenus de développer une approche par les risques en évaluant les avantages mais aussi les impacts et la dangerosité de l’utilisation de l’IA ;

• Disposer d’équipes dédiées sachant maîtriser les solutions fondées sur l’IA dans les traitements à risque que représentent la lutte contre la fraude (Voir les recommandations de l’Anssi du 29 avril 2024) ;

• Garder une maîtrise du processus de lutte anti-fraude fondé sur l’IA, notamment en vue de garantir une conformité des traitements (aux enjeux de protection des données personnelles mais aussi pour éviter des décisions privatives de droits qui seraient uniquement fondées sur un traitement automatisé de donnée, (Voir les recommandations de la Cnil du 08 avril 2024) ;

• Envisager des contrôles et audit régulier de tels processus et des revues de processus afin de garantir l’efficacité de telles démarches.

• En cas d’orientation favorable la communication, la formation et le pilotage seront à assurer :
  • Communiquer et former les salariés à l’utilisation de l’IA et des risques associés ;
  • Encadrer l’utilisation de l’IA via des guides ou des chartes d’utilisation ;
  • Contrôler et piloter le respect de l’utilisation de l’IA mais aussi des contenus proposés par l’IA ;
  • En matière de fraude et du risque cyber, réaliser des formations et des actions de sensibilisation aux nouveaux risques émergents.

[1] Dufour N., La détection scientifique de la fraude : quelles évolutions ?, Face au risque, juin 2022, n°583, p.10-12.