Les contrôles de vélocité sont une méthode de prévention de la fraude utilisée dans le traitement des paiements. Ils consistent à surveiller la fréquence et le modèle des transactions effectuées au cours d’une période donnée et à détecter la présence d'activités inhabituelles, telles qu’un nombre anormalement élevé de transactions provenant d’un même compte ou d’une même adresse IP. Les fraudeurs tentent souvent d’utiliser les informations de carte volées le plus rapidement possible avant que le titulaire de la carte ne s’en aperçoive, et une augmentation soudaine des tentatives de transaction peut être un signal d’alarme pour une éventuelle fraude. Les contrôles de vélocité peuvent déclencher des alertes ou bloquer des transactions si elles dépassent certains seuils, ce qui contribue à protéger les entreprises et les clients contre les activités frauduleuses.
Les mesures de prévention de la fraude telles que les contrôles de vélocité revêtent une importance croissante pour les entreprises. En effet, 80 % des organisations ont déclaré avoir subi des attaques ou des tentatives de fraude au paiement en 2023, soit une augmentation de 15 points de pourcentage par rapport à 2022. Nous vous expliquons ci-dessous les différents types de contrôles de vélocité, leur fonctionnement, la manière de les mettre en œuvre et les défis qui y sont associés.
Sommaire de cet article
- Types de contrôles de vélocité
- Comment fonctionnent les contrôles de vélocité ?
- Comment les contrôles de vélocité sont-ils utilisés dans la détection et la prévention de la fraude ?
- Comment mettre en œuvre des contrôles de vélocité ?
- Défis liés aux contrôles de vélocité
Types de contrôles de vélocité
Il existe plusieurs types de contrôles de vélocité, chacun portant sur des aspects différents des modèles de transactions afin de détecter les fraudes potentielles.
Contrôles de vélocité des cartes : ces contrôles permettent de surveiller le nombre de transactions effectuées avec une carte bancaire spécifique au cours d’une période donnée. Si une carte est utilisée pour plusieurs achats sur une courte période, cela peut indiquer qu'elle a été volée et que le voleur tente s'en servir le plus possible utilisation avant qu’elle ne soit bloquée.
Contrôles de vélocité des adresses IP : ces contrôles analysent le nombre de transactions provenant de la même adresse IP au cours d’une période donnée. Un nombre élevé de transactions provenant de la même adresse IP peut indiquer qu’un fraudeur utilise des outils automatisés ou des robots pour effectuer plusieurs achats.
Contrôles de vélocité de l'ID de l'appareil : ces contrôles portent sur le nombre de transactions effectuées à partir d'un même appareil au cours d'une période donnée. Cela permet d'identifier les cas où un fraudeur utilise le même appareil pour effectuer plusieurs achats.
Contrôles de vélocité des comptes : ces contrôles permettent de surveiller le nombre de transactions effectuées à partir d’un compte spécifique dans un laps de temps donné. Ils peuvent être utiles pour détecter la fraude par prise de contrôle de compte, qui consistent pour un fraudeur à accéder à un compte légitime et à effectuer des transactions non autorisées.
Contrôle de vélocité des adresses de livraison et de facturation : ces contrôles analysent le nombre de transactions associées à la même adresse de livraison ou de facturation sur une période donnée. Un nombre élevé de transactions avec des numéros de carte différents pour une même adresse peut être le signe d'une activité frauduleuse.
Contrôles de vélocité du montant des transactions : ces contrôles portent sur le montant total des dépenses effectuées au cours d'une période donnée. Un montant de dépenses anormalement élevé peut être le signe d'une fraude.
Comment fonctionnent les contrôles de vélocité ?
Les contrôles de vélocité surveillent en permanence les activités de transaction en fonction de plusieurs paramètres afin de détecter des comportements inhabituels. À l’aide de règles ou de seuils, ils évaluent si le comportement associé à un moyen de paiement tel qu’une carte de crédit est typique ou potentiellement suspect.
Voici un aperçu du fonctionnement de ces contrôles :
Définition de seuils : la première étape consiste à déterminer ce qui constitue un comportement de transaction normal pour un utilisateur, une carte ou un compte donné, sur la base de données historiques. Des seuils sont définis pour différents aspects, tels que la fréquence et le montant des transactions, les adresses IP, les appareils utilisés et les emplacements géographiques. Ces seuils peuvent être définis en fonction de profils de risque spécifiques à l’entreprise ou au secteur d'activité.
Suivi des transactions : au fur et à mesure que des transactions sont effectuées, le système les surveille en permanence par rapport aux seuils établis. Il analyse des facteurs tels que le nombre de transactions au cours d’une certaine période, le montant cumulé dépensé ou l’utilisation répétée de la même adresse IP ou du même appareil.
Détection des anomalies : lorsqu’une transaction ou une série de transactions dépasse les seuils prédéfinis, le système les signale comme des anomalies. Par exemple, si une carte qui effectue habituellement trois transactions par jour en effectue soudainement dix en une heure, ce comportement inhabituel déclenchera une alerte.
Mesures correctives : lorsqu'une anomalie est détectée, les systèmes automatisés peuvent prendre des mesures immédiates en bloquant la transaction, en demandant une authentification supplémentaire ou en signalant la transaction pour qu'elle soit examinée manuellement par des spécialistes de la lutte contre la fraude. La réponse peut être personnalisée en fonction de la gravité et de la nature de l'anomalie.
Perfectionnement du système : pour que les contrôles de vélocité soient efficaces, leurs résultats (qu'il s'agisse de vrais ou de faux positifs) sont réinjectés dans le système. Ces données permettent d'affiner les seuils et les règles, ce qui rend le processus de détection des fraudes plus précis au fil du temps.
Comment les contrôles de vélocité sont-ils utilisés dans la détection et la prévention de la fraude ?
Les contrôles de vélocité constituent une défense proactive, utilisée pour limiter l’impact immédiat de la fraude et aider les entreprises à comprendre et à s’adapter à l’évolution des défis en matière de sécurité. Voici quelques exemples de leur utilisation dans le cadre du traitement des paiements et de la gestion des comptes :
Identification des transactions à haut risque : les contrôles de vélocité servent à détecter les transactions qui sortent des comportements habituels d'un utilisateur. Par exemple, si une carte de crédit habituellement utilisée une fois par semaine enregistre soudainement plusieurs transactions en une seule journée, ce pic peut déclencher une vérification.
Prévention des attaques automatisées : les tentatives de fraude automatisées, telles que celles effectuées par des robots, impliquent souvent des séquences rapides de transactions ou de connexions à partir de la même adresse IP ou du même appareil. Les contrôles de vélocité permettent de détecter et de bloquer rapidement ces tentatives en identifiant la vitesse et le volume d’activité anormalement élevés.
Déclenchement de l’authentification multifacteur (MFA) : lorsqu’un contrôle de vélocité signale une transaction comme suspecte, il peut déclencher les mesures de sécurité MFA. Cette étape exige de l'utilisateur qu'il fournisse une vérification supplémentaire (par exemple, un code envoyé sur son téléphone) pour procéder à une transaction, renforçant ainsi la sécurité.
Analyse de la géolocalisation : les contrôles de géolocalisation permettent de détecter des transactions effectuées à partir d’emplacements physiquement improbables dans un court laps de temps, signe parfois révélateur d'une carte clonée ou d'un compte compromis.
Recoupement des données : les contrôles de vélocité se prêtent à la création d'une représentation plus complète du comportement d'un client en intégrant des données provenant de nombreuses sources différentes (montants des transactions, emplacements géographiques, utilisation des appareils, etc.). Ce recoupement permet d'identifier des stratagèmes de fraude complexes qui pourraient ne pas être détectés à partir d'un seul flux de données.
Adaptation aux nouvelles menaces : à mesure que les fraudeurs s’adaptent et modifient leurs tactiques, les contrôles de vélocité peuvent être continuellement mis à jour et affinés en fonction des nouveaux modèles de comportements frauduleux observés, afin d'aider les entreprises à garder une longueur d'avance sur les menaces émergentes.
Comment mettre en œuvre des contrôles de vélocité ?
Pour mettre en œuvre efficacement les contrôles de vélocité, il faut identifier les données pertinentes, établir des règles basées sur ces données, appliquer ces règles en temps réel et définir des réponses appropriées lorsque les déclencheurs sont activés. Les contrôles de vélocité ne doivent pas incommoder outre mesure les utilisateurs légitimes, et le système doit être conçu de manière à minimiser les faux positifs. Ils doivent également être conçus de manière à respecter toutes les réglementations pertinentes en matière de confidentialité des données et de protection des consommateurs.
Voici une explication détaillée des différentes étapes de la mise en œuvre :
Identification des données
Identifiez et collectez les données à contrôler. La qualité et la cohérence des données sont importantes, de même que leur capture et leur stockage de manière à faciliter l'analyse en temps réel.
Ces données comprennent généralement :
les détails de la transaction, tels que le montant, la fréquence, l’heure et le type de la transaction (par exemple, achat, retrait, transfert) ;
des informations sur l’utilisateur, telles que le numéro de compte, son identifiant et l’historique de ses comportements ;
les données relatives à l'appareil, telles que les adresses IP, les identifiants de l’appareil et, éventuellement, les cookies ou autres identifiants ;
les informations géographiques, telles que les adresses IP, les données GPS ou les informations de localisation saisies.
Définition des règles
Établissez les règles qui définiront ce qui constitue une activité suspecte. Ces règles sont généralement basées sur des seuils qui reflètent le comportement typique des utilisateurs et s’appuient sur des données longitudinales et des normes du secteur.
Voici quelques exemples de règles :
Un nombre maximal de transactions autorisées par appareil au cours d'une période de 24 heures
Un montant maximal en dollars pouvant être réalisé à partir d'un seul compte au cours d'une période donnée
Limiter le nombre de tentatives de connexion à partir d’une même adresse IP en une heure
Le processus de définition de ces règles doit impliquer une analyse statistique afin de distinguer ce qui constitue un comportement normal d'une donnée aberrante. Des règles trop restrictives risquent de bloquer des transactions légitimes, tandis que des règles trop souples pourraient laisser passer des activités frauduleuses.
Définition des déclencheurs
Définissez les mesures à prendre en cas de déclenchement d'une règle. Les réponses peuvent varier en fonction de la gravité et de la nature de la violation :
Alertes informant les administrateurs système ou les spécialistes de la lutte contre la fraude de la nécessité d’un examen manuel
Refus automatique des transactions qui semblent frauduleuses
Demande de vérifications supplémentaires, telles que l’envoi d’un mot de passe à usage unique (OTP) ou l'obligation pour l'utilisateur de répondre à une question de sécurité
Blocage temporaire du compte jusqu’à ce qu’une vérification plus approfondie puisse être effectuée
Application des règles
Appliquez les règles établies en temps réel. Mettez en place des systèmes capables de surveiller les transactions au fur et à mesure qu’elles se produisent et de vérifier si elles respectent les règles établies. Utilisez des algorithmes d'apprentissage automatique permettant d'ajuster les règles de manière dynamique sur la base de modèles de transactions en cours et des tendances émergentes, afin que les règles restent pertinentes.
Défis liés aux contrôles de vélocité
Bien que les contrôles de vélocité soient un puissant outil de gestion de la fraude, ils doivent être soigneusement conçus, mis en œuvre et continuellement améliorés pour trouver un équilibre entre sécurité, conformité réglementaire et expérience utilisateur. Les inconvénients et les difficultés associés aux contrôles de vélocité peuvent être surmontés en investissant dans l'analyse avancée, l'apprentissage automatique et la modélisation du comportement des utilisateurs.
Voici quelques difficultés courantes liées aux contrôles de vélocité :
Faux positifs
Les vérifications de vélocité comportent un risque de faux positifs, c'est-à-dire que des transactions légitimes sont signalées comme suspectes. Cela peut se produire pour les raisons suivantes :
Des règles trop strictes qui signalent comme frauduleux les pics d'activité normaux des utilisateurs (par exemple, les dépenses pendant les vacances ou les soldes).
Des règles qui ne sont pas correctement adaptées aux habitudes spécifiques d’utilisateurs ou de segments d'utilisateurs. Le comportement des clients peut varier d'un segment à l'autre, et une approche unique peut conduire au blocage de transactions légitimes.
Faux négatifs
Bien que moins fréquents, les faux négatifs, c’est-à-dire les transactions frauduleuses qui ne sont pas détectées et autorisées, peuvent également se produire. Cela peut se produire pour les raisons suivantes :
Des techniques de fraude sophistiquées, telles que des transactions espacées, qui ne déclenchent pas les seuils de vélocité.
Des données incomplètes ou obsolètes qui conduisent à une surveillance inadéquate.
Impact négatif sur l'expérience utilisateur
Des contrôles de vélocité stricts permettent de sécuriser les transactions, mais détériorent l'expérience utilisateur. Chaque transaction signalée peut nécessiter des étapes de vérification supplémentaires, ce qui retarde le temps de traitement, et les faux positifs fréquents peuvent frustrer les clients et les pousser à se tourner vers des solutions plus conviviales.
Préoccupations en matière de réglementation et de protection de la vie privée
Les contrôles de vélocité nécessitent souvent la collecte, le stockage et l’analyse de grandes quantités de données. Les entreprises doivent respecter des réglementations strictes en matière de confidentialité des données, telles que le Règlement général sur la protection des données (RGPD) en Europe et la California Consumer Privacy Act (CCPA) aux États-Unis. La mise en conformité peut s'avérer compliquée et coûteuse.
Consommation intensive de ressources
La mise en œuvre et le maintien de contrôles de vélocité efficaces peuvent nécessiter des ressources importantes, car ils requièrent une infrastructure technologique capable de traiter et d'analyser en temps réel d'importants volumes de transactions. Les règles des contrôles de vélocité nécessitent également des mises à jour régulières, ce qui exige un effort d'analyse continu et une assistance technique.
Intégration
L’intégration des contrôles de vélocité à d’autres systèmes, tels que les plateformes de paiement, les outils de gestion de la fraude et les bases de données clients, peut s’avérer difficile. Les informations peuvent être disséminées dans différents départements ou systèmes au sein d'une organisation, ce qui rend les contrôles de vélocité difficiles à mettre en place.
Le contenu de cet article est fourni uniquement à des fins informatives et pédagogiques. Il ne saurait constituer un conseil juridique ou fiscal. Stripe ne garantit pas l'exactitude, l'exhaustivité, la pertinence, ni l'actualité des informations contenues dans cet article. Nous vous conseillons de solliciter l'avis d'un avocat compétent ou d'un comptable agréé dans le ou les territoires concernés pour obtenir des conseils adaptés à votre situation particulière.