Cybercriminalité et compliance : quels défis pour le secteur financier?

À l'heure où les modes opératoires des criminels dans le cyberespace deviennent de plus en plus sophistiqués et ciblent stratégiquement des secteurs économiques variés, les professionnels de la lutte contre le blanchiment et le financement du terrorisme (LCB-FT) s’exposent à des enjeux multifactoriels qui les invitent à renforcer leur analyse des risques.

À l’ère de la révolution numérique portée par l’intelligence artificielle, la dynamique des réseaux cybercriminels augmente en puissance.

La cybercriminalité étant désormais un vecteur répandu de blanchiment d’argent et de financement d’activités terroristes, les professionnels de la compliance font face à de nombreux défis pour prévenir et détecter ces risques.

Typologie des risques de cyberblanchiment et de cyberterrorisme

En tant qu’assujettis aux réglementations européennes de lutte contre le blanchiment d’argent et le financement d’activités terroristes, les professionnels du secteur financier sont soumis à un devoir de vigilance qui consiste principalement à mettre en oeuvre des procédures et des contrôles internes visant à prévenir tout risque protéiforme de criminalité.

À l’heure où le cyberespace est dévoyé à des fins de revendication idéologique, politique et économique, devenant ainsi « une arme de guerre à part entière(1) », les professionnels de la compliance doivent porter une attention particulière et incontournable à la cybercriminalité. En effet, si « le crime n’abandonne jamais les secteurs traditionnels [...] il s’intéresse à la technologie pour développer ses capacités et son “offre de services” [...] de blanchiment », de sorte que le crime numérique vient désormais s’ajouter au crime traditionnel(2) . Il est d’ailleurs significatif de noter que les cyberfraudes représentent au total un chiffre d’affaires estimé à 8 000 milliards de dollars, érigeant ainsi l’industrie du cybercrime au rang de troisième économie mondiale(3).

Parmi les modalités classiques de propagation d’idéologies terroristes, deux types de cyberattaques majeurs s’appuient sur les techniques du Net : le ransomware (rançongiciel), qui consiste à pirater des données informatiques moyennant une demande de rançon, et le phishing (hameçonnage), une technique frauduleuse consistant à extorquer des coordonnées bancaires ou des identifiants de connexion puis des fonds(4) .

Les cyberfraudes

représentent au total un

chiffre d’affaires estimé à

8 000 milliards de dollars

La cybercriminalité au moyen des nouvelles technologies de l’information, au premier rang desquelles se trouve la blockchain, est par ailleurs en pleine expansion. Le stockage et l’échange décentralisés de données permettent, à grande échelle, le blanchiment lié par exemple au trafic de stupéfiants, par le biais du dark Web ou encore des organisations criminelles. Les professionnels du secteur bancaire devront à cet effet être particulièrement attentifs aux possibilités de paiement en ligne par cartes rechargeables en cryptomonnaie.

Détecter les risques de cybercriminalité dans le cadre de la relation d’affaires

L’une des procédures de prévention des risques consiste à effectuer une revue KYC (know your customer), dont l’étape fondamentale réside dans l’identification et la vérification de l’identité du client.

Or, s’agissant d’une opération effectuée via la blockchain, le professionnel de la compliance se trouve confronté à un défi majeur : le quasi anonymat que garantit ce mode de financement décentralisé, puisque les fonds transitent par des comptes où seules les adresses bitcoin peuvent être identifiées, et non l’identité du détenteur.

Comment, dès lors, assurer un suivi conforme des transactions sans pouvoir clairement identifier les individus qui en sont à l’origine? L’opacité des transactions permise par la blockchain n’est-elle pas au contraire aux antipodes du devoir de vigilance? Comme l’a souligné à juste titre un expert en criminologie, « les lois actuelles, qui ciblent les émetteurs de monnaie, ne sont pas adaptées à la régulation du bitcoin(5) ».

Par ailleurs, s’il faut saluer le renforcement de l’identification sécurisée par signature électronique qu’a permis le règlement européen eIDAS 2 depuis le 20 mai dernier, l’usage de l’intelligence artificielle générative, lui, est à redouter. Nombreuses sont les possibilités de falsification de l’identité par l’image, l’audio ou le texte. Les deepfakes permettent en ce sens les faux ordres de virement, la communication de théories complotistes ou encore des atteintes à l’identité numérique(6).

Enfin, fait plus tabou mais néanmoins bien réel : la corruption en interne de professionnels du secteur financier par les cybercriminels eux-mêmes. Mais quand bien même la tentative échouerait, l’industrie du cybercrime ne serait pas pour autant amoindrie. Car de l’aveu de certains criminels, « [...] hackeur n’est pas seulement un job, c’est aussi une passion(7) ».

Là réside peut-être la plus grande préoccupation, car c’est bien connu : rien ne peut arrêter un passionné dans son engouement, même utilisé à mauvais escient.

Si des techniques déjà éprouvées de lutte antiblanchiment et contre – terrorisme permettent aux professionnels de la compliance de piloter efficacement la gestion des risques de criminalité financière, le cyber espace détourné et l’essor des nouvelles technologies insuffisamment régulées restent des sources de défis non négligeables au regard de la protection de données sensibles, de la vérification numérique de l’identité et de la surveillance des transactions numériques.

Car les hackers changent de profils avec agilité, et leurs visages sont multiples.

Autant de points de vigilance qui nécessitent avant tout une intelligence humaine: allier compétences techniques et facultés intuitives.

Références :

1. Clapaud, A. (2023). Le Cybercrime, une industrie à part entière. Le guide 2023-2024 : cybersécurité (hors-série, p. 32). Solutions Numériques.

2. Bauer, A. (2024, mars). La cyberguerre n’a pas encore commencé. Et nous n’y sommes pas prêts. Solutions numériques & cybersécurité, (1), 44.

3. Morgan, S. (2022). 2022 Official Cybercrime Report. eSentire et Cybersecurity Ventures.

4. Akasbi, M. (2023, décembre). IA : outil de fraude et de lutte contre la fraude. Revue de l’Union européenne, (673), 620.

5. Fortin, F. (2024, juin-septembre). La cybercriminalité et ses enjeux. Questions internationales, (125-126), 64.

6. Ministère de l’Intérieur et des Outre-mer. (2024). Rapport annuel sur la cybercriminalité 2024. France.

7. Monnet, B. (2022, mai-juillet). La faille, arme du cybercriminel. Les mafias : quand le crime organisé menace le monde (Le Monde Horssérie), 49.

Article rédigé par Vanessa Lahmy

Vanessa Lahmy , VL CONSULTING est un cabinet de conseil spécialisé dans l’analyse et la gestion des risques opérationnels de criminalité financière. Il facilite la mise en place de contrôles internes pour les professionnels et les sensibilise à la LCB-FT en France et à l’international.

Pour plus d’informations : v.lahmy@consultant.com

COMPLÉMENT 4 conseils pratiques pour faire face aux risques de cybercriminalité

• Sortir de sa zone de confort professionnelle est indispensable. Restez constamment en alerte sur l’actualité et l’évolution des risques dans divers secteurs d’activités, aussi bien public que privé, à l’échelle nationale et internationale. N’hésitez pas aussi à échanger les bonnes pratiques avec vos pairs, à vous documenter et, surtout, à élargir vos cercles de réseaux afin de capter des informations utiles à mettre en application dans votre sphère professionnelle.

• Faites usage de votre leadership en incitant vos collègues à s’impliquer davantage dans l’hygiène numérique et en les encourageant à accorder de l’importance à la sensibilisation.

• Adoptez une grille de lecture transversale et globale des risques. Une collaboration étroite entre les différents départements de votre société, notamment en technologies de l’information et en compliance, est indispensable pour faire remonter les problèmes rencontrés et réfléchir à des solutions optimales de façon collaborative.

• Contribuez à mettre en place des infrastructures suffisamment robustes en interne en allant au-delà des prérequis et des recommandations de base telles que le dispositif de protection des données sensibles.