La lutte contre la criminalité financière est un défi à multiples facettes, et l'augmentation des cybermenaces a considérablement compliqué les choses. Selon PwC, les crimes économiques externes coûtent aux entreprises interrogées $42 milliards d'euros par an. 1

Alors que les enquêteurs s'adaptent rapidement au changement, les mauvais acteurs cherchent à exploiter les lacunes croissantes dans les capacités d'enquête. Comme l'indique le Forum économique mondial, nous assistons progressivement à l'émergence de stratégies de gestion des risques plutôt que de stratégies de lutte contre la cybercriminalité axées sur la conformité, afin de lutter contre ces menaces. 2

Les secteurs public et privé ont-ils besoin d'une approche plus proactive et plus ciblée des risques et des menaces liés à la cybercriminalité, en particulier en ce qui concerne le renseignement d'investigation ?

La production de renseignements consiste à recueillir des informations sur la cybercriminalité auprès d'un large éventail de sources privées, publiques et ouvertes, puis à traiter et à analyser ces informations. L'objectif est d'améliorer et de développer le renseignement, ce qui aidera l'enquêteur à lutter contre la cybercriminalité le plus efficacement possible.

Enquêteurs et renseignements

L'enquêteur en cybercriminalité est en première ligne de la lutte contre la criminalité financière, entreprenant toute une série de tâches de collecte de renseignements et d'enquête. Cela implique l'utilisation de multiples plateformes analytiques, d'outils d'investigation, de renseignements provenant de sources ouvertes et d'autres outils, qui sont en constante évolution. Les techniques et les outils ne cessent donc de changer. Il arrive souvent que les bureaux des enquêteurs soient encombrés de paperasse, d'ordinateurs dotés de multiples applications autonomes et d'écrans d'ordinateur séparés pour faire face au volume des actes répréhensibles.

Les enquêtes sur la cybercriminalité continuent d'être entravées par une approche fragmentée. De nombreux appareils numériques sont dotés de systèmes d'exploitation et de logiciels propriétaires qui nécessitent des outils médico-légaux spécialisés pour identifier, collecter et préserver les preuves numériques. Le temps nécessaire pour tout examiner peut sérieusement entraver ou retarder l'identification d'éléments de preuve cruciaux dans une enquête.

Cette approche s'explique en grande partie par le fait que les enquêteurs reçoivent des renseignements de qualité médiocre et non classés. Des sources de mauvaise qualité et des plates-formes analytiques inadéquates peuvent, à leur tour, engendrer une "mentalité de débit" chez les enquêteurs, où l'accent est mis moins sur la qualité de l'enquête que sur la réalisation d'objectifs basés sur le volume.

La classification des renseignements est cependant une étape fondamentale du processus de renseignement pour les enquêteurs et d'autres personnes. Pourquoi ? Pour que ceux qui les lisent puissent s'y fier en toute confiance. Une fois recueillis, les renseignements doivent faire l'objet d'un processus de classement au cours duquel un code de traitement est attaché au contenu dans le cadre d'un processus initial d'évaluation des risques. Le classement des renseignements permet d'exprimer rapidement et de manière accessible l'évaluation des risques de la source de renseignements et la dépollution pour protéger cette source. Sur la base de ce classement, l'enquêteur peut commencer à classer les dispositifs à examiner par ordre de priorité.

Enquêtes et renseignements sur la cybercriminalité

Les institutions financières (IF) mènent régulièrement des enquêtes sur la cybercriminalité financière. Leur qualité peut varier considérablement dans de nombreux cas parce que les IF ne travaillent souvent pas avec des outils analytiques et médico-légaux ou des sources de renseignements optimaux. De nombreuses institutions financières utilisent encore des applications standard de traitement de texte et de feuilles de calcul pour rassembler, stocker et analyser le comportement des clients ou des plateformes analytiques de première génération pour identifier les relations transactionnelles vitales. Les enquêteurs doivent également travailler à partir de diverses sources internes et externes déconnectées les unes des autres pour rassembler les éléments nécessaires à leur enquête.

Enquêtes et renseignements sur la cybercriminalité (suite)

La prolifération de sources de données et de flux de renseignements distincts peut ralentir le processus d'enquête, en créant des vides qui permettent des erreurs et des connexions potentiellement manquées qui mineront la valeur de l'évaluation finale produite par l'enquêteur. Cette approche "multi-systèmes" rend le processus d'enquête plus difficile à enregistrer, à gérer et, en fin de compte, à auditer.

Malgré les efforts déployés par les régulateurs et les autorités pour développer en permanence leurs stratégies de lutte contre la cybercriminalité financière, les acteurs malveillants continuent de s'adapter, ce qui se traduit par des menaces et des attaques plus sophistiquées dans tous les domaines de la cybercriminalité financière. Il est également très difficile de s'assurer que les enquêteurs obtiennent le bon type de renseignements contextuels, fournis d'une manière qui leur permette d'obtenir des résultats probants. Voici quelques-uns des problèmes auxquels un enquêteur peut être confronté :

- Quantité de renseignements - il s'agit d'une question d'abondance ou de famine, en particulier en ce qui concerne le cadre du renseignement de source ouverte ("OSINT"). 3
- Qualité des renseignements - la provenance et la fiabilité des documents sont souvent difficiles à évaluer et conduisent à des efforts prolongés et infructueux pour corroborer les informations.
- Cohérence des renseignements - par exemple, les recherches de sources ouvertes sur l'internet produisent souvent des résultats qui varient.
en fonction de la localisation, de l'historique de l'utilisateur ou de ce que les vendeurs en ligne pourraient chercher à vendre. L'internet n'est pas conçu pour aider les enquêteurs à trouver des informations.
- Sécurité des enquêtes - certaines enquêtes peuvent laisser des traces en ligne potentiellement flagrantes sur des sites plus sensibles tels que les plateformes de médias sociaux.
- Utilisation des preuves numériques - l'objectif premier de la criminalistique numérique est d'extraire les données des preuves électroniques, de les transformer en informations exploitables et de présenter les résultats.

Évolution des enquêtes

Des enquêteurs expérimentés et bien formés peuvent contribuer à atténuer certains de ces problèmes, mais même le meilleur enquêteur doit être équipé des données et des outils adéquats. L'avènement de l'"automatisation intelligente", qui combine l'intelligence artificielle et l'automatisation des processus robotiques pour placer les enquêteurs au centre d'environnements de renseignement transparents et soigneusement élaborés, constitue une évolution importante.

Ces environnements facilitent au maximum la collecte, l'analyse et l'évaluation du matériel :
- Produire une vue d'ensemble - plutôt que de suivre de nombreuses lignes de renseignements sur différentes plateformes, les enquêteurs peuvent travailler par le biais d'une plateforme principale qui rassemble le bon type de renseignements gradués - internes et externes - dans un seul espace et dans le plus court laps de temps possible.
- Affiner le déluge de renseignements - au lieu de rechercher un nombre incalculable de sources disparates à partir de zéro, les renseignements gradués et améliorés permettent à l'enquêteur de partir d'un ensemble solide de pierres angulaires.
- Développer une approche structurée - les enquêtes peuvent rapidement devenir non structurées car elles passent par différentes sources de preuves. Un tableau de bord structuré facilitera une approche plus systématique.
- À l'ère de la technologie moderne, les preuves numériques font partie intégrante de l'ensemble du processus de renseignement et d'enquête. Elles permettent aux enquêteurs de recueillir des informations et des preuves essentielles à partir des systèmes et des réseaux informatiques. Les renseignements et les preuves numériques connaissent une croissance exponentielle et doivent être gérés de manière appropriée tout au long d'une enquête.

Les décisions prises par les enquêteurs financiers au sein des institutions financières sont extrêmement importantes et peuvent influencer les décisions de gestion ou l'avenir d'une relation avec un client. Si une activité véritablement suspecte n'est pas détectée en raison de mauvaises pratiques d'investigation, de plateformes analytiques mal équipées ou d'une utilisation inefficace des renseignements, un délit qui aurait pu être détecté et interrompu pourra se poursuivre. Le fait de disposer des meilleurs outils d'investigation permet aux organisations de prendre en toute confiance ce type de décisions fondées sur le risque. Dans le même temps, des manquements similaires pourraient conduire à traiter une personne innocente comme un sujet de préoccupation, ce qui soulèverait des questions d'équité et aurait des implications pour l'inclusion financière. Le fait que l'enquêteur ait raison ou non aura une incidence considérable sur la manière dont l'IF s'attaquera à la criminalité financière, conservera sa réputation intacte, réduira les pertes monétaires et protégera ses clients.

La voie à suivre

Les approches menées par les enquêteurs donnent de meilleurs résultats contre les risques importants, grâce à l'utilisation de paramètres de renseignement améliorés et intégrés dans le processus d'automatisation intelligente. Leur déploiement dans le secteur des services financiers pour les cybercrimes commence déjà à porter ses fruits, surtout lorsqu'il s'accompagne d'une coopération plus étroite entre les secteurs privé et public pour le partage des informations sur les risques.

Les praticiens de la cybercriminalité financière se concentrant de plus en plus sur l'obtention de résultats, il semble évident que le fait de doter l'enquêteur des bons outils pour automatiser, rassembler et classer les renseignements contribuera de manière significative à la qualité et à l'efficacité des enquêtes.

Notes
[1] https://www.pwc.com/gx/en/services/forensics/economic-crime-survey.html
[2] https://www.weforum.org/agenda/2020/02/cyber-risk-should-take-centre-stage-in-financial-services/

Darren Mullins - Associé - Accuracy

Paul Wright - Conseiller principal - Accuracy

Arthur Couvreur - Administrateur - Accuracy

Steve Molloy - Directeur - Accuracy