Les grandes banques se vantent aujourd'hui d'utiliser les technologies « big data » et l'intelligence artificielle pour améliorer leurs services. Pourtant, quand une brèche de sécurité affecte un e-commerçant, la seule qui parvient à détecter le motif récurrent de fraude qui s'ensuit est la jeune pousse Monzo. Les autres l'ignorent pendant 2 mois…
L'histoire que raconte la startup commence le 6 avril, quand une cinquantaine de clients la notifient de transactions frauduleuses sur leurs cartes de paiement. Une petite analyse de routine révèle immédiatement une anomalie statistique puisque 70% des victimes avaient précédemment effectué une transaction sur le site de Ticketmaster, qui n'est pourtant utilisé que par 0,8% de ses clients. En 4 heures et demie, l'équipe de Monzo met en place des protections supplémentaires pour éviter de futures tentatives similaires.
Les jours suivants, la tendance se précise et la banque alerte les services secrets américains (en charge de la fraude sur les cartes de crédit) et les responsables de la plate-forme de vente en ligne. Une transaction en particulier lève les derniers doutes : une tentative de paiement suspecte reproduisant la date d'expiration erronée que l'utilisateur légitime avait saisi sur le site de Ticketmaster. Monzo décide de remplacer préventivement les cartes des personnes susceptibles d'avoir été concernées par l'attaque.
Deux semaines après le début de l'affaire, personne ne corrobore les observations de Monzo, ni le marchand (après une enquête interne), ni les services secrets, ni aucune autre institution financière… Finalement, ce n'est que le 21 juin que Mastercard avertit l'ensemble des banques, tandis que Ticketmaster ne reconnaît publiquement les faits – touchant plusieurs dizaines de milliers de consommateurs britanniques – que le 27 juin (et tant pis pour les délais de notification imposés par le RGPD…).
Ce qui me frappe dans ce récit est que la démarche de Monzo paraît totalement normale (et pas spécialement révolutionnaire, d'un point de vue technologique), qu'il s'agisse d'approfondir la compréhension d'incidents de sécurité, de mettre en place rapidement des mesures de protection adaptées, de collaborer avec les parties prenantes… Quel contraste avec l'absence de réaction de la part du reste de l'industrie et quel gâchis que le temps perdu par ce qui ressemble fort à une attitude de négligence généralisée !
Où sont donc les algorithmes anti-fraude de toutes ces banques qui se flattent de leur engagement pour la protection de l'argent (et des informations personnelles) de leurs clients ? Se contentent-elles de filtrer des motifs d'attaque classiques, sans exploration continuelle de nouvelles corrélations dans les données captées en temps réel, qui permettraient de les rendre plus performants, sans introduction dynamique de règles supplémentaires en cas de soupçon ? Comment diable une startup peut-elle être plus efficace que des établissements aux ressources quasiment illimitées ?
Dans un domaine qui n'est pas le premier auquel on pense quand on évoque l'expérience utilisateur, Monzo fait ici une nouvelle démonstration de la puissance de sa vision toujours centrée sur le client. Peu importe que les fraudes puissent être gérées a posteriori, sa priorité est d'éviter qu'elles ne se produisent ou, au pire, d'en limiter les impacts, et tous les moyens pour y parvenir doivent être mis en œuvre (même quand ils ont un coût non négligeable, comme le remplacement préventif de milliers de cartes). Voilà le genre d'attitude qui contribue à conquérir plus de 750 000 clients en quelques mois…