1. Choisir son outil de contrôle documentaire : trois critères qui comptent vraiment
Le marché des solutions de contrôle documentaire est dense, et les offres très hétérogènes. Pour s’y retrouver, Jean-Pierre Raysz retient trois critères structurants.
- La complétude fonctionnelle
Un outil performant doit couvrir l’ensemble des traitements : extraction des données, application de règles métiers, détection d’anomalies structurelles dans les fichiers, et idéalement croisement avec des référentiels externes. « Il y a beaucoup de pure players dans le domaine qui offrent des solutions assez pointues, mais déséquilibrées : une fonctionnalité très bien représentée, et les autres plus faibles », observe le Directeur Technique & Produits.
L’idéal, selon lui : un seul point d’entrée qui permet, selon le niveau de risque, d’activer des traitements de plus en plus approfondis, sans multiplier les intégrations. « Un élément déclencheur, souvent un document, et toute la richesse fonctionnelle derrière, sans effort », résume-t-il.
- L’évolutivité
Dans un domaine où les techniques progressent rapidement, un outil qui ne peut pas intégrer de nouvelles approches de détection devient obsolète en quelques années, voire quelques mois. Il s’agit ici d’évolutivité technique : la capacité à monter en puissance sans refonte de l’intégration existante.
- La performance
La performance se mesure à plusieurs échelles : la richesse documentaire (combien de types de documents l’outil sait-il traiter ?), le taux d’automatisation par catégorie, et la vitesse de traitement. Ce dernier point est décisif dans certains cas.
Par exemple, pour les documents difficiles à capturer comme les pièces d’identité, le taux de documents inexploitables peut être élevé. Signaler immédiatement à l’utilisateur qu’il doit recommencer, c’est éviter qu’un dossier incomplet parte en back-office où les chances de le récupérer sont bien plus faibles. Même logique pour un justificatif de domicile trop ancien ou à la mauvaise adresse : mieux vaut le détecter pendant que la personne est encore disponible pour corriger.
Les bénéfices sont doubles. Pour les organisations en mode acquisition, c’est une question de taux de transformation. Pour les autres, c’est d’abord une question d’efficacité opérationnelle. « C’est le moment où la personne est motivée, il faut en profiter », conclut Jean-Pierre Raysz.
2. Construire son dispositif : trois étapes avant de se lancer
Construire un dispositif antifraude efficace suppose de répondre à trois questions, dans l’ordre.
- Clarifier sa motivation, et en déduire son budget
C’est la question préalable à toute décision. Jean-Pierre Raysz distingue trois niveaux de motivation : alimenter son système d’information (collecter des données sans objectif antifraude précis), répondre à une obligation réglementaire (apporter la preuve que les contrôles ont été effectués), ou réduire un risque financier avéré. À chaque motivation correspond une enveloppe budgétaire différente.
- Évaluer les solutions
C’est l’étape la plus délicate. Le marché souffre d’un manque de mesures d’efficacité objectives : peu d’acteurs publient leurs taux de détection réels, pour des raisons de confidentialité ou d’image. « Une solution qui affiche 200 modules de traitement n’est pas nécessairement plus efficace qu’une autre », explique Jean-Pierre Raysz. Certaines fonctionnalités peuvent être présentées en démonstration sur des cas construits pour l’occasion, mais peu opérationnelles en conditions réelles.
Le risque est de mettre en place un système, de croire être protégé, et de ne pas l’être. La bonne démarche consiste donc à confronter les promesses des prestataires à ses propres cas d’usage, et à leur poser la question inverse : contre quels types de fraude n’avez-vous pas de réponse ?
- Intégrer : viser la simplicité
L’intégration technique n’a pas à être complexe. Dans la grande majorité des cas, une API avec un point d’entrée unique suffit : on envoie le document, on récupère un diagnostic. « Identifier les cas d’usage et les types de documents à traiter : ça n’a pas besoin d’être plus complexe que ça ! », résume Jean-Pierre Raysz.
Un point de vigilance mérite une attention particulière : la souveraineté des données. De nombreuses solutions s’appuient sur des infrastructures américaines (AWS, Azure, Google Cloud, etc.), soumises au Cloud Act et au Patriot Act. Pour les banques, assurances et services publics, cela pose des problèmes de conformité RGPD concrets. « Dans les domaines sensibles, on héberge systématiquement dans nos data centers en France », précise le Directeur Technique & Produits.
Autre point à ne pas négliger : la durée de conservation des données par le prestataire. Pour un traitement au fil de l’eau, les données transmises n’ont pas vocation à être stockées au-delà du temps nécessaire au diagnostic. Une question à poser explicitement avant de signer.
3. Maintenir la performance dans la durée
Un dispositif antifraude n’est pas un actif figé. Deux règles pratiques permettent d’en assurer la pertinence dans le temps.
- Suivre les résultats, sans excès de confiance.
Un système qui ne détecte aucune fraude n’est pas nécessairement un système efficace, il peut surtout ne pas – ou plus – être adapté aux techniques utilisées. Encore faut-il pouvoir le mesurer. Or, les situations divergent selon les secteurs. Dans le secteur bancaire, on sait en général a posteriori qu’on a été fraudé : un crédit non remboursé laisse une trace. Dans le domaine de l’assurance en revanche, un faux sinistre remboursé reste le plus souvent invisible. On ne saura jamais qu’il était frauduleux. Là où la détection a posteriori est possible, elle permet de confronter les cas avérés aux résultats du système et d’en évaluer la pertinence réelle. Là où elle ne l’est pas, la vigilance doit être d’autant plus grande.
- Tester de façon réaliste
Le test offensif, qui consiste à soumettre délibérément de faux documents pour évaluer le système, n’a de valeur que s’il est mené par un professionnel qui maîtrise réellement les techniques des fraudeurs. Un document bricolé en interne, qui ne reproduit pas fidèlement les méthodes utilisées sur le terrain, peut conduire à des conclusions erronées sur la robustesse du dispositif. « Attention aux amateurs qui vont s’improviser fraudeurs : ce n’est pas si simple », avertit Jean-Pierre Raysz.