11 Mai, 2026 | Article

IA et fraude financière : vers une guerre de la donnée

Plus rapide, plus crédible, plus scalable : la fraude pilotée par l’intelligence artificielle change de dimension. Face à cette mutation, les institutions financières doivent repenser leur défense. Au cœur de cette transformation : la qualité des données et une stratégie multicouche.

Article-IA et fraude financière _ vers une guerre de la donnée – Xavier Vanmeerbeck LA FABRIQUE BY CA

intelligence artificielle

Il y a encore quelques années, la fraude laissait des traces. Des signaux faibles, parfois grossiers, comme cette fausse page d’accueil d’un site connu ou ce mail vous annonçant un héritage mystérieux. Aujourd’hui, la fraude devient de moins en moins perceptible et doit beaucoup à l’intelligence artificielle. « Le premier point, c’est la vélocité des attaques. C’est beaucoup plus rapide qu’avant, observe Xavier Vanmeerbeck, Responsable de la Sécurité des Systèmes d’Information à La Fabrique by CA. À partir d’une faille, on peut mettre en place des attaques beaucoup plus rapidement, et surtout les faire évoluer. »

Le recours à l’IA ne permet pas uniquement d’améliorer les techniques existantes : elle en change l’échelle. Les cycles d’attaque se raccourcissent et les ajustements deviennent quasi instantanés. Résultat : les défenses traditionnelles, souvent basées sur des règles statiques, peinent à suivre. Autre bascule majeure : l’accessibilité. « Avant, il fallait être plutôt expert. Maintenant, on peut faire des choses assez vite même sans connaissances techniques. » Une démocratisation qui élargit mécaniquement le nombre d’attaquants – et donc le volume d’attaques.

La fin des “gros voyants rouges”

Le changement est aussi qualitatif. La fraude se voit moins. « Avant, on avait des gros voyants rouges qui s’allumaient. Maintenant, c’est beaucoup plus subtil, plus difficile à détecter. » Ce basculement est particulièrement visible dans les mécanismes d’identité. Le rapport Stemming the Tide on the New Era of AI-Driven Fraud (Endiguer la vague de la nouvelle ère de la fraude pilotée par l’IA) réalisé par l’institut britannique Melissa évoque la montée des identités synthétiques, créées en combinant données réelles et fictives pour produire des profils crédibles à grande échelle .

Sur le terrain, cette évolution est encore progressive, mais déjà tangible. « Sans validation efficace de documents d’identité officiels par les services anti-fraude, des fraudeurs peuvent créer des identités plausibles, voire non vérifiables par un système automatisé, en utilisant simplement des adresses physiques existantes », explique Xavier Vanmeerbeck. En parallèle, d’autres formes de fraude persistent – et restent redoutablement efficaces. Notamment les comptes dits de “mules”. Le principe est simple : un individu, souvent peu conscient des risques, ouvre un compte bancaire en ligne à son nom, avec de vrais documents, puis en cède l’accès à un tiers contre rémunération.

« Moyennant 50 à 500 euros, selon la complexité du processus, certaines personnes acceptent de créer un compte et d’en céder les accès ». Une fois le compte récupéré, les fraudeurs peuvent l’utiliser pour faire transiter de l’argent, blanchir des fonds ou orchestrer d’autres opérations frauduleuses. Cette pratique, largement répandue sur les réseaux sociaux, brouille les pistes : les identités sont bien réelles, les vérifications initiales sont validées… mais l’usage du compte, lui, est entièrement détourné.

Le vrai nerf de la guerre : la donnée

Derrière l’IA, un autre enjeu se dessine, plus structurant encore : la donnée. Le constat du rapport Melissa est clair : la lutte contre la fraude repose désormais sur la qualité, la fiabilité et la structuration des données. Un point que confirme Xavier Vanmeerbeck : « Plus on a de données, plus la fraude a un potentiel, plus elle peut s’adapter. » Le problème, c’est que ces données sont partout. Et souvent exposées.

« Il y a des fuites de données partout, chez tout le monde. Même l’État est touché, comme l’ANTS récemment. Et ces données s’achètent, parfois à des prix relativement faibles. » Conséquence : les fraudeurs disposent d’un carburant abondant pour affiner leurs attaques. Données personnelles, habitudes, historiques… Même obsolètes, ces données restent exploitables car elles permettent de donner l’impression de connaître la personne contactée.

Une fraude devenue psychologique

Autre mutation majeure : la bascule vers des attaques centrées sur l’humain. « Les fraudeurs s’appuient souvent sur le sentiment d’urgence qui fait radicalement baisser la vigilance”, souligne Xavier Vanmeerbeck. Phishing, appels téléphoniques, faux supports techniques : les scénarios jouent sur la pression, la peur ou la précipitation. L’IA améliore la crédibilité des messages, mais la faille reste donc profondément humaine. Cette dimension psychologique rend la fraude plus difficile à contrer car elle ne vise plus seulement les systèmes, mais les comportements.

La réponse : une défense multicouche

Face à la sophistication croissante de la fraude, il n’existe plus de réponse unique. Le rapport Melissa plaide pour une stratégie de défense multicouche, combinant plusieurs niveaux de vérification : géolocalisation, correspondance nom-adresse, validation des données de contact, suppression des profils à risque, formation des individus etc. Sur le terrain, cela se traduit par une logique de corrélation. « On croise un maximum d’informations pour définir un niveau de risque, confirme Xavier Vanmeerbeck. Ce n’est jamais du blanc ou du noir. On est sur des probabilités. »

Parmi les signaux clés :

cohérence entre adresse déclarée et localisation réelle (si l’IP est dans un pays lointain, vigilance),
validité des emails et numéros de téléphone,
comportement de connexion (appareil utilisé, réseau, fréquence…),
correspondance entre identité et données externes.

« Le multicouche, c’est faire plusieurs vérifications successives, et aller plus loin dès qu’il y a un doute. » L’enjeu critique est de réussir à lutter contre la fraude sans dégrader l’expérience client, ou collaborateur, alerte le rapport Melissa. Renforcer les contrôles, oui, mais sans ralentir les parcours. L’équilibre demeure délicat entre sécurité et fluidité.

Vers une guerre IA contre IA

Dans ce nouveau paysage, la confrontation devient inévitable. « On arrive vers un modèle d’IA contre IA », résume Xavier Vanmeerbeck. D’un côté, des attaquants capables d’automatiser, d’adapter et d’industrialiser leurs méthodes. De l’autre, des systèmes de défense qui doivent analyser des volumes massifs d’alertes, détecter des patterns et réagir en temps réel.

« L’avantage de l’IA, c’est qu’elle s’adapte vite. Elle détecte les patterns et les fait évoluer à la vitesse de l’attaquant. » Le rapport Melissa insiste également sur la nécessité de déployer rapidement les outils, via des solutions plug-and-play capables de s’intégrer des systèmes sans refonte lourde. Mais l’équilibre reste fragile. « L’attaquant se fiche de la réglementation. Le défenseur, lui, doit s’y conformer. Il y aura donc toujours un décalage. »

Une bataille permanente

La fraude évolue. De plus en plus rapide. De plus en plus corrélée. De plus en plus invisible. Demain, les attaques pourraient devenir multi-canaux : emails, appels téléphoniques, interfaces – parfaitement coordonnés. Dans ce contexte, la capacité d’adaptation et la vigilance sont clés. “Face à des systèmes toujours plus sophistiqués, le réflexe le plus important, c’est de se méfier de l’urgence et de vérifier par une autre source, un canal différent. »

Avec WE DEMAIN