À la frontière du design produit et de l’expérience utilisateur : Kyle nous raconte comme les questions de sécurité sont au coeur des services de N26

Chaque jour, Kyle et son équipe parcourent le Web à la recherche de menaces de sécurité potentielles. Leur spécialité consiste à rassembler, analyser et fournir des informations aux différentes équipes de N26 sur les tendances en termes d’arnaques et de fraudes qui visent les banques, les entreprises de la fintech et tout autre service numérique, afin de rester pionnier dans les systèmes de sécurité à adapter pour s’en prémunir.

Kyle, le nom de votre équipe combine deux prérequis fondamentaux du monde des banques : confiance et sécurité. De quoi votre équipe s'occupe-t-elle concrètement au quotidien ?

N26 est une banque et comme toute banque, la sécurité des comptes bancaires de notre clientèle  est notre première mission. Ensuite dans ce domaine où la conception et l’expérience utilisateur se chevauchent, c’est la composante humaine qui va permettre de trouver les justes équilibres. C’est précisément ici qu’intervient l’équipe Trust & Safety de N26.

En substance, notre responsabilité consiste à protéger les clients N26 des tentatives de fraude, comme les schémas de phishing toujours plus sophistiqués et qui peuvent cibler des personnes pas toujours armées pour se protéger. 

Pour y parvenir, nous menons un travail de veille permanent, pour débusquer les nouvelles méthodes de phishing qui évoluent sans cesse, ou toute tentative de contrefaçon de la marque N26 pour tromper notre clientèle. Par exemple, il peut s’agir de SMS envoyés à notre clientèle par des fraudeurs se faisant passer pour N26. Dans ces SMS, ils incitent leurs victimes à cliquer sur un lien, à appeler un numéro de téléphone ou à répondre en envoyant leur code PIN ou leurs informations de connexion, et ce, afin d’obtenir les données à caractère personnel de nos clientes et clients et d’accéder à leur compte. 

Qu’advient-il de toutes les informations que vous collectez ?

Vous pouvez considérer l’équipe Trust & Safety comme un service de renseignements. Par exemple, nous transmettons les informations sur les cyberattaques potentielles aux équipes chargées de mettre à jour les procédures de sécurité pour notre application mobile. Nous nous assurons avec les équipes concernées que tout nouveau produit qui doit arriver sur un marché anticipe les menaces émergentes pour s’assurer que la clientèle puisse s’en prémunir. Enfin,notre travail sur les tendances récentes en matière de fraudes et arnaques guide nos équipes pour détecter avec d’autant plus de célérité les activités suspectes sur certains comptes de notre propre clientèle selon l’application des législations bancaires en vigueur. 

Habituellement, les individus malintentionnés s’efforcent de garder leurs méthodes secrètes. Comment identifiez vous les nouvelles tendances de type d’arnaques ou de schémas de  fraude qui peuvent se développer sur les marchés ?

Vous seriez surpris de savoir combien de fraudeurs se vantent de leurs techniques et de leurs « exploits » en ligne ou sur les réseaux sociaux. Nous obtenons nos informations de différentes sources : les réseaux sociaux, les blogs spécialisés mais aussi sur le Deep Web et le Dark Web car nous savons que c’est aussi là que les fraudeurs les plus sophistiqués s’informent. Enfin comme toute entreprise internationale, nous échangeons en permanence avec nos pairs d’autres grandes banques dans le monde pour échanger des renseignements sur ces sujets.

Rester constamment à l’affût des arnaques en tous genres susceptibles ou non d’affecter les clients N26 semble présenter un sacré défi, mais cela semble également gratifiant. Qu’aimez-vous le plus dans votre travail ?

La fraude évolue constamment, et avec l’accélération de la digitalisation de nos vies au quotidien, la cybercriminalité est devenue la première menace ces dernières années. Nous observons souvent des individus malintentionnés qui réagissent aux dispositifs de sécurité que nous mettons en place pour tenter  de les contourner. Enquêter sur ces individus est très gratifiant, de même que d’observer les choses qui les agacent, car nous savons que nous œuvrons au quotidien pour protéger les millions d’Européens qui utilisent notre banque. 

Comment les activités en termes d’arnaque et de fraude ont-elles évoluées au cours des dernières années notamment avec l’accélération de l’e-commerce ou de la digitalisation des services bancaires et de paiement ?

Dans le monde de la fraude, les évolutions sont constantes. C’est un cercle vicieux : comme les consommateurs savent mieux se protéger des fraudes en ligne, les individus mal intentionnés font preuve d’inventivité et innovent  pour sophistiquer les systèmes de fraude. 

Ceci dit certains schémas reviennent régulièrement comme les faux sites de vente ou le vishing (méthode qui consiste à contacter un client par téléphone ou par sms  afin d’obtenir des données à caractère personnel afin de leur soutirer de l’argent. La dernière tendances que l’on voit beaucoup se développer et que j’aimerais mettre en lumière ici, c’est celle de la fraude au paiement par autorisation.

Ici le fraudeur cherche à tromper  sa victime pour lui  faire faire un paiement sur un compte dont il a le contrôle. Cela peut se passer de différentes façons. Le casse-tête de ce type de fraude réside dans son utilisation des paiements instantanés. Puisque ces paiements sont instantanés et définitifs, les victimes de cette fraude ne peuvent pas s’y opposer lorsqu’elles se rendent compte qu’il s’agissait d’une arnaque. 

Quelle est LA LEÇON que l’on devrait tous retenir si l’on veut protéger au mieux quand on parle  sécurité sur Internet ? 

Il est important de comprendre que la sécurité sur Internet est tout aussi importante que la sécurité dans le monde réel. Dans les deux cas, prudence est maître de sûreté. Donc mon conseil, c’est par nature de douter de tout. Je sais que ça peut sembler excessif, mais c’est simplement une habitude à prendre. Si l’on vous contacte et que l’on vous demande quelque chose, a fortiori en ligne, qu’il s’agisse d’une personne prétendant représenter un produit ou un service que vous utilisez, d’un employeur ou d’une employeuse potentiels ou d’une personne sur une appli de rencontres, prenez du recul et réfléchissez à la demande qui vous est formulée. 

Bien que les individus derrière les arnaques soient très habiles pour convaincre leurs victimes d’agir de manière irrationnelle au moyen de techniques d’ingénierie sociale, leurs demandes manquent souvent de sens quand on y regarde de plus près. 

Pour finir, quelques exemples de comment cet état d’esprit vous protéger dans votre quotidien  :

• Si vous recevez un e-mail ou un SMS de votre banque, de votre prestataire de paiement ou de toute autre entreprise qui vous invite à agir de manière immédiate, faites preuve de prudence. Dans certains cas, il peut s’agir d’individus malintentionnés. Par exemple, N26 comme toute banque ne communiquera des données à caractère personnel que via la messagerie de votre appli N26, et elle invitera ses utilisatrices et utilisateurs à répondre dans l’application – et non par e-mail, par SMS ou par téléphone. Vous pouvez également contacter le service client via le chat si vous souhaitez vous assurer que la personne qui vous contacte représente effectivement N26.
• Si vous vous faites hameçonner et qu’un individu malintentionné entre en possession de l’adresse e-mail et du mot de passe que vous utilisez pour un service spécifique, c’est grave dans la mesure où il peut accéder à votre compte auprès dudit service. Mais le plus souvent, cet individu va utiliser ces informations sur tous les autres sites qui lui passent par la tête. C’est pourquoi il est important de varier vos informations de connexion selon les services.
• Si un jour vous deviez suspecter une fraude ou une arnaque à votre encontre, il convient d'alerter immédiatement votre banque et d’aller déposer plainte auprès des autorités. Les entreprises n’ont pas le droit de le faire en votre nom, car ce ne sont pas elles les victimes sur le plan juridique. Les dossiers de cybercriminalité sont peut-être plus difficiles à traiter pour les autorités, mais le nombre de dossiers déposés pour un type de fraude ou d’arnaque spécifique a une incidence : il contribue à identifier des tendances et peut aussi permettre aux autorités d’allouer davantage de ressources à une enquête.