Accéder au contenu principal

Les technologies de lutte contre la criminalité financière

Un levier devenu une attente forte du régulateur

Article co-écrit avec Shaden Itani, Directrice Risk Advisory, et Sacha Karmaly, Manager Risk Advisory

Schémas transactionnels plus complexes, maintien d’une opacité parfois totale dans certaines juridictions, nouveaux produits à l’instar des crypto-monnaies, instabilité géopolitique et tant d’autres problématiques en matière de lutte contre la criminalité financière génèrent un « stress règlementaire » important au niveau des instances dirigeantes des établissements financiers (banques, assurances, gestionnaires d’actifs, etc.).

Au cours des deux dernières décennies, la détection des risques en matière de criminalité financière s’est appuyée de manière croissante sur les progrès technologiques : outils d’automatisation du scoring clients, filtrage des paiements, criblage des référentiels clients, surveillance de transactions, etc. Ces outils ou dispositifs technologiques de lutte contre la criminalité financière (Financial Crime Technologies ou « FCT ») eux-mêmes évoluent rapidement, à l’instar de la démocratisation de l’intelligence artificielle ou de l’analyse par graphes.

Cette transformation de l’environnement FCT résulte en une attention grandissante des autorités de supervision. En avril 2023, l’Autorité de Contrôle Prudentiel et de Résolution (« ACPR ») a notamment publié une revue thématique sur les dispositifs automatisés des opérations en matière de LCB-FT.

S’il est déployé avec maîtrise et surveillé, la mise en place et la consolidation d’un dispositif FCT s’avère être un véritable levier de renforcement de la conformité LCB-FT et sanctions internationales tout en répondant aux attentes du régulateur.

A l’heure actuelle, ces mêmes dispositifs FCT présentent de nombreux axes d’amélioration, comme en atteste la revue thématique de l’ACPR ou encore les décisions de sanctions prises à l’encontre des institutions financières par les régulateurs tant en France qu’à l’international.

Quels axes d'amélioration pour les dispositifs FCT ?

 

Ces dernières années, les outils de lutte contre la criminalité financière ont évolué sous l’influence de deux facteurs principaux : l’accélération de l’innovation technologique et le renouvellement constant des pratiques de délinquance financière.

Malgré les efforts et les moyens engagés, il subsiste fréquemment un décalage entre les procédés de plus en plus sophistiqués des criminels et la fréquente rigidité ou l’inertie des dispositifs mis en place par les entreprises. Ce décalage peut être d’autant plus marqué que ces dispositifs sont parfois définis et calibrés au regard d’exigences règlementaires locales alors que la criminalité financière sévit sans limite à un niveau global.

D’une manière générale, les dispositifs FCT en place sont peu flexibles et présentent des limites sur différents axes :

Les outils FCT présentent des défis de compréhension et de maitrise importants pour des experts règlementaires et plus centrés métier. Ces outils apparaissent parfois comme une « boîte noire » pour les équipes conformité. Pour autant, cela ne signifie pas qu’il faille délaisser le cœur technologique de chaque outil car la configuration des outils FCT a un impact majeur sur la détection des risques : configuration de seuils, de scores, de règles métiers ou techniques, gestion technique des listes de surveillance, définition de scénarios ou encore la mise en place de modèles ad-hoc basés sur l’analyse des graphes et/ou l’apprentissage machine (machine learning).

Dans un monde où la technologie règne en maître, la criminalité s’adapte et en suit le rythme. La rigidité des systèmes en place opposée à l’évolution rapide des formes de criminalité financière souvent digitalisées incite à réfléchir aux freins à la réactivité. Ces freins résultent souvent d’une vue incomplète sur les nouveaux risques mais également d’une vue et d’une documentation incomplètes (i.e., manuel de gestion d’application, formalisation matricielle, KPIs etc.) sur l’existant en matière de cadre technologique et de critères de détection (i.e., scénarios, règles).

L’intelligence artificielle (IA), le machine learning (ML), l’analyse par graphes ou encore le passage au cloud peuvent davantage être mis à profit pour optimiser les processus opérationnels et générer un gain de temps aux équipes conformité leur permettant de se focaliser sur des tâches plus complexes et à plus forte valeur ajoutée. Par exemple, le machine learning peut permettre de déployer des modèles prédictifs, véritable assistance dans le contexte de la priorisation des alertes.

La donnée est la matière première de tout système d’information et de traitement. Très souvent, la chaîne de livraison de la donnée, qu’il s’agisse de flux internes ou externes, est peu voire mal maîtrisée, a fortiori en présence de systèmes historiques structurés en couches successives. La donnée est également au centre des enjeux quand il s’agit d’implémenter de nouvelles technologies (i.e., intelligence artificielle). Un défaut de stratégie en amont, de gouvernance, ou encore d’architecture et d’acheminement de la donnée accroit fortement le taux d’échec des projets de montée en gamme technologique, le taux de faux positifs rencontré, ou encore le risque de non-conformité avec les règlementations LCB-FT.

Quelles actions concrètes faut-il mettre en oeuvre ?

 

1. Maîtriser l’implémentation d’un nouveau dispositif FCT ou la montée en version de l’existant

 

La clé de la réussite d’un projet de transformation et/ou d’amélioration des performances d’un dispositif FCT réside dans les premières phases du projet, en particulier :

  • La formalisation claire des besoins métiers et leur traduction fine et exhaustive en spécifications technico-fonctionnelles ;
  • La mise en œuvre d’une approche BAOP (Benchmark – Appel d’offres – Performance Editeur) permettant de maîtriser les risques liés au processus de sélection et de suivi des éditeurs de solutions FCT, en réalisant si possible un exercice de Proof Of Concept (POC).

2. Evaluer l’ensemble du dispositif FCT à travers un « health check »

 

L’exercice de « health check » permet d’évaluer de manière holistique les dimensions technologiques et opérationnelles du dispositif FCT dans l’objectif d’effectuer une analyse critique de celui-ci. Les observations et recommandations qui en résultent contribuent à identifier les points faibles et à initier des solutions tactiques ou stratégiques afin de renforcer le dispositif dans son ensemble. Il est généralement réalisé à une fréquence prédéfinie et en cas de changement majeur (infrastructure, version, outil, etc.).

L’exercice de « health check » basé sur la méthode Deloitte « Dartboard » évalue les dimensions critiques suivantes :

  • Infrastructure et systèmes sources : évaluation high-level des éléments technologiques et de leur niveau d’intégration et de cohérence par rapport à la chaine de livraison de la donnée. En particulier, il s’agira d’évaluer les spécificités des systèmes sources alimentant le dispositif FCT, les imbrications entre les différents outils / technologies / modules ou encore de produire une image synthétique et claire afin de « débroussailler » l’existant ;
  • Données et processus d’extraction, de transformation et de chargement (Extract, Transform, Load ou ETL) : évaluation de la chaine de livraison de la donnée (intégrité, complétude, actualisation, contrôles et spécificités afférentes, etc.) et des processus ETL liés. Il s’agira par exemple d’évaluer, les flux relatifs aux listes de sanctions/Personnes Politiquement Exposées (i.e., interne, externe etc.) retenus pour les outils de criblage des bases clients et de filtrage des flux, le processus d’intégration et de mise à jour ou encore l’exhaustivité des opérations alimentant l’outil de surveillance des transactions ;
  • Configuration et efficacité du paramétrage : il s’agit de l’évaluation des paramétrages des solutions en place (règles métiers et techniques, seuils, scénarios, etc.) ;
  • Gestion des outputs : Cette dimension correspond à l’analyse qualitative et quantitative des résultats obtenus (alertes générées par les outils) et du traitement de ces derniers par les équipes en charge ;
  • Sécurité et gestion des accès : Il s’agit d’évaluer cet aspect dans une approche Système d’Information (« SI ») et en particulier de focaliser sur les mécanismes de sécurité en place quant au traitement et à l’accès à la donnée.

3. Lancer un « crash-test » des données et systèmes en complément du « health check »

 

L’exercice de « crash-test » s’insère tant dans le cadre de la vérification de la performance du dispositif FCT (efficience du « moteur algorithmique » traitant les données) que dans le contexte de son évaluation d’ensemble. Il s’agit principalement de créer des jeux de données par typologie afin de pouvoir tester un maximum de dimensions et ainsi détecter les failles ou pistes d’amélioration dans les différents processus de détection de risques sanctions, LCB-FT ou encore fraude. Un crash-test peut être réalisé seul, s’insérer dans le cadre d’un « health check » ou encore dans le contexte d’une transformation du dispositif FCT.

Illustration schématique des principales étapes d'un crash-test

4. Optimiser les processus au sein du dispositif FCT

 

L’optimisation d’un dispositif FCT a pour but de rationaliser l’utilisation des ressources et d’accroître les performances des outils implémentés. Définir les pistes d’optimisations passe généralement par une prise de conscience in opere ou bien après la réalisation d’une analyse des écarts sur toute la chaine de valeur FCT. Les principaux axes d’optimisation se concentrent généralement sur :

  • La mise en place de points de contrôles clés tout le long du processus FCT, incluant la chaîne de livraison de la donnée, afin d’anticiper toute anomalie et d’y apporter les mesures correctives nécessaires sans délai ;
  • La documentation technico-fonctionnelle du dispositif FCT en place afin de maintenir le savoir-faire ainsi qu’une vue à jour sur les outils en place et d’envisager de potentielles évolutions ;
  • La mise en place d’indicateurs de performance et de suivi des risques afin de faciliter la prise de décision en matière de gestion des ressources (humaines, financières, techniques) ;
  • L’automatisation de process précédemment manuels afin d’obtenir gain de temps et réduire les risques afférents ;
  • L’optimisation des modalités de traitement des alertes (outillage dédié, accès à l’information, mutualisations, réorganisations, etc.) avec un volet d’accompagnement au changement.

5. Adopter une approche « modèle » du dispositif FCT

 

En s’inspirant du corpus règlementaire américain (i.e., NYDFS Part 504, FED Letter SR11-7), il est recommandé de se doter d’un véritable cadre de validation et de documentation du dispositif FCT. Le « modèle » sera ainsi documenté selon des critères précis, ce qui lui permettra d’être considéré comme efficace, acceptable et maîtrisé. Dans un contexte règlementaire européen et français ne reflétant pas encore dans une forme similaire ces obligations risques de modèle de conformité imposées outre-Atlantique, cette approche « modèle » peut être définie « à la carte » afin d’insuffler graduellement une culture de la gestion structurée et responsable du dispositif FCT. 

Quels gains pourront résulter de ces actions ?

 

Les améliorations apportées aux dispositifs FCT se traduisent in fine par des gains considérables tant sur le court que le long terme. Outre l’alignement avec les obligations règlementaires, les avantages sont également opérationnels et financiers :

La baisse du nombre d’alertes liées à des faux positifs et la réduction de la charge de traitement entraînent un gain d'efficacité et permet une meilleure allocation des ressources.

Les modèles ML/IA contribuent à réduire le temps nécessaire à l’investigation et à la prise de décision.

Les nouvelles méthodes de détection permettent aux équipes conformité de se focaliser sur des tâches plus complexes et à plus forte valeur ajoutée (i.e., l'analyse de schémas transactionnels complexes, amélioration des processus internes, évaluation des risques).

Les systèmes innovants peuvent s'adapter plus rapidement aux nouvelles formes de criminalité financière, grâce à la capacité d’apprentissage sur des nouveaux schémas à partir des données disponibles ou le suivi récurrent des risques.

Dans le cadre d’un changement culturel interne (développement intégré d’outil ou module impliquant IT et métier), se diffuse une meilleure compréhension de la structuration du dispositif FCT et ainsi une plus forte maitrise des risques par les métiers, réduisant de facto la dépendance vis-à-vis des seuls interlocuteurs IT ou des éditeurs externes pour identifier des problèmes et proposer des solutions dans une approche d’amélioration continue.

L’engagement financier des départements risques et conformité a naturellement tendance à croître à mesure qu’apparaissent de nouvelles obligations règlementaires. La maîtrise du dispositif FCT et de ses multiples facettes contribue à la maîtrise du budget, se traduisant concrètement par une meilleure utilisation et mise à profit des technologies et systèmes et/ou par une meilleure allocation des ressources.

En conclusion

 

Les dispositifs FCT sont en constante évolution mais leur complexité conjuguée à de multiples obligations réglementaires ainsi qu’aux nouvelles menaces en matière de criminalité financière, doivent conduire les responsables métiers et IT à en assurer efficacité, efficience et maîtrise.

Le prix d’un abandon de responsabilité quant à une gestion saine et mesurée des dispositifs FCT est clair : inefficience du dispositif technologique, efficacité opérationnelle réduite, baisse de cohésion et de moral des équipes, sanctions prononcées par les régulateurs, atteinte à la réputation de l’organisation.

La mise en adéquation du dispositif FCT doit donc être perçue non pas comme un énième fardeau ou projet mais comme un véritable levier de transformation aux impacts réels et ressentis tant par les équipes que les tierces parties auditrices.

L’utilisation d’un dispositif FCT performant est une attente forte des autorités de supervision. L’ACPR envisage, en collaboration avec Tracfin, d’élaborer des lignes directrices sur les dispositifs automatisés des opérations en matière de LCB-FT. Ces lignes directrices devraient permettre aux établissements de prendre conscience des choix à opérer et d’être guidés pour faire évoluer leurs dispositifs dans la bonne direction.

Enfin, les organisations qui investissent dans une revue de leur dispositif FCT ou dans une meilleure gestion pourront en tirer un avantage concurrentiel par rapport aux autres acteurs qui resteront, eux, toujours dans une approche plus traditionnelle et passive.

Avez-vous trouvé cela utile ?

Merci pour votre retour

Nos points de vue