Le paysage de la fraude à la fidélité

Dans un monde où le recueil de données personnelles est critique pour apporter toujours plus de valeur ajoutée et de pertinence aux consommateurs, les programmes de fidélité apparaissent comme stratégiques pour les enseignes et les marques. Cet engouement pour les programmes de fidélité s’accompagne également d’un regain de fraudes à la fidélité. Une fraude qui n’épargne aucun marché et a même tendance à s’accélérer de manière exponentielle. Si les programmes de fidélité et l’engagement de manière générale ne cessent d’évoluer, les pratiques des fraudeurs évoluent également.  Alors qu’est-ce que la fraude à la fidélité ? Quelle forme prend-elle et quels sont les ordres de grandeur ? Comment s’en protéger et réagir ? Autant de questions auxquelles nous nous attacherons à répondre pendant cette semaine de la fidélité en partenariat avec Velvet Consulting. 

La fraude à la fidélité, ordres de grandeurs

La fraude à la fidélité, un phénomène massif

Depuis que les traditionnels secteurs de la banque et de l’assurance ont considérablement augmenté leurs normes de sécurité, les programmes de fidélités sont devenus des cibles plus qu’intéressantes aux yeux des pirates. Prenons le cas de l’aérien : dans un article des Echo (1), Bruno Trévédic évoque une augmentation des fraudes de 100% dans le secteur en 2020. Ainsi, sur ce marché, on observe la constitution d’organisations expertes et professionnelles dans le piratage de points. Plus encore, en valeur absolue, la fraude représenterait 1 milliard de dollars / an, sur une masse de 200 milliards de $ de miles en circulation, soit un coût extrêmement important pour le secteur.

Et on comprend pourquoi la fraude à la fidélité est alléchante ! Elle se révèle extrêmement lucrative. A titre d'illustration, dans son Internet Security Threat Report (2), Symantec indique que le coût sur le marché noir d’un compte de fidélité d'une chaine d'Hôtel à 100 000 points se situe entre 10 et 20 $. Un coût dérisoire au regard de l’investissement nécessaire pour atteindre légalement un tel nombre de points.

Ainsi, si la fraude peut paraître anodine ou symbolique dans certains cas - des hackers ont ainsi réussi à obtenir des prix avantageux sur les célèbres menus best off de Mcdonald’s (3), il n’en demeure pas moins que dans sa dimension potentiellement massive peut constituer une faille de sécurité majeure pour les données clients et in fine un véritable coût pour les sociétés.

Tendances de la fraude 

Les failles de cybersécurité : une manne pour les pirates, qui coexiste avec une fraude plus traditionnelle

D’un point de vue cybersécurité, nous l’avons dit, la fraude à la fidélité se révèle très lucrative car plus accessible que les secteurs traditionnellement visés par des attaques. C’est dans ce contexte que cette dernière a augmenté tout secteur confondu de 89% entre 2018 et 20193 en volume et de 12% en valeur sur la même période.

Nous le voyons, les points de fidélité, s’ils sont des devises plus faibles et plus discrètes à pirater, n’en restent pas moins des devises qu’il s’agit de protéger. D’un point de vue plus traditionnel, nous avons évoqué les abus digitaux, mais les échanges / retraits d'articles et remboursements sont également des points sensibles à protéger. Les failles dans l'omnicanalité ou la gestion temps réel des entreprises permettent aux fraudeurs de profiter par exemple de décalages entre magasins physiques et sites e-commerce. L'omnicanalité s'avère donc être bien plus qu’un incontournable pour la seule expérience client. Elle devient en effet un levier majeur dans la lutte contre la fraude.

Fraude à la fidélité, quelles conséquences légales

Au-delà de l’impact sur l’image, les sociétés dont les données personnelles des clients sont piratées peuvent encourir de lourdes sanctions. 

Dans le cas de la fraude à la fidélité spécifiquement et dans un contexte de cybercriminalité, les conséquences vont bien au-delà de l'image de marque ou encore du niveau de confiance perçu par les utilisateurs. En effet, depuis 2018 la législation européenne oblige les entreprises à prévenir leurs clients et à déclarer officiellement le vol des données. Sachant que de nombreuses fraudes à la fidélité relèvent de données à caractère personnel, les entreprises sont donc dans l'obligation de dévoiler publiquement la faille de sécurité dont elles ont été victimes, et ce dans les 72h (4).

Ainsi, en 2019, la compagnie aérienne British Airways a été condamnée à une amende de plus de 23 millions d'euros après le vol de données personnelles de plus de 500 000 de ses encartés (5). A la réputation entachée peut s'ajouter des amendes d'un montant élevé si la société victime de fraude est reconnue par les autorités compétentes comme n'ayant pas suffisamment protégé les données de ses utilisateurs.

En conclusion, la fraude à la fidélité est une nouvelle manne pour les pirates. Les programmes sont moins bien protégés que les actifs traditionnels des banques et assurances. La fraude à la fidélité est ainsi le fait d'usagers jouant avec les failles ou les flous dans les règles des programmes de fidélité, mais aussi de pirates professionnalisés, qui, en siphonnant les comptes des clients, entraînent également la fuite de données personnelles bien souvent sensibles. En hausse constante, ces agissements peuvent engager la responsabilité légale de l'entreprise, notamment pour négligence dans le cadre des législations sur la protection des données.

  


Sources

1 - Les programmes de fidélité du transport aérien, nouvelle cible privilégiée des cyberattaques, 2021 : https://www.lesechos.fr/industrie-services/tourisme-transport/les-programmes-de-fidelites-du-transport-aerien-nouvelle-cible-privilegiee-des-cyberattaques-1327623
2 - Internet Security Threat Report 2019 de Symantec : https://docs.broadcom.com/doc/istr-24-2019-en
3 - Expertise FORTER sur la fraude : https://www.businesswire.com/news/home/20191015005170/fr/
4 - Note sur les obligations d'information autour des incidents de sécurité : https://www.alain-bensoussan.com/avocats/les-obligations-de-notification-des-incidents-de-securite/2018/06/04/