Des robots à la salle de réunion : Comment les robots malveillants impactent négativement votre bilan

Les attaques automatisées de robots peuvent également contribuer directement aux pertes financières et aux opportunités économiques perdues en :

• Perte de confiance des clients après une prise de contrôle de compte. Les clients sont à juste titre mécontents si les défenses inadéquates d’une organisation contre les robots entraînent une prise de contrôle de compte (ATO) et des activités frauduleuses coûteuses, entraînant une baisse de la satisfaction client, une atteinte à la réputation et la fin des relations. Plus d'un quart des consommateurs américains interrogés déclarent qu'ils changeraient de banque s'ils n'étaient pas satisfaits de la manière dont la banque réagit à leur cas de fraude. 
   
• Augmentation des pertes dues à la fraude et aux rétrofacturations. Les attaques ATO pilotées par des robots et la création de comptes frauduleux ont un impact sur les résultats financiers lorsque les criminels utilisent des informations d'identification volées pour effectuer des achats ou créer de faux comptes. Les rétrofacturations nuisent à la réputation du commerçant auprès des processeurs de cartes de crédit et entraînent des pénalités de rétrofacturation.
   
• Augmentation des coûts de main d'œuvre. Les attaques de robots comme le « credential stuffing », qui conduisent à l'ATO, nécessitent une enquête de la part des analystes de la fraude, ce qui leur prend du temps pour leurs enquêtes plus critiques et approfondies. Même lorsque les robots de bourrage d'identifiants ne parviennent pas à prendre le contrôle d'un compte, ils bloquent souvent les comptes en essayant plusieurs mots de passe en succession rapide, obligeant les clients à appeler le support, augmentant ainsi les coûts de support à chaque appel.
   
• Déformer les valorisations des investisseurs. Lorsque la valorisation d’une société cotée en bourse dépend du nombre d’abonnés, d’utilisateurs ou d’engagements, la présence de comptes de robots non humains peut considérablement fausser les évaluations précises. Par exemple, les tentatives récentes visant à parvenir à une évaluation précise de Twitter, basée sur le nombre de comptes gérés par des humains par rapport aux robots, ont dominé l’actualité en 2022. 
   
• Confondre les robots avec les humains et vice versa, avec des solutions d’atténuation des robots peu fiables.  De mauvais efforts d’atténuation des robots produiront ces erreurs, mais elles doivent être limitées et évitées. Les faux positifs (lorsqu'un outil de gestion de robots accuse un véritable humain d'être un robot) et les faux négatifs (lorsque l'outil marque un robot comme humain) ont tous deux un impact sur les résultats financiers et les chiffres d'affaires. L’une vous fera perdre des clients et l’autre vous causera des pertes économiques à cause de la fraude. En fait, un faux positif qui empêche un client stratégique d’effectuer un transfert d’argent peut être plus dommageable pour une banque qu’un faux négatif qui entraîne une fraude ou des rétrofacturations. Les deux situations nécessiteront également le temps et le travail d’un analyste des fraudes pour enquêter.
   
• Ne pas protéger les données des consommateurs. La législation et les normes telles que le règlement général sur la protection des données (RGPD) dans l'UE, la loi californienne sur la protection des consommateurs (CCPA) et la norme de sécurité des données de l'industrie des cartes de paiement (PCI-DSS) sont conçues pour garantir la confidentialité des données des consommateurs et imposer de lourdes sanctions pécuniaires en cas de violation de données. Il s’agit notamment d’attaques ATO et de scraping de contenu qui exposent des données privées à des robots. Les violations de données résultant du non-respect de ces réglementations peuvent être très coûteuses : en vertu du RGPD, les autorités de protection des données de l'UE peuvent imposer des amendes pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires mondial de l'exercice précédent. 

Les attaques de robots n’ont pas seulement un impact sur les revenus. Ils rendent également les entreprises plus coûteuses à exploiter en :

• Cela entrave les performances et la disponibilité des applications, avec un risque potentiel d’augmentation des coûts d’infrastructure. Les attaques de bot scraping, en raison de leur volume, peuvent compromettre les performances des applications et des plateformes et, si elles ne sont pas contrôlées, peuvent nécessiter un surinvestissement dans la capacité de l'infrastructure et entraîner des frais d'utilisation du cloud supplémentaires pour maintenir les niveaux de performances requis.
   
• Réduire la disponibilité des applications et la résilience de l'entreprise. Les applications Web surchargées par l’activité des robots ne sont pas disponibles pour répondre aux demandes des clients en temps réel et aux activités de commerce électronique, ce qui entraîne une perte de revenus, une atteinte à la réputation, une perte de clientèle et une perturbation de l’expérience utilisateur.
   
• Relations préjudiciables avec des partenaires de l’écosystème tiers. Les plateformes et les applications surchargées de trafic de robots indésirables peuvent amener les partenaires de l'économie des API à manquer des SLA, violant ainsi leurs engagements contractuels.
   
• Fausser les décisions commerciales. L'activité des robots peut fausser des statistiques de sites Web, des données de journaux et des mesures d'interaction avec les clients qui sont précieuses et sur lesquelles les entreprises s'appuient pour guider leurs décisions commerciales, telles que la tarification et l'optimisation du référencement payant et organique.
   
• Manipulation de la gestion des stocks. Les robots automatisés peuvent acheter des biens ou des services en ligne en gros dès qu'ils sont mis en vente, permettant aux criminels de prendre le contrôle en masse d'inventaires précieux, qui sont généralement revendus sur les marchés secondaires avec une marge importante, ce qui entraîne une pénurie artificielle, un déni d'inventaire et la frustration des consommateurs.
   
• Augmentation des coûts de support client. Les robots automatisés peuvent augmenter la pression sur les équipes de support client lorsque les attaques réussissent, générant davantage d'appels et de communications pour gérer les prises de contrôle de compte, les fraudes aux cartes-cadeaux ou aux points de fidélité et d'autres plaintes des clients concernant des comptes compromis. L’utilisation d’outils CAPTCHA et d’authentification multifacteur (MFA) pour se protéger contre la fraude peut également avoir pour conséquence involontaire d’augmenter les frictions des utilisateurs et les appels au support client, car ces processus peuvent être difficiles à réaliser correctement et peuvent entraîner le verrouillage du compte pour les clients légitimes. Cela peut augmenter les coûts opérationnels dans les centres de support client, entraîner la perte de clients et nuire à la réputation de la marque en raison des Net Promoter Scores (NPS) et des mauvaises critiques et notes sur les plateformes de médias sociaux.
   
• Augmentation du coût des heures-personnes consacrées à l’atténuation des attaques de robots. Faire face aux attaques de robots malveillants via des pare-feu d'applications Web (WAF) et bloquer manuellement les adresses IP prend beaucoup de temps et nécessite un nombre croissant de personnel formé pour être exécuté. Les WAF de base n’apprennent pas en temps réel ; ils s’appuient sur des règles prédéfinies pour détecter les robots malveillants, et pour maintenir les WAF à jour, il faut généralement appliquer des correctifs et définir des règles de manière incrémentielle. La seule façon de faire évoluer les défenses à l’aide de ces processus manuels est d’augmenter le nombre de personnel informatique et de sécurité dédié.

Les impacts qualitatifs peuvent être plus difficiles à mesurer que les indicateurs quantitatifs, mais cela ne signifie pas qu’ils sont moins importants pour les organisations. Les attaques automatisées de robots peuvent également contribuer directement à ces facteurs de valeur subjectifs via :

• Impacter l'expérience des employés. L’expertise en matière de sécurité informatique est rare et de nombreuses organisations sont confrontées à une pénurie de personnel en cybersécurité, alors même que les attaques de robots automatisés sont de plus en plus nombreuses et sophistiquées. Malgré tous leurs efforts, de nombreuses équipes SOC et de lutte contre la fraude ne parviennent pas à faire face à la capacité des cybercriminels à adapter et à réorganiser immédiatement les attaques de robots plusieurs fois par semaine. Sans solutions de défense contre les robots plus intelligentes et plus perfectionnées sur le plan technique, il est difficile de conserver les professionnels de la sécurité talentueux au sein de leur personnel, en particulier lorsqu’ils se sentent épuisés et dépassés. 

Expliquer comment les attaques de robots peuvent avoir un impact sur les opérations et les mesures liées à des rôles et fonctions spécifiques au sein d’une organisation est un moyen important de présenter la valeur d’une gestion réussie des robots.

Le RSSI se soucie de la sécurité des informations, du contrôle des coûts et de s'assurer que l'informatique permet la mission de l'entreprise ; les robots ont un impact sur chacune de ces préoccupations.

Les robots compromettent chaque aspect de la triade de sécurité de l’information : confidentialité, intégrité et disponibilité. Un robot de vol d'informations d'identification qui prend le contrôle d'un compte expose des données qui doivent rester confidentielles. De même, ces robots permettent aux attaquants de modifier les données et d’effectuer des transactions, violant ainsi l’intégrité. Les robots de scraping faussent les données, tout comme les robots de création de faux comptes, violant ainsi l'intégrité des indicateurs commerciaux clés. Enfin, les robots de scraping et de scalping peuvent exercer une telle charge sur l’infrastructure d’un site qu’elle le rend indisponible.

Les robots ont un impact sur les coûts de plusieurs manières :

• Les robots de bourrage d'identifiants augmentent les coûts de support en raison des blocages de compte et augmentent la responsabilité financière lorsque les criminels vident les soldes des comptes.
   
• Les robots de carding augmentent les frais de rétrofacturation et peuvent déclencher des amendes.
   
• Les robots de scraping et de scalping augmentent la charge de trafic et les coûts d'infrastructure.
   
• La lutte contre les robots avec des outils inefficaces comme un WAF entraîne des coûts SecOps élevés.

Les robots inquiètent également les RSSI dans la mesure où ils font obstacle à la capacité de l'informatique à fonctionner correctement. Une gestion inefficace des robots, comme le CAPTCHA et le recours excessif à l’authentification multifacteur, créent des frictions qui nuisent à l’expérience client et réduisent les revenus. Les robots faussent les indicateurs commerciaux à un tel point qu’il devient difficile d’évaluer la stratégie commerciale. Comment mettre en œuvre une stratégie d’entreprise lorsque vous ne savez même pas avec qui vous interagissez ?

L'équipe SecOps est chargée de gérer efficacement les risques de cybersécurité pour l'entreprise, et les robots font obstacle à cette mission. Comme le RSSI, le SecOps sera concerné par la confidentialité, l’intégrité et la disponibilité, qui sont toutes impactées par les robots. Outre ces préoccupations communes, lorsqu’il s’agit de répondre efficacement aux risques de sécurité, les robots posent le défi de créer beaucoup de bruit qui noie le signal, cachant les menaces dans une mer de trafic malveillant.

Lorsque les robots représentent la majeure partie du trafic vers un site, il est plus difficile d’analyser les journaux à la recherche de signes d’analyse de vulnérabilité et d’attaques par injection. Les outils de sécurité tels que les SIEM et les systèmes de détection et de prévention des intrusions seront débordés, ce qui augmentera les coûts et entraînera beaucoup trop de faux positifs à enquêter. Lorsque trop peu de choses sont normales, il devient difficile de détecter les anomalies.

Une gestion réussie des robots élimine le bruit et permet à SecOps de se concentrer efficacement sur les menaces restantes.

Tout comme SecOps, les robots impactent les équipes chargées des opérations de lutte contre la fraude en augmentant considérablement le bruit. Avec autant de robots qui prennent le contrôle des comptes, bloquent les comptes, créent de faux comptes et déclenchent des alertes d'anomalies, la charge de travail devient impraticable.

Lorsque les équipes de lutte contre la fraude et de sécurité travaillent ensemble pour gérer les robots, chaque équipe gagne. Les équipes de sécurité peuvent se concentrer sur un ensemble beaucoup plus restreint d'incidents de sécurité, et le niveau de fraude est réduit, de sorte que les équipes de fraude peuvent se concentrer sur des cas de fraude plus complexes qui nécessitent leur jugement d'expert pour être résolus, réduisant ainsi la charge de travail et améliorant les indicateurs de réussite. Du point de vue de la fraude, les robots sont un prélude, un moyen par lequel les fraudeurs accèdent au système, et l’arrêt des robots en amont réduit la charge de travail en aval.

Les équipes NetOps sont responsables de la gestion de l’infrastructure qui sert l’entreprise, du maintien de la disponibilité et des performances tout en contrôlant les coûts.

Dans certains cas, les robots de scraping sur les applications de commerce électronique représentent plus de 90 % du trafic, ce qui signifie que la majeure partie de l'infrastructure sert les robots, gaspillant ainsi la majeure partie du budget de l'infrastructure, une mesure qui peut être rendue très claire dans une facture de services cloud.

Ces robots ne se soucient pas des performances ou de la disponibilité d’un site et peuvent augmenter le trafic à tout moment sans avertissement, ce qui entraîne une imprévisibilité et des coûts plus élevés pour garantir l’évolutivité nécessaire.

Dans une culture DevOps, DevSecOps assume la responsabilité d'intégrer la sécurité dans le pipeline d'intégration continue/développement continu (CI/CD), garantissant un retour rapide aux développeurs sur les bogues de sécurité et améliorant en permanence l'intégration de la sécurité dans le flux de valeur technologique.

DevSecOps déplace la sécurité vers la gauche, en s'assurant que toutes les lacunes sont planifiées plus tôt dans le flux de travail. Les robots sont pertinents ici car les nouvelles fonctionnalités doivent être évaluées pour savoir comment les robots pourraient exploiter la fonctionnalité, quels dommages pourraient être causés et quelles mesures doivent être prises lors du déploiement pour éviter ces dommages.

Les équipes DevSecOps sont particulièrement concernées par la télémétrie. Selon le manuel DevOps¹ La télémétrie est essentielle pour prédire, diagnostiquer et résoudre les problèmes dans les systèmes complexes. Pour que DevOps réussisse, la télémétrie doit couvrir plusieurs couches, notamment les mesures commerciales, l'utilisation des fonctionnalités, les performances du réseau et la charge de l'infrastructure, afin qu'un problème dans une couche puisse être tracé sur l'ensemble de la pile pour une identification rapide des causes profondes.

Les robots déforment considérablement la télémétrie. De nombreux clients de F5 Distributed Cloud Bot Defense ont découvert que la plupart de leurs comptes utilisateurs étaient faux et que les bots représentaient plus de 95 % du trafic de connexion. Dans certains cas, la majeure partie de l’infrastructure d’une organisation ne faisait rien de plus que servir des robots de scraping. DevSecOps doit supprimer cette distorsion de la télémétrie s’il veut remplir sa mission de sécurité.

Tout dépend de qui possède les chiffres. Le vice-président du commerce électronique est-il responsable du coût de la fraude, de l’infrastructure et des rétrofacturations ? Ces frais réduisent-ils considérablement les bénéfices des entreprises en ligne ? Les taux de conversion et les revenus sont-ils affectés par des problèmes de sécurité tels que CAPTCHA ? Si oui, alors ce vice-président se souciera beaucoup de la manière dont la gestion des robots peut améliorer à la fois les revenus bruts et les bénéfices nets.

Il en va de même pour les dirigeants de toutes les gammes de produits ou de services vendus en ligne via des applications Web ou mobiles. Chercher à maximiser le profit implique nécessairement de s'attaquer à la plus grande source de trafic vers vos applications.

Les spécialistes du marketing ont leurs propres raisons de s’intéresser aux robots. Les robots qui ralentissent le site, le font tomber en panne et prennent le contrôle des comptes clients ternissent tous la marque. Les robots faussent les analyses de sites Web sur lesquelles les spécialistes du marketing s'appuient pour prendre des décisions. Et la fraude au clic, alimentée par des robots, épuise les budgets publicitaires sans produire de revenus.