Dans l’esprit du mois de sensibilisation à la cybersécurité, célébré chaque année en octobre, nous nous plongeons dans une séance de questions-réponses avec Ryan Hiney-Brasil, Responsable de la cybersécurité. Il nous explique les mesures prises par notre équipe de cybersécurité pour lutter contre l’une des tentatives de fraude les plus répandues dans le secteur des visas : la fraude aux rendez-vous. Il s’agit de rendez-vous réservés et revendus par des intermédiaires à des demandeurs de visa pour réaliser des profits. Cette année, la priorité de l’équipe cybersécurité de TLScontact demeure la sécurité renforcée et la protection de la vie privée des demandeurs de visa.
L’un des sujets principaux et récurrents en matière de cybersécurité dans le secteur des visas est la fraude aux rendez-vous. Pouvez-vous nous expliquer en quoi consiste cette fraude et comment elle se passe réellement ?
La fraude aux rendez-vous est provoquée par la rareté, car il y a un décalage entre la demande et le nombre de rendez-vous autorisés par les services de visas gouvernementaux. Puisque la demande dépasse largement l’offre, il y a une course constante entre les demandeurs de visa Schengen pour réserver les créneaux disponibles sur le site de TLScontact. Les fraudeurs ajoutent davantage de tensions en réservant tous les rendez-vous disponibles. Ils utilisent soit des mécanismes automatisés, soit manuels. Le premier mécanisme met en place des scripts d’automatisation, ou “bots informatiques”, qui sont programmés pour réserver les créneaux de rendez-vous dès qu’ils sont mis en ligne. Le second consiste à embaucher des personnes qui actualisent sans cesse les pages où s’affichent les tables de rendez-vous et qui réservent les créneaux dès qu’ils sont disponibles. Les fraudeurs revendent ensuite ces rendez-vous illégalement pour faire des bénéfices. Cette fraude empêche les vrais demandeurs de trouver des créneaux, ce qui provoque de la frustration, les conduit souvent au désespoir et les rend vulnérables à ces tactiques frauduleuses.
Que fait TLScontact pour contrer la fraude aux rendez-vous ?
TLScontact emploie une approche de défense à plusieurs niveaux, allant des contrôles au niveau de nos systèmes informatiques et des technologies de prévention de la fraude, jusqu’à l’amélioration des processus internes et à la sensibilisation des utilisateurs. Par exemple, nous utilisons des pares-feux d’application Web (WAF, en anglais Web Application Firewall) pour tous nos sites web dédiés à la France dans le monde entier. Ces pares-feux filtrent le trafic en fonction de facteurs tels que l’adresse IP et le pays. Ils aident à protéger les applications Web des attaques en filtrant et en surveillant le trafic entre les applications Web et Internet. Cela aide à identifier les activités suspectes.
Nous limitons également le nombre de sessions utilisateur ou de connexions IP dans un laps de temps défini et nous utilisons la détection automatique de bots informatiques grâce à l’analyse comportementale et à la validation via Google reCAPTCHA. Tout le personnel suit une formation annuelle, car nous croyons que le pare-feu humain est l’élément le plus important de notre stratégie. La formation permet de sensibiliser nos employés sur la façon de repérer une menace cybernétique et sur la manière de signaler le problème.
Comment vous assurez-vous que la personne qui réserve un rendez-vous en ligne est bien le demandeur final qui se rendra dans le centre de visas et que les rendez-vous ne sont pas transférés à une autre personne ?
Notre approche de défense comprend plusieurs points de contrôle :
- Vérification par mot de passe à usage unique (OTP, en anglais One-time Password) : dans les pays considérés à haut risque, nous mettons en place une authentification OTP comme couche de sécurité supplémentaire lors de la réservation d’un rendez-vous en ligne. Nous déployons l’authentification OTP là où cela est nécessaire, garantissant une approche proactive et dynamique en matière de prévention de fraude.
- Vérification en ligne : nous veillons à ce que les informations personnelles, telles que le nom et les détails du passeport, ne puissent pas être modifiées. Ces mesures sont cruciales pour maintenir l’intégrité du processus de réservation, de sorte que les fraudeurs ne puissent pas réserver des rendez-vous et les revendre ensuite à un demandeur en changeant le nom.
- Contrôles au centre de visas : les membres de notre personnel à l’accueil de nos centres de visas vérifient que les informations fournies correspondent bien au passeport et aux documents du demandeur.
De plus, en règle générale, Mickey et Minnie Mouse, Donald Duck et Dingo n’ont généralement pas besoin de visa, donc lorsque nous détectons leur nom sur une demande, ce qui arrive plus souvent que vous ne le pensez, il s’agit généralement d’une tentative de fraude, bien que plutôt comique.
Avez-vous constaté des résultats concrets ?
Absolument ! Nous avons fait fermer cinq sites internet qui se faisaient passer pour TLScontact ou qui participaient à la fraude aux rendez-vous. De plus, 15 % du trafic sur nos sites web a été bloqué car il a été identifié comme venant de bots informatiques automatisés ou comme trafic malveillant. Grâce aux mesures que nous avons mises en place dans certains endroits à risque, le temps pendant lequel un rendez-vous reste disponible sur notre site avant d’être réservé est passé de quelques minutes à plus de 24 heures. Ainsi, les chances pour un utilisateur régulier de réserver un rendez-vous se sont améliorées, malgré la rareté.
Ces problèmes et mesures s’appliquent-ils à tous nos sites dans le monde ?
Non, il existe des variations régionales dans les réglementations sur la protection des données qui nécessitent une responsabilité partagée entre TLScontact et ses clients gouvernementaux. En collaborant à la conception des contrôles contre la fraude, nous nous assurons que nos processus s’alignent parfaitement avec le cadre juridique de chaque pays. Cette approche coopérative garantit non seulement la protection des informations sensibles, mais renforce également l’engagement mutuel en matière de conformité, consolidant ainsi les fondements de notre partenariat.
De plus, l’adaptation des contrôles contre la fraude est également influencée par les nuances culturelles et le contexte économique. Nous créons donc un système robuste qui prévient la fraude et qui respecte les considérations uniques de chaque site.
Pouvez-vous nous en dire plus sur la task force de lutte contre la fraude aux rendez-vous ?
La task force (en français, groupe de travail) de lutte contre la fraude aux rendez-vous est un effort collaboratif au sein de notre organisation. Cela implique diverses parties prenantes internes, notamment les directeurs pays et régions, les équipes locales, les responsables clients, les responsables produits et les agents à l’accueil de nos centres de visas. La task force vise à s’attaquer de manière exhaustive à la fraude aux rendez-vous et à garantir un signalement rapide en cas de problème. L’équipe de cybersécurité doit pouvoir s’appuyer sur les employés qui sont en première ligne et nous comptons sur leur vigilance pour identifier toute menace potentielle. Nous restons à leur disposition pour la formation, les conseils, les préoccupations et bien sûr, en cas d’apparition de toute menace. Nous travaillons étroitement ensemble pour nous assurer qu’il n’y a aucune faille pour les fraudeurs sur l’ensemble du processus.
Avec toutes ces règles et ces barrières, comment trouver le bon équilibre entre la sécurité, la facilité d’utilisation pour les demandeurs et le respect de leur vie privée ?
La collaboration est essentielle. Nous comprenons l’impact que peuvent avoir les mesures de sécurité sur l’expérience des demandeurs. Trouver le bon équilibre entre le contrôle et la commodité est un effort continu qui implique nos collègues, nos partenaires commerciaux et nos parties prenantes. Par exemple, nous discutons régulièrement avec nos équipes produit pour trouver le bon compromis et nous assurer que les contrôles mis en place n’entravent pas l’expérience utilisateur. L’équipe de protection des données veille à ce que nous respections toutes les règles et réglementations relatives à la protection des données et de la vie privée. Les responsables clients et les équipes opérationnelles nous fournissent des retours de nos clients gouvernementaux et des demandeurs, de sorte que nous puissions continuer à améliorer à la fois la sécurité et la facilité d’utilisation. Chaque élément est important pour s’assurer que le parcours utilisateur est aussi sûr et fluide que possible.
Avec tout cela en place, comment les fraudeurs parviennent-ils toujours à opérer ?
Les fraudeurs sont persévérants face aux mesures que nous prenons pour colmater les failles de sécurité. La demande de rendez-vous dépasse largement l’offre, et cela les pousse à trouver de nouvelles façons d’exploiter les vulnérabilités. Cependant, nous continuons à nous adapter et à renforcer nos défenses, visant à être plus proactifs face à l’évolution des menaces.
Nous venons de célébrer le mois de sensibilisation à la cybersécurité. Quels sont les objectifs clés de l’équipe de cybersécurité cette année ?
Notre message principal a toujours été “si vous voyez quelque chose, dites-le”. La cybersécurité est une responsabilité partagée. Nous encourageons tout le monde au sein de notre organisation à signaler toute activité suspecte et à s’assurer que l’information parvienne aux bonnes personnes. L’une de nos principales priorités est de fournir une formation en cybersécurité à tous les employés, en mettant l’accent sur le fait que la sécurité n’est pas la responsabilité d’un seul département.
Face à la complexité de la sécurité en ligne et pour mieux lutter contre la fraude aux rendez-vous, l’équipe de cybersécurité de TLScontact redouble de vigilance. L’approche mise en place, comprenant différentes couches de sécurité, une collaboration constante et un esprit de responsabilité partagée, permet d’assurer la sécurité des demandeurs de visa et de leurs données confidentielles, même face aux menaces cybernétiques persistantes. Notre équipe de spécialistes adapte en permanence sa stratégie face à l’évolution du paysage numérique, pour mieux protéger nos clients gouvernementaux et les demandeurs de visa.