Estelle Naudin est Director « Service & Security Solutions » chez Mastercard.

Je suis en charge du Business Development des services et des solutions de sécurité Mastercard en France. Je mets en place une vision stratégique pour positionner les solutions de cybersécurité, de détection de fraude et de lutte contre les crimes financiers Mastercard sur le marché Français.

Quel est ton parcours universitaire ?

J’ai suivi un parcours d’ingénieur généraliste à l’EPF, où j’ai intégré une prépa intégrée. J’ai choisi la spécialité anglophone EIE (Environmental and Innovative Engineering) et j’ai obtenu mon diplôme en 2011.

Après mes études, j’ai débuté ma carrière avec un VIE chez Altran à Bruxelles, ce qui a marqué mon entrée dans le domaine du conseil. Cette première expérience m’a permis de découvrir le conseil et de me former rapidement à différentes méthodologies de travail dans des environnements très diversifiés.

J’ai commencé par des missions techniques en lien avec ma spécialité, notamment dans le domaine de l’énergie. Progressivement, je me suis orientée vers l’IT, en gérant des environnements de production et de test, notamment lors d’une migration de core banking. J’ai également pris en charge des projets de migration de datacenter en tant que chef de projet technique et PMO. Mon objectif était d’évoluer constamment dans mes missions, en acquérant rapidement de nouveaux rôles et responsabilités.

Le conseil m’a offert l’opportunité de développer une grande adaptabilité et une capacité à monter rapidement en compétence sur de nouveaux sujets. Cette expérience m’a donné la confiance nécessaire pour rejoindre Mastercard en interne fin 2022, une société renommée dans le domaine du paiement, un domaine complexe dans lequel j’étais totalement néophyte.

Sur le site internet, on peut lire « La sécurité est au cœur de l’histoire de Mastercard », comment cette priorité se décline au sein de l’entreprise (stratégie, organisation, etc.) ?

Chez Mastercard, la sécurité, et plus précisément la sécurité by design, est véritablement inscrite dans notre ADN en tant que réseau de paiement. Nous protégeons les milliards de transactions que nous traitons chaque année. Notre réseau est connecté à plus de 23 000 institutions financières dans le monde, et en 2023, nous avons sécurisé 143 milliards de transactions.

Nous adoptons une approche proactive en matière de sécurité et d’innovation. Depuis plus de 10 ans, nous intégrons des technologies d’intelligence artificielle et de machine learning pour lutter contre la fraude. Ces technologies nous permettent d’analyser en continu l’ensemble de l’activité sur notre réseau afin de détecter les cybermenaces et la criminalité financière, protégeant ainsi les paiements et les interactions numériques en temps réel. Grâce à nos solutions de sécurité, nous avons évité près de 35 milliards d’euros de fraude au cours des trois dernières années.

Nous disposons d’équipes dédiées à la sécurité et à la lutte contre la fraude, qui collaborent étroitement avec nos partenaires, qu’il s’agisse d’institutions financières ou d’entreprises de e-commerce, pour renforcer la sécurité de tout l’écosystème et permettre aux porteurs de cartes Mastercard de bénéficier d’expériences de paiement fluides en toute confiance. En 2024, par exemple, nous avons sécurisé environ quatre milliards de transactions par mois grâce à la tokenisation, soit 40 fois plus qu’il y a six ans.

Au-delà de notre propre réseau, Mastercard travaille également à développer des solutions pour sécuriser les appareils, les données, l’identité et les infrastructures IT, réduisant ainsi considérablement le risque de fraude.

En résumé, chez Mastercard, la sécurité n’est pas seulement une priorité, c’est une partie intégrante de notre stratégie et de notre organisation, soutenue par une innovation continue et une collaboration forte avec nos partenaires.

Mastercard a récemment participé au « Campus Cyber » (projet impulsé en 2019 par le président de République), évènement qui rassemble les principaux acteurs nationaux et internationaux du domaine de la cybersécurité. Quelle sont les tendances (nouvelles formes de fraude par exemple) qui sont partagés dans ce type d’évènement ?

Plusieurs tendances émergentes se dégagent dans le domaine de la cybersécurité. Tout d’abord, on observe une sophistication croissante des attaques. Les cybercriminels utilisent de plus en plus l’intelligence artificielle pour automatiser et adapter leurs techniques de fraude, ce qui se traduit par des attaques massives plus ciblées et surtout évolutives, capables de contourner les systèmes de détection traditionnels et de vigilance.

Les TPE/PME sont d’ailleurs les premières victimes de ces cyberattaques avec un risque de faillite de 60 % suite à une cyberattaque réussie. Elles constituent le tissu économique français et, plus globalement, celui de l’Europe. Elles sont les premières impactées en raison de leurs difficultés à se protéger par manque de connaissances et d’outils adaptés à leurs tailles et ressources.

Par ailleurs, l’interconnexion des systèmes expose de nouvelles vulnérabilités. L’augmentation de l’Internet des objets (IoT) et la digitalisation accrue des infrastructures critiques ouvrent de nouvelles portes aux attaques. Les surfaces d’attaque et les réseaux interconnectés nécessitent ainsi une vigilance constante et des stratégies de défense adaptées. C’est dans ce contexte que Mastercard a massivement investi dans le développement d’une offre de cybersécurité pour proposer, entre autres, des solutions proactives de scan de surface d’attaque (RiskRecon) et de compréhension des menaces identifiées sur le Darkweb par l’acquisition très récente de la solution Recorded Future.

Ensuite, avec l’essor des paiements en ligne et mobiles, les fraudes liées aux canaux digitaux, comme le phishing, l’usurpation d’identité et d’autres techniques d’ingénierie sociale, sont en forte augmentation. Bien que la tokenisation soit efficace, car elle permet de protéger du vol de la donnée de la carte, ces nouvelles méthodes visent à contourner cette sécurisation en manipulant directement la victime. C’est d’ailleurs pour cela que Mastercard travaille en étroite collaboration avec cybermalveillance.gouv.fr, la Banque de France et nos partenaires bancaires pour sensibiliser de façon collective le grand public aux grandes cyber-arnaques usant de la manipulation, en développant la campagne « FraudeFightClub » disponible notamment sur Instagram.

Une nouvelle tendance émerge également : l’arnaque au virement. Les fraudeurs ont compris que la réglementation Européenne DSP2 a permis de sécuriser fortement le réseau de paiement par carte grâce notamment à l’authentification forte, et ils se tournent vers les virements instantanés en usant des mêmes techniques de manipulation. Entre 2018 et 2023, le montant de la fraude au virement a triplé en France, passant à 313 millions d’euros en 2023. C’est la raison pour laquelle Mastercard a développé un nouveau modèle de détection des arnaques au virement, basé sur le machine Learning, pour identifier les schémas d’arnaques et permettre aux banques d’identifier une fraude avant que le virement ne soit opéré.

Le point positif est que cet événement souligne la nécessité d’une collaboration renforcée entre acteurs publics et privés. Le partage d’informations, l’élaboration de normes communes, comme les réglementations DSP3, DORA ou NIS2, sont essentiels pour faire front commun et anticiper et contrer ces menaces de manière proactive.

La lutte contre la fraude est un double défi : toujours avoir une longueur d’avance sur les fraudeurs et s’informer sur les exigences réglementaires en perpétuelle évolution. Comment se concrétise ce juste équilibre dans le cadre de ton poste ?

La lutte contre la fraude et la cybermenace de façon plus globale est effectivement un double défi qui nécessite à la fois d’anticiper les actions des fraudeurs et de se tenir informé des exigences réglementaires en constante évolution. Dans le cadre de mon poste chez Mastercard, je m’assure de bien connaître les principales réglementations telles que la DSP2 et son extension PSD3, ainsi que les réglementations DORA et NIS2 ou encore la norme ISO27001.

La DSP2 (Directive sur les Services de Paiement 2) et sa version harmonisée, la PSD3, sont essentielles pour renforcer la sécurité des paiements en ligne et protéger les consommateurs contre la fraude, mais également pour faciliter la collaboration entre les institutions financières.

La réglementation DORA (Digital Operational Resilience Act) vise à garantir la résilience opérationnelle des services financiers face aux cybermenaces, tandis que la NIS2 (Directive sur la Sécurité des Réseaux et de l’Information) se concentre sur la sécurité des infrastructures critiques et, par la même occasion, sécurise les données utilisateurs qui sont massivement utilisées dans l’hameçonnage.

Il est crucial de bien connaître ces réglementations pour pouvoir accompagner efficacement nos partenaires, qu’il s’agisse d’institutions financières, de marchands et, de façon plus large, de tout organisme privé ou public. En comprenant les exigences et les bonnes pratiques, je les accompagne pour se mettre en conformité et sécuriser leur écosystème grâce à nos solutions Mastercard. Cela permet de renforcer la résilience de l’écosystème des paiements et au-delà, en minimisant les risques de fraude et en garantissant la continuité des services.

Au-delà de la sécurisation, il faut également assurer une expérience utilisateur fluide et sans friction. La maîtrise de la réglementation permet d’identifier les outils et leviers permettant d’améliorer cette expérience client, et c’est sur ces points également que j’accompagne nos partenaires.

En termes d’innovation, l’IA est le sujet d’actualité. Peux-tu nous donner des exemples de services de Mastercard qui utilisent cette innovation technologique ? et comment interviens-tu dans la chaine de valeur ?

L’intelligence artificielle est effectivement au cœur de nombreuses innovations chez Mastercard depuis plus de 10 ans. Historiquement, nous avons intégré l’IA dans plusieurs de nos services de détection de fraude mais aussi de cybersécurité.

Par exemple, notre solution Decision Intelligence (DI) utilise l’IA pour évaluer en toute sécurité en temps réel, 143 milliards de transactions par an. Cette technologie permet de prédire si une transaction est authentique ou non en se basant sur toutes les données passées et actuelles de notre réseau, améliorant ainsi la détection des fraudes de manière significative en permettant aux institutions financières d’approuver selon les règles mises en place dans leurs systèmes. Une nouvelle version va prochainement intégrer de l’IA générative afin d’augmenter encore le taux de détection des menaces.

Comme mentionné plus haut, nous développons un modèle IA collaboratif de place, c’est-à-dire qui connecte les banques d’un pays, pour identifier les arnaques aux virements. Ce modèle d’IA, déployé au Royaume-Uni, a démontré des performances exceptionnelles, et selon la banque TSB, il permettrait aux banques du pays d’éviter plus de 100 millions £ de fraude.

Dans le domaine de la cybersécurité, et plus particulièrement dans l’analyse des menaces et des données du darkweb, nous avons des systèmes d’IA qui analysent et trient les données pour produire des rapports de risque prédictifs, permettant ainsi à nos partenaires de se protéger de façon proactive et non plus seulement en réaction à des attaques.

Mon rôle est central au niveau du marché français. Je travaille en étroite collaboration avec les équipes produit au niveau global et nos partenaires au niveau national. La connaissance du marché, des réglementations et de l’écosystème est primordiale pour comprendre les défis auxquels nos partenaires font face afin d’y répondre avec pertinence et proposer des solutions adaptées. Je suis là pour les accompagner, que ce soit dans l’identification de leurs problématiques sur les sujets de sécurité ou la compréhension de nos outils.

Pour finir, quelle sont les qualités requises pour un consultant amené à intervenir dans ton domaine d’activité ?

Il est essentiel d’adopter une approche flexible face aux différents sujets. Le monde du paiement évolue à une vitesse fulgurante, se transformant constamment avec l’émergence des cryptomonnaies, de l’open banking, des paiements mobiles, de la cybersécurité ou des nouvelles réglementations. Cet écosystème est complexe et diversifié, impliquant de nombreux acteurs, chacun jouant un rôle précis dans le cycle de vie de la transaction. Cependant, c’est cette évolution rapide qui rend le domaine si passionnant.

Pour réussir dans cet environnement, il faut avoir une soif d’apprendre quotidienne et ne jamais s’enfermer dans des idées préconçues. La curiosité, l’attention aux détails et l’appétit pour des sujets techniques variés sont indispensables. Il est crucial de rester informé des dernières tendances et innovations, tout en étant capable de s’adapter rapidement aux changements.

En outre, la collaboration avec différents partenaires et la compréhension des défis spécifiques auxquels ils sont confrontés permettent de proposer des solutions pertinentes et adaptées. Cette capacité à naviguer dans un paysage en constante mutation, tout en maintenant une vision claire et stratégique, est ce qui fait la richesse et l’intérêt de travailler dans le secteur des paiements