Ressources · Knowledge Hub
Comment on détecte la fraude.
Les signaux. Les attributs. Le pipeline.
Une ressource éducative pour comprendre comment fonctionne la détection de fraude moderne — des données brutes à la décision, en passant par les signaux calculés et les modèles ML.
PRINCIPE FONDAMENTAL
La donnée brute ne détecte pas la fraude.
Les signaux calculés, oui.
Un montant élevé n'est pas suspect en soi. Mais ce même montant, transféré à 23h vers un nouveau bénéficiaire depuis un device inconnu, 4 minutes après la connexion — c'est un signal critique.
Données brutes ingéréesXML / API
Signaux calculés (features)200+ attributs
Scénarios & modèles ML50+ règles · 8 ML
Décision finale<5ms
Étape 01
Données ingérées — ce que RisQ reçoit
Données transaction (par défaut)
MontantIBAN émetteurIBAN bénéficiaireDate / HeureLibelléType de paiementCanal
Données avancées (enrichissement)
Device IDAdresse IPSession IDGéolocalisationFingerprint deviceComportement navigation
Étape 02
Signaux calculés — les attributs construits par RisQ
Ce que les données brutes ne montrent pas directement — ce sont les signaux calculés qui détectent la fraude.
Vélocité & compteurs glissants
Nombre de transactions sur 1h/6h/24h/7j. Dépassement de patterns habituels. Émissions, réceptions, bénéficiaires distincts.
Ex : 8 virements en 2h alors que la moyenne est 1/semaine → signal ATO
Comportement montant
Ratio montant / moyenne historique. Percentile P95/P99. Cumul sur 24h. Détection vidage compte.
Ex : montant = 12× la moyenne historique du client → signal critique
Temporalité & habitudes horaires
Écart vs habitudes horaires. Dormance → transactions hors pattern. Timing post-connexion court.
Ex : virement à 23h pour un client habituellement actif de 9h à 18h
Réseau & graphe de bénéficiaires
Nouveau bénéficiaire. In/Out degree du compte. Ratio sortie/entrée → topologie mule ou pivot.
Ex : compte reçoit un gros montant et le redistribue vers 6 IBAN en 5h → réseau mule N1
Analyse sémantique du libellé (NLP)
Flags vocabulaire urgence/sécurité. Similarité avec libellés historiques. Libellé générique ou incohérent.
Ex : libellé "sécurisation urgente compte" → signal ingénierie sociale
Contexte device & session
Device connu/inconnu. Géolocalisation cohérente. IP suspect (proxy, VPN). Durée session. Changement device récent.
Ex : connexion depuis deux pays différents à 30 min d'intervalle → impossible
Étape 03
Comment les signaux se combinent en scénarios
Exemple : Scénario ATO — 4 signaux combinés → Score 97/100
Signal 1
Libellé urgence / sécurité
NLP sémantique
Signal 2
Nouveau bénéficiaire dans la session
Réseau bénéficiaires
Signal 3
Montant élevé vs profil
Ratio montant/moyenne
Signal 4
Timing tardif + décision rapide
Temporalité atypique
Règle ATO-007 activée — combinaison de 2+ signaux critiques
Action : BLOQUER avant règlement · Latence <5ms · Alerte analyste générée
97/100
Étape 04
Les 8 algorithmes ML en production
Supervisés — 6 algorithmes
Apprentissage sur cas de fraude connus — nécessite un historique de fraudes labélisées.
Random ForestXGBoostLightGBMGradient Boosting+ 2 autres
SHAP Explainability — décomposition du score par signal sur chaque décision.
Non-supervisés — 2 algorithmes
Détection d'anomalies sans historique de fraude — critiques pour les nouveaux types d'attaque.
Isolation ForestAutoencoderNetwork Graph ML
Détection par anomalie comportementale — sans cas de fraude labélisés préalables.
La détection. Expliquée et démontrée.
Démo sur vos données — signaux, scénarios, scores, décisions.
Sans engagement · 45 min · Équipe technique + produit