Traces logicielles pour la détection des fraudes dans BL.Enfance

Partager par e-mail

Les comportements frauduleux peuvent être détectés à partir des traces applicatives. Dans ce travail, nous avons utilisé les traces applicatives de BL.Enfanceun de nos logiciels dédiés à la facturation et à la gestion des activités pour enfants. Nous nous sommes spécifiquement attachés à détecter la modification de variables telles que le quotient familial (Q-CAF) et la période de facturation, qui peuvent être modifiés pour changer les montants des factures.

Structure des cas de fraude et des traces de BL.Enfance

Parmi les cas de fraude possibles dans l'application BL.Enfance, "fraude sur le quotient CAF "est le plus simple à mettre en œuvre. Il consiste en l'altération d'un quotient CAF sur une période de facturation déjà réalisée (pour le même payeur). Ce scénario de fraude est généralement réalisé à travers ces trois cas d'utilisation :

  • UC1 : " donner une valeur Q-CAF sur une période donnée ".
  • UC2 : " calcul de la facture sur la même période ".
  • UC3 : " modification de la Q-CAF donnée pour la période calculée précédemment "

Pour détecter l'exécution de chacun de ces trois cas d'utilisation, nous nous sommes appuyés sur quatre événements spécifiques, qui sont les suivants :

  • CREATION_QUOTIENT : La modification d'un quotient CAF
  • SUPPRESSION_QUOTIENT : La suppression d'un quotient CAF
  • FACTURATION_CALCUL_FACTURE_INDIVIDUELLE : Le calcul d'une facture individuelle
  • FACTURATION_SUPPRESSION_FACTURE_INDIVIDUELLE : la suppression d'une facture individuelle
Les traces BL.Enfance sont composées de neuf attributs, comme illustré ici.

La détection des fraudes en tant qu'analyse chronologique

Avant d'entrer dans le prototype de détection des fraudes proposé, les traces doivent d'abord passer par deux phases :

Phase d'extraction des traces : Les événements pour lesquels le champ "action" a l'une des valeurs suivantes :

  • QUOTIENT DE CRÉATION
  • QUOTIENT DE SUPPRESSION
  • FACTURATION_CALCUL_FACTURE_INDIVIDUELLE
  • FACTURATION_SUPPRESSION_FACTURE_INDIVIDUELLE

L'extraction se fait à partir de l'ensemble de données mongoDB.

Phase d'anonymisation : L'anonymisation concerne les champs :

  • Connexion
  • IP
  • ValeurActuelle
  • IdClient

Utilisation d'un SHA 2-256 fonction de hachage (reproductible et non-invertible).

Nous devons également considérer l'utilisateur qui a lancé les actions pour voir si les activités de modification du quotient familial et celles de facturation dans le cas suspect proviennent du même utilisateur ou non et les durées entre les actions pour analyser le délai entre l'altération du quotient familial et la facturation qui doit être court dans un cas suspect.

Un algorithme simple en 5 étapes

Étape 1 : lecture des données anonymisées et construction d'une table de correspondance : payeur => liste ordonnée des événements liés à ce payeur :

Etape 2 : construction des périodes d'activité facturées à partir des événements : FACTURATION_CALCUL_FACTURE_INDIVIDUELLE et FACTURATION_SUPPRESSION_FACTURE_INDIVIDUELLE

Étape 3 : construction des périodes soumises aux quotients Q-CAF avec les événements : QUOTIENT_CRÉATION, QUOTIENT_SUPPRESSION

Étape 4 : Superposition des périodes.

Étape 5 : Détection des contextes suspects en fonction de l'ordre des actions effectuées dans le logiciel (pour un même payeur).

Résultats et statistiques

Nous vous fournissons ci-dessous quelques chiffres rapides sur les résultats de la base de données de production de BL.Enfance.

Résultats obtenus sur les données de production de BLEnfance de
début février au 23/04/2020
  • Nombre total de traces : 35466
  • Nombre de payeurs : 25204
  • Nombre d'activités par payeur : 1,41 activité/ payeur
  • Fréquence d'apparition du payeur : Combien de payeurs ont un nombre d'activités X
Pourcentage de chaque action (données de production)
Nombre d'actions par payeur (données de production)

Conclusion et travaux futurs :

  • Pour conclure, nous pouvons dire que nous devons encore travailler sur un autre type de facturation que BLEnfance propose également, à savoir la " facturation groupée ".
  • Ce type de facturation est celui où l'on trouve le plus de cas de fraude possibles dans la vie réelle.
  • Après cette deuxième étape, nous prévoyons de généraliser le prototype de détection de la fraude en utilisant des techniques d'apprentissage automatique ou peut-être des outils de navigation dans les graphes.
  • Mais jusqu'à cette heure, nous n'avons pas eu accès aux traces avec les étiquettes qui devraient nous permettre de continuer à travailler.

En attendant d'obtenir les traces nécessaires, nous avons étudié d'autres champs "historiques". Dans le formulaire "Données CAF" et "Données comptables supplémentaires", nous avons identifié 8 champs qui peuvent être des candidats pour la variable de détection de la fraude :

Plus ...

Retour haut de page