Synthetic Tabular Generators Fail to Preserve Behavioral Fraud Patterns: A Benchmark on Temporal, Velocity, and Multi-Account Signals

Cet article démontre que les générateurs de données tabulaires synthétiques actuels échouent à préserver les motifs comportementaux de fraude essentiels (temporels, séquentiels et structurels), car leur indépendance de ligne les rend structurellement incapables de reproduire les signatures dynamiques réelles, ce qui justifie l'introduction d'une nouvelle métrique de « fidélité comportementale » pour évaluer ces modèles.

L'essentiel

🕵️‍♂️ Le Problème : Le Faux-Nez du Fraudeur

Imaginez que vous êtes un détective qui cherche à attraper des voleurs de cartes de crédit. Pour les repérer, vous ne regardez pas seulement combien d'argent ils volent (le montant), mais surtout comment ils agissent.

• Un voleur essaie souvent 5 petites transactions en 10 secondes (une "explosion" d'activité).
• Il utilise le même téléphone ou la même adresse IP que 10 autres comptes suspects (un "groupe" de complices).
• Il change de comportement très vite.

Ces comportements sont comme l'ADN du voleur.

Le problème, c'est que les banques ne peuvent pas partager leurs vraies données de fraude (trop de secrets !). Alors, elles utilisent des générateurs d'IA pour créer de fausses données qui ressemblent aux vraies, afin d'entraîner leurs détecteurs.

L'hypothèse de départ : "Si l'IA crée de fausses données qui ressemblent statistiquement aux vraies (mêmes montants, mêmes dates), alors nos détecteurs seront aussi bons."

La découverte de l'auteur (Bhavana Sajja) : C'est faux. L'IA actuelle est très bonne pour copier les chiffres, mais elle est totalement nulle pour copier le comportement et la psychologie du voleur.

---

🧪 L'Expérience : Le Test des 4 Comportements

L'auteur a créé un nouveau test, comme un examen de conduite pour les IA, basé sur 4 comportements clés (qu'on appelle P1 à P4) :

1. Le Timing (P1) : Les voleurs frappent vite et fort. L'IA doit reproduire ces "rafales" de transactions.
2. L'Explosion (P2) : Les voleurs agissent par vagues courtes et intenses, puis disparaissent.
3. Le Réseau (P3) : Les voleurs partagent des outils (téléphones, adresses IP). Dans la vraie vie, un téléphone est utilisé par 50 voleurs. Dans les fausses données, chaque voleur a son propre téléphone unique.
4. Les Règles de Vitesse (P4) : Les systèmes de sécurité ont des alarmes (ex: "Si plus de 3 achats en 1 heure, alerte !"). L'IA doit déclencher ces alarmes au bon rythme.

📉 Les Résultats : Un Échec Catastrophique

L'auteur a testé 4 IA populaires (CTGAN, TVAE, GaussianCopula, TabularARGN) sur des données réelles de fraude.

L'analogie du "Mannequin de Vitrine" :
Imaginez que vous essayez d'entraîner un garde du corps à repérer un voleur.

• Les anciennes méthodes (statistiques) donnaient au garde un mannequin en plastique parfait : il a la même taille, le même poids et les mêmes vêtements que le voleur.
• Le problème : Le mannequin ne bouge pas. Il ne court pas, il ne transpire pas, il ne regarde pas furtivement autour de lui.

Ce que l'étude a trouvé :

• Les IA classiques (CTGAN, TVAE, etc.) : Elles ont réussi à copier la taille et le poids du mannequin (les chiffres sont bons). Mais quand il s'agit de comportement, elles ont échoué lamentablement.

  • Elles ont créé des voleurs qui agissent comme des robots lents, sans jamais faire de "rafale" rapide.
  • Elles ont créé des réseaux où chaque voleur est seul, alors que dans la réalité, ils sont en bande.
  • Le score d'échec : Les IA sont 24 à 100 fois pires que la réalité pour reproduire ces comportements. C'est comme si vous essayiez de prédire la météo avec un calendrier de 1990.

• L'IA "Autoregressive" (TabularARGN) : C'était la seule qui a fait un peu mieux (17 fois moins bien que la réalité, au lieu de 100).

  • Pourquoi ? Elle a une petite mémoire : quand elle crée une ligne de données, elle regarde la ligne précédente. C'est un peu mieux qu'un aveugle qui tire au hasard, mais elle reste incapable de voir le "groupe" de voleurs qui agit ensemble.

💡 Pourquoi est-ce si grave ?

Si une banque utilise ces fausses données pour régler ses alarmes :

1. Faux sentiment de sécurité : L'alarme ne sonnera pas assez souvent, car les fausses données ne montrent pas assez de comportements suspects.
2. Perte d'argent : Les vrais voleurs passeront à travers les mailles du filet.
3. Inefficacité : On entraîne des systèmes sur des données qui ne ressemblent à rien de ce qui se passe vraiment dans la rue.

🚧 Le Verdict Théorique : Une Limite de Construction

L'auteur prouve mathématiquement que le problème n'est pas juste un "bug" qu'on peut corriger avec plus de données. C'est un problème de conception.

• L'analogie du Lego : Les IA actuelles construisent chaque brique (chaque transaction) indépendamment, une par une, sans savoir ce qui a été construit avant ou après.
• La réalité : Une fraude est une histoire (une séquence) et un groupe (un réseau).
• Conclusion : Tant que l'IA construit brique par brique sans lien entre elles, elle ne pourra jamais recréer l'histoire d'un voleur ou la structure d'un réseau criminel. C'est comme essayer de dessiner un film en dessinant des photos fixes sans lien entre elles.

🌍 Au-delà de la Banque

Ce problème ne concerne pas que l'argent. Cela s'applique partout où l'on a des séquences d'événements :

• Médecine : Un patient malade a une histoire (fièvre, puis toux, puis visite). Une IA qui crée des dossiers médicaux faux sans respecter cette séquence risque de faire des erreurs de diagnostic.
• Sécurité informatique : Un pirate attaque par vagues. Si l'IA ne reproduit pas ces vagues, elle ne peut pas apprendre à les bloquer.

🏁 En Résumé

Cette étude nous dit : "Arrêtez de faire confiance aux IA actuelles pour simuler le comportement humain complexe."

Elles sont de très bons copieurs de chiffres, mais de très mauvais imitateurs de comportements. Pour vraiment protéger nos données et nos systèmes, nous avons besoin d'une nouvelle génération d'IA capable de comprendre les histoires et les liens entre les gens, pas juste de remplir des tableaux.

Résumé technique

Résumé Technique : Échec des Générateurs de Données Tabulaires Synthétiques à Préserver les Schémas Comportementaux de Fraude

1. Problématique

La détection de fraude financière est intrinsèquement un problème comportemental. Les systèmes de production identifient les fraudes non pas uniquement par la distribution des montants, mais par des signaux dynamiques :

• Bursts temporels : Séries de transactions rapides (ex: 3 transactions en 60 secondes).
• Violations de règles de vélocité : Fréquence anormale d'activité sur une fenêtre glissante.
• Motifs de graphes partagés : Partage d'infrastructures (IP, ID d'appareil) entre plusieurs comptes, formant des "anneaux" de fraude.

Lorsque les données réelles ne peuvent être partagées (RGPD), la génération de données synthétiques est utilisée comme substitut. L'hypothèse centrale est que les générateurs préservent la structure nécessaire à la détection.
Le problème identifié : Les évaluations actuelles se concentrent sur la fidélité statistique (distributions marginales, corrélations) et l'utilité en aval (performance d'un classifieur entraîné sur du synthétique, protocole TSTR). L'article démontre que ces métriques sont insuffisantes : un générateur peut avoir une excellente performance TSTR tout en détruisant complètement les signaux comportementaux (comme la structure de burst ou les motifs de graphes), rendant les modèles de détection calibrés sur ces données inutilisables en production.

2. Méthodologie

L'auteur propose un cadre d'évaluation en trois couches et une nouvelle métrique normalisée.

A. Taxonomie des Schémas de Fraude Comportementale (P1–P4)

Quatre patterns sont formalisés pour mesurer la fidélité comportementale :

1. P1 (Distribution des temps inter-événements - IET) : Mesure la distribution des délais entre les transactions d'une même entité et l'autocorrélation temporelle (la régularité des bursts).
2. P2 (Structure de Burst et Durée de Vie Active) : Évalue la densité des transactions dans des fenêtres de temps courtes et la durée de vie active des entités frauduleuses.
3. P3 (Motifs de Graphes d'Infrastructure Partagée) : Analyse la structure bipartite (Entités ↔ Attributs partagés comme IP/Appareil). Mesure la distribution de la "fan-out" (nombre d'utilisateurs par appareil) et la densité des triangles (anneaux de fraude).
4. P4 (Taux de Déclenchement des Règles de Vélocité) : Mesure la fréquence à laquelle des règles opérationnelles standard (ex: >3 transactions/heure) sont déclenchées dans les données synthétiques par rapport aux réelles.

B. Métrique : Le Ratio de Dégradation (Degradation Ratio - DR)

Pour rendre les métriques hétérogènes comparables, l'auteur définit un Ratio de Dégradation :
$$DR(G, m) = \frac{\text{Métrique}(D_{réel}, D_{synth})}{\text{Métrique}(D_{réel, A}, D_{réel, B})}$$

• Le dénominateur est le "bruit de fond" (noise floor) : l'écart entre deux splits aléatoires 50/50 des données réelles.
• Un score de 1.0 signifie que le générateur est indiscernable d'une variation d'échantillonnage réelle.
• Un score de k signifie que l'erreur est k fois pire que la variabilité naturelle des données réelles.

C. Protocole d'Évaluation en Trois Couches

1. Couche 1 : Fidélité Statistique (Divergence JS, corrélations).
2. Couche 2 : Utilité en Aval (AUROC TSTR).
3. Couche 3 : Fidélité Comportementale (Scores DR pour P1–P4).

D. Expérimentation

• Générateurs testés : CTGAN, TVAE, GaussianCopula (SDV), et TabularARGN (MOSTLY AI).
• Données : IEEE-CIS Fraud Detection (Kaggle 2019) pour P1, P2, P4 ; Amazon Fraud Dataset (2020) pour P3.
• Configuration : Entraînement sur un sous-ensemble de 48 colonnes comportementales pour assurer l'équité.

3. Contributions Clés

1. Taxonomie Formelle : Définition mesurable de quatre patterns de fraude (P1–P4) ancrés dans la littérature de détection de fraude.
2. Cadre d'Évaluation "Fidélité Comportementale" : Introduction du Ratio de Dégradation (DR) pour quantifier l'écart par rapport au bruit de fond réel, comblant le fossé entre les métriques statistiques et la réalité opérationnelle.
3. Preuve Théorique d'Impossibilité :
   • Proposition 1 : Les générateurs indépendants par ligne (row-independent) sont structurellement incapables de reproduire les motifs de graphes P3 (fan-out à queue lourde). Ils génèrent une distribution de fan-out de type Poisson-Binomial, incapable de simuler les anneaux de fraude réels.
   • Proposition 2 : Pour les générateurs indépendants par ligne, l'autocorrélation des temps inter-événements (IET) au sein d'une entité est non-positive (ou nulle) par construction, rendant impossible la reproduction des "empreintes digitales" de burst (où de courts délais suivent d'autres courts délais).
4. Benchmark Empirique et Analyse des Échecs : Identification de modes d'échec spécifiques (effondrement de la classe minoritaire pour TVAE, problèmes d'échelle pour CTGAN) et démonstration que l'architecture auto-régressive (TabularARGN) offre une amélioration partielle pour P3 mais échoue sur les patterns temporels P1/P2/P4.

4. Résultats Principaux

Les résultats montrent un échec catastrophique de tous les générateurs testés sur la fidélité comportementale, malgré des performances statistiques ou TSTR parfois acceptables.

• Performance Globale (IEEE-CIS - P1, P2, P4) :

  • Tous les générateurs obtiennent des ratios de dégradation massifs (de 24,4× à 39,0×).
  • TVAE (avec échantillonnage conditionnel) est le meilleur (24,4×), mais reste 24 fois pire que la variabilité naturelle.
  • CTGAN obtient le deuxième meilleur AUROC TSTR (0,798) mais un score P3 (graphes) de 99,7×, prouvant l'absence de corrélation entre utilité TSTR et fidélité comportementale.
  • GaussianCopula a le pire score global (39,0×) et un échec total sur l'autocorrélation P1 (75,1×).

• Performance sur les Graphes (Amazon FDB - P3) :

  • Les générateurs indépendants (CTGAN, TVAE, GaussianCopula) s'effondrent (81,6× à 99,7×) car ils ne peuvent pas apprendre la co-occurrence d'attributs entre lignes.
  • TabularARGN (architecture auto-régressive) obtient le meilleur score (17,2×) grâce à la conditionnalité intra-ligne, mais ce score reste 17 fois pire que le bruit de fond. Cela prouve que même l'architecture la plus avancée testée ne peut pas modéliser les relations inter-entités sans mécanisme explicite.

• Modes d'Échec Spécifiques :

  • TVAE : Effondrement de la classe minoritaire (taux de fraude passe de 3,5% à 0,03% sans échantillonnage conditionnel).
  • CTGAN : Échec d'échelle (OOM) sur les données réelles à haute dimension dû au codage one-hot des colonnes Vesta.
  • TabularARGN : L'amélioration sur P3 nécessite la désactivation de la protection des valeurs et l'inclusion de toutes les colonnes, ce qui n'est pas documenté par défaut.

5. Signification et Implications

• Inadéquation des Données Synthétiques Actuelles : Les données générées par les outils standards (CTGAN, TVAE, etc.) ne doivent pas être utilisées comme substituts directs aux données réelles pour la calibration des règles de vélocité, la détection d'anneaux de fraude ou l'entraînement de modèles séquentiels. L'utilisation de ces données entraînerait des modèles mal calibrés et une augmentation des faux négatifs.
• Limites des Métriques Existantes : Le score AUROC (TSTR) est un indicateur trompeur pour la fraude. Il peut masquer une destruction totale des signaux comportementaux critiques.
• Nécessité d'Innovation Architecturale : Pour préserver la fidélité comportementale, il faut dépasser le paradigme de génération ligne par ligne.
  • Pour P1/P2 : Génération séquentielle consciente de l'entité (modèles de séquences).
  • Pour P3 : Modélisation explicite des relations inter-entités (graphes génératifs).
• Généralisabilité : Ces échecs s'appliquent à tout domaine utilisant des données tabulaires séquentielles par entité (santé, e-commerce, sécurité réseau), pas seulement à la fraude financière.

Conclusion : L'article établit que la fidélité comportementale est une dimension d'évaluation distincte et critique. Les générateurs actuels, bien que statistiquement convaincants, échouent à reproduire la dynamique temporelle et structurelle essentielle à la détection de la fraude, nécessitant une validation rigoureuse via le cadre proposé avant tout déploiement en production.