« Modéliser la norme pour repérer l’anormal »

Alors que l’enjeu ne consiste plus à trouver des sources de données, les professionnels de la sécurité et du renseignement doivent désormais faire émerger les liens entre différents acteurs et créer un système d’alerte qui se déclenche dès qu’un changement intervient dans le comportement d’un individu ou d’un groupe suspect. Interview d’Emmanuel Jacque, Principal – Fraud & Security Intelligence Solutions EMEA & AP chez SAS.

Dans la plupart des secteurs, la rapidité des échanges procurée par Internet, puis les smartphones et désormais l’Internet des objets, a fait augmenter considérablement le volume des communications. Conséquence, les sources de données sont de plus en plus diverses et volumineuses. Les entreprises utilisent des technologies toujours plus sophistiquées qui font appel à des données, mais qui en génèrent également. Par exemple, lorsque vous consultez un flux média, vous êtes profilé, ce qui permettra ultérieurement de vous proposer de nouveaux contenus, qui à leur tour généreront de nouvelles données qui alimenteront votre profil, etc. Ainsi, la gestion et la maîtrise de ces données deviennent de plus en plus complexes, du fait de la croissance de leur volume, mais également de leur diversité et du besoin de les consommer en temps réel.

 

Repérer les données utiles et mettre en relief les liens entre acteurs

 

Dans le secteur de la sécurité et du renseignement, localiser les sources de données n’est plus un casse-tête : de nombreuses conversations transitent par Internet, les réseaux sociaux, voire sur le deep web ou le dark net. Le défi consiste désormais à repérer dans ces immenses volumes de données celles qui pourraient s’avérer utiles, à mettre en relief les liens entre acteurs et à créer des systèmes d’avertissement, par exemple en cas d’événement atypique dans la vie numérique d’un individu ou d’un groupe suspect.

SAS et OAK Branch (Open Actionable Knowledge, une startup française) ont développé une plate-forme d’analyse capable de répondre à différents besoins : détection d’activités illicites, criminelles ou dangereuses (individus en cours de radicalisation, préparation de cyber attaques, trafics, propagande). Les champs d’application sont multiples : e-réputation, fraude, gestion de crise, cybersécurité, contre-terrorisme, prévention de la délinquance et de la radicalisation, et bien entendu, renseignement militaire.

 

Détecter la radicalisation, c’est détecter un changement de comportement

 

BAi : Emmanuel Jacque, quel est le principe de la plate-forme « détection » développée en collaboration avec OAK Branch ?

E. J. : Le principe est simple : il s’agit de modéliser la norme pour repérer l’anormal. Par exemple, s’agissant de radicalisation, avant de passer à l’acte, un individu change de comportement. Cette rupture comportementale est généralement reflétée par les données qu’on peut collecter sur lui – par exemple, des commentaires laissés sur des réseaux sociaux, voire des achats qu’il aurait pu réaliser. Cette approche peut s’appliquer à de nombreux cas d’usage. Par exemple, il est possible de monitorer le flux de données d’un trader. Tout changement de comportement peut se traduire par une nouvelle manière de travailler ou de frauder… Il est également possible de contrôler des achats ou d’optimiser les contrôles aux frontières.

Détecter des « fake news » devient plus facile, en mettant en évidence des réseaux de comptes qui relaient des contenus identiques, dans un laps de temps très court. Grâce à l’analyse sémantique, il est possible aujourd’hui de repérer un contenu frauduleux ou faux, en analysant son mode de diffusion. Les fraudeurs ou terroristes cherchent à diffuser à tout prix des informations falsifiées, en saturant les fils d’information. Avec notre plate-forme de détection, ce qui a fait leur force dans le passé devient leur talon d’Achille.

 

Analyse statistique, de contenu et relationnelle pour comprendre le rôle des acteurs et leurs relations

 

BAi : Sur quels piliers repose cette plate-forme ?

E. J. : Ils sont au nombre de quatre. Tout d’abord, l’intégration de données: la plate-forme est capable d’ingérer tous types de données, depuis les fadettes des opérateurs téléphoniques jusqu’aux données internes de l’entreprise, structurées ou non, en passant par les données web, réseaux sociaux, plaques d’immatriculation, etc. Agrégées et intégrées, les données sont ensuite mises en qualité avec les solutions SAS pour permettre une analyse à 360°.

Le deuxième est l’analyse statistique qui permet, à travers une modélisation mathématique, d’étudier des données techniques et structurelles : géolocalisation, analyse d’activités simultanées, croisement de métadonnées, scoring et alertes. C’est avec cette analyse statistique qu’on peut repérer les ruptures comportementales dont je parlais plus haut, car elle favorise une approche de renseignement basée sur des « événements ».

L’analyse sémantique permet d’automatiser le traitement du langage. 31 langues sont aujourd’hui traitées par la plate-forme. Des fonctions de machine learning contribuent à l’auto-apprentissage de la langue et du vocabulaire, afin d’isoler des thèmes et d’extraire des entités, comme des plaques d’immatriculation, à l’aide de règles métiers.

Enfin, l’analyse relationnelle nous aide à mettre en lien des individus avec des entités, des lieux, des événements ou des organisations. Ces liens sont représentés graphiquement et positionnés sur une carte. La solution permet de visualiser leur évolution dans le temps.

En résumé, l’analyse statistique permet de repérer et de décrire un événement. L’analyse de contenu permet de le comprendre. L’analyse relationnelle permet de visualiser les événements, de les expliquer et de comprendre le rôle des acteurs.

La plate-forme répond à beaucoup d’autres cas d’usage. Elle est également idéale pour lutter contre le crime organisé, la fraude et la cybercriminalité, mais aussi pour identifier la source de fake news ou des actions de propagande. Elle permet en outre de hiérarchiser les priorités lors d’une situation d’urgence, par exemple une catastrophe naturelle. Enfin, elle peut améliorer les prises de décision des entreprises, via l’analyse de signaux faibles et contribuer à évaluer et maîtriser sa e-réputation.

 

**************************

Emmanuel Jacque Principal – Fraud & Security Intelligence Solutions EMEA & AP chez SAS – est un expert des solutions analytiques orientées big data dédiées au renseignement, à la lutte contre les fraudes et la criminalité, et à la détection en amont de la radicalisation, guerre cyber et hybride. A ce titre, il collabore notamment avec la société OAK Branch au développement de solutions pour le secteur public. Ancien officier militaire, il a travaillé pendant 28 ans pour plusieurs agences de renseignement. La solution développée à l’aide de la plateforme SAS qui permet la détection précoce d’individus radicalisés, a reçu une mention spéciale du jury lors du hackathon « Nec mergitur » 2016 organisé par la Mairie et la Préfecture de Police de Paris, en partenariat avec l’Ecole 42, suite aux attentats de 2015.

**************************

 

Télécharger la brochure « Détection en amont d’activités illicites ou criminelles »

 

En complément :

Une table ronde d’Acteurs Publics TV sur la sécurité à l’heure des big data,

Un article sur l’intérêt du « Cognitive Search » pour lutter contre la menace terroriste et le cybercrime.