Alain Deladrière
Dans ce deuxième volet placé sous le signe ‘Analytics everywhere’, Jeroen Van Godtsenhoven, Managing Director SAS Belux, et Michel Philippens, Principal Analytics Advisor, abordent les thèmes de l’implication des entreprises dans des domaines cruciaux comme la détection de fraudes, des risques et le respect de la conformité ainsi que la protection des données personnelles.
10 milliards d’interactions par jour !
Michel Philippens : « Le gros défi comme l’avait expliqué Jeroen, est de trouver une aiguille dans une botte de foin. La masse de données est énorme et en mouvement constant. Il faut donc être extrêmement précis. Si l’on ne prend qu’une partie des risques, par exemple, on créera des alertes qui gêneront les usagers. Exemples : en matière de cybersecurity, nous analysons les interactions, le trafic (netflow) entre les machines. Chaque interaction est un élément. Pour les entreprises du Fortune 500 Companies avec lesquelles nous travaillons actuellement avec la solution cybersecurity, il faut compter 10 milliards d’interactions par jour ! Et comme souligné précédemment, il faut y ajouter le contexte. Cela prendrait des jours et des jours. Dès lors, au moment où l’interaction a lieu, nous ajoutons le contexte en temps réel et progressivement, nous analysons, comparons avec le comportement normal et générons des alertes éventuelles. Un bon exemple est la fuite de données qui s’est produite avec Sony. Il y a eu des terabytes de données qui sont sortis via une petite ligne dans le réseau. Pendant des semaines, un petit router situé quelque part sortait des données. Comme il n’y avait pas de détection…. Avec l’analytique, nous pouvons voir ce que les machines font et anticiper ce qu’elles vont faire. S’il y a une bonne raison pour qu’elles agissent d’une certaine façon, aucune donnée ne doit sortir et l’on évite ce genre d’incident aux grosses conséquences. »
Pensez-vous que les entreprises investissent assez dans ces domaines cruciaux ?
Jeroen Van Godtsenhoven : « Il y en tout cas des investissements. Quand on prend la maturity curve, tout le monde est conscient que dans un monde digital, il faut prendre des mesures de protection (on ne peut pas laisser la porte ouverte à tout le monde). D’un autre côté, on aimerait qu’il y ait plus d’investissements parce qu’aujourd’hui, c’est souvent un incident (malwares, APT, phishing, etc.) qui entraîne un investissement. Et quand des organisations sont prêtes à s’attaquer à ce type de fraude, que le problème diminue, on se dit qu’il est résolu. Et si ce type de fraude est résolu, il faut néanmoins pouvoir anticiper des attaques futures mais dont on ne sait pas sous quelles formes elles se produiront. Il est précisément important de commencer cette analyse quand il n’y a pas de fraude. Comprendre comment l’organisation fonctionne, la manière dont les données sont interconnectées permet aux algorithmes de découvrir ce qui est normal. Une fraude est faite de petits changements qui mis ensemble sont importants. Les investissements doivent donc être plutôt considérés comme une assurance protégeant l’entreprise. »
Michel Philippens : « Il existe des contextes comme la fiscalité où la valeur ajoutée peut être énorme et d’autres où les bénéfices sur une base annuelle ne sont pas tellement évidents. Une fraude peut se produire et induire des dégâts de dizaines de millions d’euros. Par contre, il y a des années où il n’y a pas d’attaques. Mais si l’on dispose d’un système de protection très performant, l’avantage est indéniable.
Les grandes banques investissent toutes dans des projets permettant de lutter contre les fraudes comme dans le domaine des paiements. Par contre, pour les banques moyennes c’est plus compliqué. Elles se trouvent parfois dans un contexte difficile avec des taux d’intérêt très bas voire négatifs. Quel est alors le bon équilibre ? »
Des outils génériques big data pour optimiser la sécurité digitale
Jeroen Van Godtsenhoven : « Certaines banques vont décider de ne pas investir pour diverses raisons. Cela se comprend, mais il y a une grande opportunité qui va plus loin que la détection de fraudes et la compliance. Le système que l’on met en place pour opérer la détection permet de créer une valeur business qui est bien plus vaste que ces seuls domaines. Ainsi, par exemple, avec une banque, nous pouvons aujourd’hui effectuer une détection de fraudes en temps réel. Cela signifie que toutes les transactions qui se font dans une banque ont lieu en temps réel peuvent être attaquées par des analyses « streaming ». Par contre, dans l’industrie que cela soit dans le monde bancaire, dans le retail ou ailleurs, il y a très peu d’organisations qui ont en temps réel accès à leurs données quand cela se produit. Au contraire, la banque équipée d’un outil performant d’analyse a cette capacité d’analyser les transactions, d’interagir avec le client en temps réel, bref de faire autre chose que simplement la détection de fraude. On va plus loin en créant des outils génériques big data et en réfléchissant à toutes les utilisations possibles. C’est, par exemple, le cas dans les grandes banques à Luxembourg y compris chez les banquiers privés qui commencent à créer des initiatives big data avec comme premier use case la fraude. C’est essentiel parce qu’ils travaillent en confiance avec leurs clients private banking. La sécurité y est à ce point importante que la première utilisation big data est la sécurité digitale.
Et puis, si nous offrons des technologies permettant de détecter la fraude et d’arrêter des schémas de fraude complexes, nous devenons aussi le moteur intelligent derrière des processus opérationnels. Il est donc important que toute cette intelligence créée par le moteur SAS soit bien gérée. Car nous pouvons aussi être la cible d’une attaque. C’est pourquoi toutes nos solutions sont également protégées via encryptage. Le tout dans un système qui permet d’être audité et gouverné dans l’ensemble de ce qu’un chief information and security officer doit géré. »
Le nouveau GDPR, un cadre de travail européen pour les données personnelles
Michel Philippens : « Outre la sécurité, il y a en effet aussi la protection des données personnelles aussi importante dans un monde digital. Elle va faire l’objet d’une nouvelle régulation, un GDPR (General Data Protection Regulation), un nouveau règlement européen destiné à simplifier, harmoniser et renforcer la protection des données personnelles qui va se mettre en place en 2018. Bon nombre de nos clients estiment cela très important. C’est une évolution très positive qui permet ainsi d’avoir un cadre très clair sur ce qui est permis et ce qui ne l’est pas. Nous apportons des solutions à travers la gestion des données, un pilier important de la protection des data. Il faut d’abord définir quelles sont les données personnelles. Savoir où elles se trouvent dans toutes les applications et les bases de données, pouvoir les détecter. Il faut également protéger l’accès à toutes ces données. Le trafic de données dans une entreprise, banque, assurance ou autre, est en effet extrêmement vaste. Des solutions de gestion peuvent centraliser l’accès à ces data par encryptage, autorisations d’accès mais également pour rendre visible qui peut accéder ou accède à ces données. Le nouveau GDPR aura un grand impact. Il faut travailler autrement et tenir compte du timing obligatoire. Les détenteurs de données commencent à se rendre compte du caractère important de ce changement : ce n’est pas quelque chose que l’on va réaliser ‘sur le côté’. »
Les banques sont-elles en avance dans ce domaine ? Sont-elles l’exemple à suivre ?
Jeroen Van Godtsenhoven : « Une banque vit sur les données. Des milliers de personnes y travaillent avec des data. C’est leur source de revenus. Les banques mais aussi les gouvernements qui ont des données massives sur les citoyens sont les premiers à être impactés par cette législation – les banques sont en général assez prudentes dans l’usage des données personnelles; elles sont très respectueuses. Maintenant, cela ne veut pas dire qu’elles sont en contrôle total de ce qui se passe dans tous les systèmes informationnels. Il y a tellement de données. Si l’on examine ce qui est exigé par le GDPR, beaucoup de banques ne sont pas encore à niveau. Elles sont cependant conscientes que cela doit changer. »