Connect with us

Elizabeth Nammour, PDG et fondatrice de Teleskope – Série d’entretiens

Entretiens

Elizabeth Nammour, PDG et fondatrice de Teleskope – Série d’entretiens

mm
Published
Updated

Elizabeth Nammour, PDG et fondatrice de Teleskope, est une ingénieure en sécurité devenue fondatrice, dont la carrière s’étend à la sécurité des données, à l’ingénierie logicielle et aux rôles d’innovation dans certaines des plus grandes organisations technologiques du monde. Alors qu’elle travaillait en tant qu’ingénieure logicielle senior axée sur la sécurité des données chez Airbnb, elle a été confrontée au défi opérationnel de comprendre et de contrôler les vastes et rapidement croissants patrimoines de données répartis sur des dizaines de systèmes. Cette expérience, combinée à des rôles techniques et stratégiques précédents chez Amazon et Booz Allen Hamilton, a façonné sa perspective sur la façon dont les organisations modernes luttent pour gouverner les données sensibles à grande échelle et l’a finalement amenée à créer une entreprise pour combler cette lacune.

Teleskope est une plateforme de sécurité des données moderne conçue pour aider les organisations à comprendre en permanence où vivent leurs données, comment elles sont utilisées et quels risques elles créent à mesure que les environnements deviennent plus complexes. Conçue pour les développeurs et les équipes de sécurité, la plateforme met l’accent sur la visibilité précise des données, la remédiation automatisée et les contrôles basés sur les politiques dans les environnements cloud, SaaS et hybrides. En allant au-delà des audits statiques et des processus manuels, Teleskope vise à donner aux organisations une base pratique pour gérer la dispersion des données tout en permettant l’adoption responsable de l’IA.

Vous avez fondé Teleskope après avoir créé un outil de sécurité des données en interne chez Airbnb pour cataloguer et classer les données à grande échelle. Quel moment vous a convaincu que cela devait être une entreprise et non un projet interne, et comment ces premières leçons ont façonné votre thèse de produit ?

Quand j’ai terminé de construire ce produit chez AirBnB, j’ai eu l’occasion d’écrire un article sur le blog d’AirBnB intitulé « Automatiser la protection des données à grande échelle ». Je ne m’attendais pas vraiment à ce que quelque chose en sorte, mais la communauté de sécurité a répondu de manière très favorable et j’ai commencé à être contactée par des praticiens du monde entier. J’ai définitivement eu ce moment de réalisation que de nombreuses personnes partageaient les mêmes défis que moi, et que ce produit était quelque chose que le marché demandait réellement. J’ai beaucoup appris sur les commentaires de mes pairs dans les premiers jours, et même Teleskope v1.0 était loin d’être ce que j’avais construit à l’origine chez AirBnB. Aujourd’hui, notre produit est plus grand et plus impactant que je n’aurais jamais pu l’imaginer à l’époque.

Votre pipeline de classification multi-modèles combine l’apprentissage automatique traditionnel, des modèles spécifiques au format et une validation GenAI. Pouvez-vous nous guider à travers la logique de décision et comment réduire les faux positifs/négatifs à grande échelle?

Je recommanderais définitivement de lire notre blog, que j’ai écrit aux côtés de notre responsable de la science des données, Ivan, sur la classification des données. Je dirais d’abord que c’est un art, autant qu’une science. Il y a une énorme nuance – chaque fois que vous trouvez une entité de données sensibles, le contexte sera unique. Pendant ce temps, l’échelle des données a rendu ce problème infiniment plus difficile, car analyser des pétaoctets de données de production prend beaucoup de calcul et beaucoup de temps. Il y a une raison pour laquelle cela continue d’être considéré comme un problème en grande partie non résolu.

La partie artistique consiste à déterminer comment équilibrer tous les compromis – vitesse, latence, précision, coût et largeur (dans les magasins de données, les formats de fichiers, les langues, etc.). Nous avons toujours cru que la réponse doit être créative et doit être multimodale. C’est pourquoi nous avons adopté l’approche que nous avons, en combinant de nombreuses méthodes de classification disponibles pour avoir une approche dynamique et nuancée qui, pour résumer, est conçue pour utiliser la méthode la plus légère possible sans sacrifier significativement la précision. Cette approche dynamique nous permet d’analyser les données 10 à 20 fois plus rapidement que les outils qui dépendent de LLM à taille unique, tout en fournissant des résultats beaucoup plus précis que les approches basées sur REGEX ou le contexte conventionnel.

Vous avez récemment introduit Prism, en mettant l’accent sur la compréhension des données au niveau de l’entreprise et la remédiation alimentée par GenAI. Quels nouveaux cas d’utilisation cela débloque-t-il par rapport à la détection de PII au niveau des éléments, et comment protégez-vous contre l’hallucination dans les actions de remédiation?

Quand j’ai commencé à relever le défi de la classification et de la protection des données, mon objectif était de réduire les résultats faux positifs. Par exemple, comment nous assurer que au moins 95 % du temps, lorsque nous signalons quelque chose comme un numéro de sécurité sociale, cela s’avère réellement être un SSN. Il y a quelques années, même une précision de 80 % sur différents types d’éléments de données aurait été une amélioration.

Mais en travaillant étroitement avec nos clients cette année, il est devenu clair que le « bruit » qui submerge les équipes n’est pas seulement dû à des classifications d’entités de données inexactes (les « faux positifs » traditionnels). Le bruit est souvent autant causé par le fait d’être submergé d’alertes non pertinentes que par les fausses alertes. Ce que fait Prism, c’est qu’il débloque notre capacité à prendre en compte beaucoup plus de contexte – pas seulement « qu’est-ce que cette pièce de données » ou « qui accède à ce fichier », mais aussi « qu’est-ce que, concrètement, ce fichier ». En combinant cela avec des informations que nous pouvons intégrer sur ce que l’entreprise fait réellement et se soucie, nous pouvons fournir un produit qui répond aux différentes définitions de « données sensibles » de chaque société.

La capture de ce niveau de contexte nuancé est un véritable changement de jeu. Stocker des centaines de numéros de sécurité sociale dans un document Google dans votre lecteur personnel, par exemple, pourrait être un risque majeur et une violation de votre politique de gestion des données. Mais avoir un dossier dans un lecteur de ressources humaines sécurisé plein de W2 de vos employés ? C’est un comportement attendu. Les équipes de sécurité veulent être averties de la première situation, mais recevoir une alerte pour chaque W2 d’employé, stocké correctement, est juste du bruit. Comprendre où et dans quel contexte les données sensibles résident nécessite plus qu’un seul modèle de classification d’entités.

Nous travaillons avec une société chimique multinationale, Chevron Philips Chemicals. Cette entreprise n’achèterait jamais un outil de confidentialité ou un DSPM standard, car elle ne considère pas vraiment le risque de données des consommateurs comme une priorité. Ce qui leur importe, cependant, c’est la propriété intellectuelle sous la forme d’équations chimiques propriétaires. En étant capable de résumer l’essence d’un document en une liste d’étiquettes regroupées, nous pouvons non seulement détecter des éléments de données sensibles uniques, mais également trouver des instances de ces actifs de données se trouvant dans les « mauvaises » places. En combinant ce contexte avec notre remédiation automatisée, nous pouvons alors prendre des mesures pour archiver, supprimer, masquer ou déplacer ces fichiers vers leur emplacement approprié. Personne sur le marché de la sécurité des données ne fait ce type de travail.

Teleskope met en évidence la découverte continue à travers les systèmes multi-nuages, sur site et tiers, y compris les données fantômes. Quelle est l’apparence de la « carte complète » et combien de temps faut-il pour afficher les magasins inconnus dans un déploiement vert ?

« Complet » est un mot délicat ici – en réalité, c’est une barre qui bouge constamment, même quotidiennement. C’est ainsi que la gestion de la dispersion des données est difficile. Notre objectif a toujours été que Teleskope existe partout où les données de nos clients existent. Nous sommes en fin de compte un produit basé sur l’intégration à de nombreuses manières – nous avons construit des dizaines de connecteurs de données propriétaires pour pouvoir ramper, analyser et classer les données à travers une large gamme d’outils SaaS, de magasins de données cloud et de systèmes sur site. La plupart des clients commencent avec quelques connecteurs qu’ils considèrent comme les plus risqués ou où ils ont le moins de visibilité, donc dans la réalité, nous sommes rarement partout où réside les données d’une entreprise. Cependant, dans chaque source de données, nous analysons constamment leur environnement pour afficher de nouvelles comptes, tables, nouveaux blobs, fichiers, messages, etc. Donc, où que nous soyons, nous trouvons des données, nouvelles et anciennes, en quasi-temps réel.

Pour la sécurité et la gouvernance de l’IA, comment suivez-vous la lignée entre les ensembles de données de formation, les modèles, les invites et les sorties pour l’auditabilité ?

Nous soutenons vraiment la sécurité et la gouvernance de l’IA de trois manières fondamentales. Premièrement, c’est notre capacité à appliquer notre technologie de classification et de remédiation aux données en mouvement via nos API. Lorsque les entreprises génèrent ou préparent des ensembles de données pour former leurs propres modèles, elles ont besoin d’un moyen de s’assurer que les données sont exemptes de PII ou d’autres données sensibles. Nous nous branchons donc directement dans un pipeline de données et pouvons nettoyer les ensembles de données lorsqu’ils sont déplacés ou copiés dans un ensemble de formation, en nous assurant que les modèles ne sont jamais en danger de produire des données sensibles.

Deuxièmement, nous considérons notre produit de base comme un facilitateur de l’adoption de l’IA. Chaque entreprise est sous pression pour utiliser des outils d’IA pour fonctionner plus efficacement et pour suivre le marché. Un excellent exemple de cela est M365’s Copilot, qui fournit une fonctionnalité de recherche intelligente et facilite la recherche de fichiers ou de données. Mais ces outils, par définition, rendent également plus facile la découverte de données sensibles, et nous avons donc beaucoup d’entreprises qui nous disent : « Nous devons mettre en œuvre cet outil d’IA, mais nous avons peur de ce qu’il pourrait afficher. » Ils ont besoin de Teleskope pour scanner leur environnement et appliquer automatiquement leurs politiques de gestion et de sécurité des données, afin qu’ils puissent adopter l’IA en toute confiance.

Enfin, nous construisons des intégrations pour les outils d’IA qui rediront ou mettront en quarantaine les invites contenant des données sensibles avant qu’elles ne puissent être divulguées à des outils d’IA publics comme ChatGPT. Beaucoup d’entreprises interdisent simplement l’utilisation de ces outils, mais il existe un moyen d’adopter ces outils en toute sécurité afin de garantir que les données sensibles (telles que définies par chaque entreprise) ne soient pas exfiltrées.

La rédaction et la « remédiation à la source » sont au cœur de votre approche. Quelle est votre philosophie sur la remédiation automatique par rapport à l’homme dans la boucle, et où tracez-vous les limites de sécurité ?

Nous avons réalisé il y a quelques années que, autant que la découverte et la classification des données aient été nécessaires, elles ne fournissent que la moitié de l’histoire. Trouver le risque de données est la première étape, mais résoudre et remédier à ce risque est l’objectif réel. Nos clients évaluent généralement d’abord les résultats de Teleskope dans notre catalogue de données, puis passent à la remédiation avec un humain dans la boucle avant de passer à une remédiation entièrement automatisée. Nous sommes très conscients qu’il y aura toujours certaines actions que les équipes ne seront jamais à 100 % confortables pour automatiser complètement. Supprimer des données d’une base de données de production, par exemple, pourrait être très problématique. Mais dans de nombreux cas, nous voyons les clients adopter une automatisation complète pour des choses comme le retrait des autorisations, le déplacement des données, l’application des politiques d’archivage ou de rétention, etc.

De nombreux outils DSPM/DLP ont du mal avec la protection en temps réel. Qu’est-ce qui a dû changer sur le plan architectural pour rendre « temps réel » les enjeux, et quels sont les délais et les débits que les entreprises peuvent attendre en production ?

Pour résoudre le problème du temps réel, il était important de diviser la tâche en ses composants fondamentaux. Différentes situations nécessitent différents types de latence, mais l’objectif est toujours de fournir les informations les plus précises le plus rapidement possible. Cela signifie qu’une architecture flexible qui nous permettrait de paralléliser notre système à faible latence pour répondre à différents besoins de débit. Lorsqu’une entreprise a Teleskope en cours d’exécution dans son environnement, les données sont classées et protégées directement dans son infrastructure, réduisant ainsi la latence et le flux de données sortant. Ce fait nous permet de fournir une remédiation en cas de scénarios à haut risque en trames de temps inférieures à une seconde.

Confidentialité et conformité : vous affirmez une surveillance continue et une cartographie automatique aux cadres/règlements. Comment gardez-vous les cartes à jour à mesure que les lois évoluent, et combien de contrôles sont personnalisables pour différentes régions ou unités commerciales ?

Franchement, notre attention s’est vraiment éloignée de la case à cocher et s’est concentrée sur une compréhension approfondie de ce que nos clients se soucient. Dans certains cas, ils veulent cartographier 100 % des nouvelles réglementations qui sortent, et nous surveillons constamment ces changements et les incorporons dans notre produit. Mais, honnêtement, la plupart des entreprises sont si loin d’être en mesure de se conformer pleinement à ces lois que nous devons les rencontrer là où elles se trouvent et nous assurer que nous pouvons les amener du point A au point B au point C avant de nous soucier de les amener au point Z. La façon dont nous le faisons est de comprendre d’abord ce que la conformité signifie pour cette entreprise (encore une fois, une entreprise de fabrication peut ne pas considérer quelque chose comme le RGPD comme une préoccupation majeure), et de nous assurer que nous pouvons façonner le produit autour de leurs profils de risques et de besoins spécifiques.

Adoption de GenAI : comment les clients utilisent-ils Teleskope pour créer des « entrées sûres » et des « sorties sûres » sans dégrader la vitesse des développeurs ? Y a-t-il des modèles que vous recommandez ?

Les clients intègrent l’API Redact de Teleskope dans leurs pipelines de formation et d’inférence pour s’assurer que les données sensibles ne s’écoulent jamais vers les modèles d’IA génératifs. Le processus de rédaction est abstrait des développeurs, préservant ainsi la vitesse de développement en effectuant la rédaction avant l’inférence et en réhydratant les données par la suite.

En regardant vers l’avenir, vous avez parlé d’une plateforme de sécurité des données « agente » de bout en bout avec une remédiation autonome. Quels seront les jalons qui indiqueront que l’industrie est prête pour une protection des données entièrement autonome ?

Nous savons qu’il est un fait que l’industrie est prête pour cela. D’autres domaines du cyber, comme le SOC, ont déjà montré un changement complet vers l’IA agente comme un moyen d’augmenter la capacité des équipes de sécurité. Nous avons une file d’attente de clients qui demandent à être des partenaires de conception pour ce travail, nous savons donc que de nombreuses entreprises ressentent la même douleur de devoir toujours trier manuellement, enquêter, prendre une décision et ensuite exécuter, juste pour résoudre un seul ticket. Nous avons une conviction absolue que c’est là que va le marché, et nous sommes déterminés à mener ce changement.

Je vous remercie pour cette excellente interview, les lecteurs qui souhaitent en savoir plus peuvent visiter Teleskope.

mm

Antoine est un leader visionnaire et partenaire fondateur de Unite.AI, animé par une passion inébranlable pour façonner et promouvoir l'avenir de l'IA et de la robotique. Un entrepreneur en série, il croit que l'IA sera aussi perturbatrice pour la société que l'électricité, et se fait souvent prendre en train de vanter le potentiel des technologies perturbatrices et de l'AGI.
En tant que futurist, il se consacre à explorer comment ces innovations vont façonner notre monde. En outre, il est le fondateur de Securities.io, une plateforme axée sur l'investissement dans les technologies de pointe qui redéfinissent l'avenir et remodelent des secteurs entiers.