Dans cette interview, nous aborderons les points suivants :
- Pouvez-vous révéler les cas d’utilisation spécifiques ainsi que la fréquence à laquelle les clients potentiels se voient refuser l’accès au réseau Bright Data ?
- Approfondissement : de quelle manière Bright Data va-t-il au-delà des normes de conformité afin de garantir la sécurité du réseau et la légalité des cas d’utilisation avec une approche axée sur l’éthique ?
En quoi le processus « Know Your Customer » (Connaissez votre client) de Bright Data se distingue-t-il et comment influence-t-il les normes de conformité du secteur de la collecte de données?
« Deux éléments clés garantissent une sécurité optimale :
Premièrement : la conformité en temps réel. En plus de garantir qu’ils bénéficient du meilleur service, les nouveaux utilisateurs sont également soumis à un contrôle rigoureux afin de s’assurer que leur utilisation est conforme, légale et éthique. L’activité des utilisateurs du réseau est surveillée pendant la première semaine d’utilisation, ainsi que de manière continue et en temps réel. Nous investissons beaucoup d’efforts et de ressources afin de nous assurer que nous sommes en ligne pour fournir des alertes immédiates au cas où le trafic ne correspondrait pas à l’utilisation déclarée par le client. Des contrôles des journaux sont effectués régulièrement par notre responsable interne de la conformité et son équipe.
Cela est essentiel pour préserver la « propreté » du réseau contre les acteurs potentiellement malveillants et pour garantir que les opérations existantes des clients de Bright Data ne soient jamais compromises.
Deuxièmement : la validation des utilisateurs. Lorsque des particuliers utilisent nos réseaux, et en particulier dans le cas de grandes entreprises, nous nous assurons que toutes les adresses IP sources sont approuvées. Nous travaillons en étroite collaboration avec des sociétés de sécurité externes qui examinent chaque adresse IP afin de garantir que les adresses IP utilisées pour la collecte de données sur le web appartiennent à leurs employés et font partie intégrante d’une « liste d’utilisateurs approuvés ».
De plus, nos réseaux sont toujours ouverts aux audits tiers. Bright Data travaille en permanence avec des cabinets indépendants de premier plan afin de s’assurer que ses réseaux sont conformes aux normes réglementaires, sécuritaires et juridiques. Citons par exemple notre collaboration avec « Herzog Strategic », qui a examiné en détail nos politiques et activités réseau », a déclaré M. Borenstein. Les recommandations sont toujours rapidement examinées et immédiatement mises en œuvre.
Voici un résumé de l’audit indépendant réalisé par Herzog et de ses conclusions concernant l’approche multidimensionnelle de Bright Data en matière de conformité :
Vérifications des clients et diligence raisonnable : « Les nouveaux clients résidentiels/mobiles sont intégrés à l’aide d’un processus complet de vérification / Vérification KYC, qui comprend une vérification d’identité par vidéo en direct et une approbation individuelle par un responsable de la conformité interne. Le KYC est basé sur plus de 27 indicateurs développés en interne qui sont uniques dans le secteur.
Une fois le cas d’utilisation approuvé, le client est attribué à un représentant du développement commercial, qui est alors chargé de surveiller de manière proactive le compte. Cela permet au représentant de surveiller tout écart entre l’utilisation réelle et le cas d’utilisation initialement déclaré ».
Mécanismes de prévention et de réponse technologique basés sur le code : « Tout client qui tente d’abuser du réseau est automatiquement bloqué. Cela est rendu possible grâce à une série de mécanismes liés au code, intégrés dans chacun des principaux produits de Bright Data. Ces mécanismes sont constamment mis à jour en fonction des tendances d’abus identifiées par l’équipe, telles que la revente, la fraude publicitaire, les attaques DDoS, ainsi que d’autres menaces émergentes.
Chaque développeur est entièrement responsable de la conception de nouvelles fonctionnalités, y compris du cycle de test complet. Ceci, associé à leur système personnalisé Build-and-Test (BAT), permet à l’entreprise de publier près de 60 mises à jour de son système chaque jour. Un nombre sans précédent dans le secteur.
Un service de conformité indépendant : « Bright Data a mis en place une équipe de conformité indépendante et proactive qui traite manuellement chaque signalement d’abus, y compris les enquêtes, les avertissements et le blocage des clients suspects, ainsi que l’application légale des politiques de l’entreprise lorsque cela est nécessaire. L’équipe de conformité est également chargée de surveiller les activités des services commerciaux et de développement commercial, en veillant à ce que toutes les procédures de vérification KYC soient menées en conformité. » Cela peut parfois aller à l’encontre des objectifs commerciaux de l’entreprise. C’est pourquoi l’équipe est totalement indépendante et bénéficie d’un accès illimité au PDG de l’entreprise.
Pouvez-vous nous révéler les cas d’utilisation spécifiques ainsi que la fréquence à laquelle des clients potentiels se voient refuser l’accès au réseau Bright Data ?
« Absolument, mon département veille en permanence à ce que chaque cas d’utilisation soit conforme à nos normes réseau », a commencé à expliquer Mme Shechter. « Je pense que les chiffres parlent plus que les mots dans ce cas précis :
- en 2020, nous avons bloqué près de 20 fois plus de « cas d’utilisation interdite du réseau » qu’en 2019.
- Nous ne sommes qu’à mi-chemin de l’année 2021 et nous sommes en passe de doubler ce chiffre d’ici la fin de l’année.
Cette croissance explosive des efforts proactifs de notre département pour assurer la sécurité et la conformité de nos réseaux se reflète dans l’augmentation du nombre de clients potentiels qui n’ont pas « satisfait » aux procédures de conformité et se sont finalement vu refuser l’accès au réseau :
Source de l’image : service de conformité de Bright Data
Tous les cas d’utilisation des clients sont vérifiés avant leur intégration
Tous les clients de Bright Data qui demandent à accéder à notre réseau résidentiel doivent fournir une description détaillée de leur « cas d’utilisation » prévu. Ce dernier doit correspondre à l’un des secteurs verticaux préapprouvés. Voici une liste succincte pour vous donner une idée des types de cas d’utilisation que nous autorisons sur nos réseaux :
- Effectuer une vérification des publicités pour s’assurer que les campagnes marketing atteignent bien leur public cible
- Assurer la protection de la marque afin de garantir que la valeur d’une entreprise n’est pas diluée par des cybercriminels qui tentent de tirer profit en se faisant passer pour des producteurs/détaillants agréés
- Collecte d’informations en temps réel sur les prix pratiqués par la concurrence, les niveaux de stock et d’autres statistiques numériques ouvertes sur le commerce de détail
- Tester des sites web à partir de différentes géolocalisations, ainsi que tester l’équilibre de charge
- Mise en œuvre de mesures préventives de cybersécurité, par exemple par le biais de la cartographie et de la surveillance des attaques exposées à Internet en dehors du pare-feu d’une entreprise (par exemple, ransomware, malware, tentatives de phishing)
Bright Data applique une politique de tolérance zéro en matière d’utilisation illicite ou abusive de son réseau !
Si un client demande à utiliser les réseaux de Bright Data pour un cas d’utilisation « non approuvé », cette demande sera transmise à l’équipe de conformité de l’entreprise pour examen et sera rejetée. Ces cas peuvent être considérés comme « légaux », mais la réglementation ne parvient souvent pas à suivre le rythme des évolutions technologiques. Après avoir consulté des experts de premier plan en matière de sécurité des réseaux, nous avons décidé que ces cas n’étaient pas compatibles avec notre approche éthique globale. Voici une liste non exhaustive de cas réels qui ont été activement empêchés d’utiliser nos réseaux par notre équipe de conformité dédiée :
Fraude au clic : « Je souhaite utiliser des services Proxy pour des campagnes CPA et PPC où je peux cliquer à plusieurs reprises sur des publicités en utilisant différentes adresses IP afin de générer du trafic et des revenus. »
Violation du droit d’auteur : « J’ai besoin d’un réseau Proxy pour télécharger des vidéos YouTube, puis les convertir en fichiers mp3 pour mes clients. »
Génération de faux trafic : « Je souhaite accéder à des vidéos sur YouTube et Vimeo afin d’augmenter le nombre de vues, le classement et les revenus liés au contenu. »
Création d’engagement social malhonnête : « Je souhaite créer de faux comptes sur les réseaux sociaux afin de « pousser » l’exposition postérieure à l’aide de (faux) likes, commentaires et partages. »
Paris sportifs : « J’ai besoin de Bright Data pour récupérer les cotes de paris sur différents sites de jeux d’argent afin d’alimenter mon propre site avec des Jeux de données et de placer des paris à des fins personnelles. »
Analyse approfondie : de quelle manière Bright Data va-t-il au-delà des normes de conformité afin de garantir la sécurité du réseau et la légalité des cas d’utilisation avec une approche axée sur l’éthique ?
« Bright Data s’appuie sur quatre piliers majeurs pour détecter les fraudes », m’explique Gal. Examinons cela de plus près :
Premièrement : les appels de vérification KYC
Ils sont utilisés pour comprendre en profondeur le cas d’utilisation d’un client. Le processus de questionnement est utilisé pour identifier les incohérences dans les réponses des clients et, si un tel cas se présente, il est directement signalé à notre équipe de conformité pour une enquête plus approfondie.
Un exemple de cas où l’appel de vérification KYC a servi d’outil efficace pour prévenir les activités illégales et frauduleuses sur notre réseau est celui d’un client qui a tenté de contourner notre processus de vérification KYC en engageant une autre personne pour passer un appel vidéo avec notre représentant commercial. Nous avons remarqué que le client avait du mal à répondre aux questions et qu’il se référait à une note manuscrite pour y répondre. Vers la fin de la vidéo, nous avons remarqué un autre homme caché à l’arrière, qui s’est avéré être la personne qui tentait d’accéder à notre réseau résidentiel.
Résultat en matière de conformité : notre équipe chargée de la conformité lui a immédiatement refusé l’accès à nos réseaux, a résilié son compte et l’a empêché de s’inscrire à l’avenir.
Deux : surveillance de l’utilisation
Nos gestionnaires de comptes et notre équipe chargée de la conformité effectuent une surveillance minutieuse et continue des journaux d’événements des clients après l’octroi des autorisations d’accès au réseau résidentiel. En cas de divergence entre l’utilisation déclarée par le client et l’activité réelle de son compte, celui-ci est définitivement résilié.
Un exemple de cas où la surveillance de l’utilisation a été essentielle pour empêcher un client d’utiliser nos réseaux à des fins non approuvées est celui d’un client qui a déclaré vouloir utiliser notre réseau résidentiel pour scraper des plateformes de commerce électronique telles que « amazon.com » afin de rechercher des produits et de comparer les prix pour promouvoir son activité en ligne. Le client a également fourni la preuve de l’existence d’une boutique en ligne avec des produits dans son inventaire. Cependant, en surveillant les journaux du client, le Gestionnaire de compte a remarqué des milliers de requêtes ciblant des sites de jeux et seulement quelques-unes ciblant « amazon.com ».
Résultat en matière de conformité : notre équipe chargée de la conformité a remarqué cette divergence et a immédiatement résilié le compte Bright Data de ce client.
Trois : Examen systématique et continu des journaux
Notre service a mis en place plusieurs processus pour effectuer des contrôles systématiques afin de s’assurer que les utilisateurs de notre réseau restent conformes. Ces processus nous aident à trouver les comptes dont l’activité ne correspond pas à l’utilisation déclarée. Il s’agit notamment de rapports quotidiens, d’un tableau de bord dédié et de procédures quotidiennes qui impliquent l’examen de nos principaux clients.
Un exemple de cela est un client qui a été découvert en train d’utiliser nos services de manière abusive tout en déclarant un cas d’utilisation fictif (collecte de données open source sur les réseaux sociaux telles que des images, des influenceurs et des données de profil). Il a été découvert que ce client ciblait des sites de jeux d’argent et d’autres contenus illicites.
Résultat en matière de conformité : notre équipe chargée de la conformité a remarqué cela et a immédiatement résilié le compte Bright Data de ce client. De plus, nous avons mis au point un outil qui surveille les journaux des clients. Lorsqu’un client cible des domaines qui ne correspondent pas à son cas d’utilisation déclaré, l’équipe chargée de la conformité reçoit une alerte automatique et mène immédiatement une enquête, prenant des mesures supplémentaires si nécessaire.
Quatre : signalements d’abus
Bright Data utilise les rapports de sécurité des fournisseurs afin de maintenir en permanence un réseau propre, ainsi qu’un système automatisé pour détecter et mettre fin immédiatement aux comportements abusifs.
Un exemple de cela est un nouveau client qui a été signalé en raison d’une transaction suspecte. Le fournisseur de logiciels de lutte contre la fraude et les rétrofacturations de Bright Data a signalé que ce client était un pirate informatique qui volait des adresses électroniques et des mots de passe pour alimenter une opération de spamming lucrative et très répandue.
Résultat en matière de conformité : notre équipe chargée de la conformité a mis ces informations en pratique et s’est assurée que ce client soit mis sur liste noire et interdit d’accès à nos réseaux.
Mise en pratique opérationnelle : depuis,l’équipe chargée de la conformité utilise ces rapports des fournisseurs afin d’éviter que des cas similaires d’abus ne se reproduisent à l’avenir :
Premièrement : rapports d’abus DC – Le service de conformité reçoit souvent des rapports d’abus de la part des fournisseurs DC concernant des clients qui ont ciblé un domaine de manière abusive. Bright Data a développé des outils internes qui permettent de localiser le client abusif en question et de résoudre un « événement » en quelques minutes.
Deux : rapports de fraude Safecharge – Le prestataire de paiement de Bright Data nous envoie quotidiennement un rapport sur les transactions frauduleuses, ce qui nous aide à surveiller les clients dont les activités de facturation sont suspectes.
Pratiques fondamentales
Alors que de nombreuses entreprises de collecte de données mettent en avant leur « politique de non-conservation des logs », Bright Data est fière de sa « politique de conservation des logs ».
Toutes les communications écrites et vidéo avec les clients de Bright Data, à partir de leur premier contact sur notre site web (entrant) ou lors de la première approche de notre équipe commerciale (sortant), sont documentées dans nos systèmes. Nous savons que nos clients apprécient notre approche globale de la sécurité des réseaux, c’est pourquoi nous investissons dans une opération aussi importante et chronophage.
Dès réception d’un signalement d’abus, Bright Data examine les journaux du client concerné et envisage de prendre l’une des mesures suivantes :
- Suspension du compte d’un client
- Blocage du domaine concerné
- Transfert des journaux concernés aux autorités judiciaires et/ou aux clients (sur demande)
Ces mesures reflètent nos valeurs, fondées sur la transparence, ainsi que notre engagement en faveur de la sécurité des réseaux et des pratiques commerciales éthiques.
