De temps en temps, cette question revient de la part des clients et des partenaires.

Quel est le processus derrière notre procédure de mise à jour pour le filtrage des pourriels sur site et comment alimenter la machine qui continue de détecter les pourriels avec précision au fil du temps?

Je suis presque certain que d’autres entreprises de filtrage des pourriels gérés fonctionnent de la même manière, donc cet article se répercutera probablement sur d’autres entreprises du même secteur d’activité.

Voici le processus illustré :

Vircom reçoit plusieurs flux de données provenant de différents types de sources :

• Serveurs sur le terrain qui reçoivent des pourriels
• les soumissions des utilisateurs finaux (via notre plugiciel directQuarantine)
• les soumissions administratives (provenant d’administrateurs de système utilisant modusConsole)

Les messages arrivent dans une très grande base de données de pourriels qui alimente un moteur analytique capable de produire des mises à jour de pourriels de manière autonome. Les soumissions d’utilisateurs et les soumissions administratives ont tendance à avoir plus de poids, ce qui dénote l’importance pour nous d’obtenir des commentaires des clients sur le terrain.

Une fois que les systèmes automatisés ont fait leur travail, des mises à jour et des signatures de pourriels sont produites et envoyées à nos serveurs clients sur le terrain. Ces mises à jour sont publiées toutes les cinq minutes. Nous attrapons déjà 99%+ des pourriels à ce stade.

L’équipe des pourriels doit ensuite s’occuper des restes, c’est-à-dire des messages qui ne sont pas détectés pour une raison quelconque par les systèmes automatisés. Il s’agit d’un processus en deux étapes. Une première étape consiste à produire des mises à jour de pourriel basées sur notre moteur Sieve. Ces scripts sont conçus comme une solution temporaire pour arrêter une vague particulière de pourriels. La prochaine étape consiste à utiliser les échantillons de notre corpus de moteur d’IA et à lancer une session de recyclage pour le moteur d’intelligence artificielle que nous utilisons. Ce processus peut prendre une journée entière. Une mise à jour de l’IA est ensuite envoyée et les scripts que nous avons faits précédemment sont supprimés manuellement.

Pour faire une histoire courte:

• Des mises à jour automatisées du système analytique ont lieu toutes les 5 minutes.
• Des mises à jour scénarisées manuelles sont effectuées toutes les 15 à 30 minutes.
• Les mises à jour de l’IA sont effectuées 2 à 3 fois par semaine.

L’automatisation à elle seule nous permet d’attraper 99%+ des pourriels qui existent (le pourcentage fluctue en fonction des types de vagues de pourriels que nous recevons). L’élément humain est ce qui fait une grande différence.

L’avantage de garder les humains au courant est que cela nous permet de maintenir une qualité élevée des données et de faire des ajustements manuels client par client. Par exemple, dans le cas de Graymail, nous pouvons envoyer des scripts personnalisés à des clients qui sont moins ou plus tolérants envers Graymail que d’autres.

Un processus similaire se produit pour les faux positifs. Les faux positifs proviennent de :

– Soumissions administratives à partir de modusConsole

– Quarantaine signale les actions de « libération et de rapport »

– Mesures de mise en liberté et de rapport de WebQuarantine

– directQuarantine et signaler les actions

Étant donné que les faux positifs ont tendance à être plus coûteux pour les utilisateurs finaux que les faux négatifs, le poids accordé est très élevé par rapport aux pourriels. Les PF sont traités de la même manière que les pourriels. Si un PF est toujours attrapé après avoir passé par l’automatisation comme test, nous créons des scripts d’exception manuels et les PF sont ensuite cumulés pour le réentraînement de l’IA. Les messages finissent par se retrouver dans l’ensemble de formation du courrier propre.

Modus brille vraiment ici en raison des divers mécanismes donnés aux administrateurs et aux utilisateurs finaux, nous avons un système de rétroaction fermée qui nous permet de modifier le filtrage minute par minute.

Nous recevons des dizaines de milliers de soumissions par jour de la part d’utilisateurs finaux pour des pourriels et des faux positifs et nous les traitons presque tous. Nous filtrons les erreurs (par exemple, nous avons vu des gens soumettre nos courriels de rapport de quarantaine comme pourriels). Les utilisateurs finaux font beaucoup d’erreurs, alors nous devons nous en méfier.

Mais dans l’ensemble, cela aide à maintenir la qualité des mises à jour très élevée.

****

Modus compte des millions d’utilisateurs finaux commerciaux dans le monde entier dont il protège les courriels. Ces millions d’utilisateurs reçoivent plusieurs centaines de millions de messages par jour, sans compter les pourriels et les logiciels malveillants qui sont déjà bloqués par modus. Une partie du pourriel passe, en moyenne moins de 0,3% (heureusement!). Quoi qu’il en soit, 0,3% d’un tel volume représente encore plus de 1 million de mauvais messages transmis quotidiennement. Grâce aux excellents mécanismes dont nous disposons pour signaler ces messages, y compris directQuarantine pour Outlook, nous avons facilité la tâche de nos clients pour les signaler. Nous recevons donc entre 50 000 et 150 000 de ces messages par jour, selon le volume et les vagues de pourriels. C’est bien, cela nous aide à améliorer les choses et nous l’apprécions.

En nous fournissant de bonnes données, les utilisateurs finaux nous aident à maintenir l’exactitude élevée, d’où l’importance d’utiliser les différents mécanismes de rétroaction que nous fournissons.