Avec l’IA, Doppel intercepte les menaces avant propagation

Un pirate a besoin de moins d’une heure pour lancer un site malveillant, cibler des milliers d’utilisateurs et disparaître. Ce laps de temps pourtant limité s’avère amplement suffisant pour lui permettre de faire des dégâts sérieux. Et grâce aux outils génératifs, il peut désormais créer des centaines de sites de ce type.

Doppel est née de la volonté de protéger les organisations contre les deepfakes et les usurpations d’identité en ligne, mais a rapidement compris que l’IA permettait aux menaces de se multiplier à l’infini. Les pirates n’ont plus besoin de concevoir manuellement des attaques : en quelques secondes, une infinité de variantes de kits de phishing, de domaines usurpés et de comptes d’imitation peuvent être générées.

Pour garder une longueur d’avance, Doppel a développé un nouveau type de système de défense contre l’ingénierie sociale, basé sur les modèles OpenAI GPT‑5 et o4-mini. Capable de détecter, de classer et d’éliminer les menaces de manière autonome, la plateforme de Doppel permet de réduire la charge de travail de ses analystes de 80 %, de tripler sa capacité de gestion des menaces et de faire passer ses délais de réponse de plusieurs heures à quelques minutes.

Auparavant, les solutions de protection numérique faisaient appel à des humains pour vérifier manuellement les sites d’usurpation, les domaines de hameçonnage et les profils et publications sur les réseaux sociaux. Doppel a constaté que ce modèle perdait de sa pertinence avec l’automatisation des menaces, qui permettait un déploiement plus rapide et plus étendu, impossible à suivre pour les humains.

Cette réactivité est essentielle pour les clients de Doppel : des organisations qui ne peuvent se permettre d’attendre plusieurs heures la confirmation d’une menace. Le système de Doppel classe automatiquement la plupart des menaces, en utilisant les modèles d’OpenAI pour le raisonnement et une boucle de rétroaction structurée appelée affinage par apprentissage par renforcement (RFT) afin d’améliorer le modèle au fil du temps. Avec RFT, les choix des humains servent d’exemples notés et permettent aux modèles de prendre des décisions cohérentes et explicables de façon autonome.

Le pipeline piloté par des LLM de Doppel est au cœur de son dispositif de détection. Une fois les signaux récupérés et filtrés, le système exécute une série de tâches de raisonnement ciblées : raisonnement sur les menaces potentielles, confirmation de l’intention et décisions de classification. Chaque étape a été pensée pour trouver un équilibre entre rapidité, précision et cohérence, et les analystes restent sollicités sur les cas non standard nécessitant un jugement humain.

Le déroulement du processus est le suivant :

• Filtrage du signal et extraction de ses caractéristiques : les systèmes de Doppel ingèrent quotidiennement des millions de domaines, d’URL et de comptes. Des analyses heuristiques et le modèle OpenAI o4-min filtrent les faux positifs et extraient des caractéristiques structurées permettant de guider les évaluations ultérieures du modèle.
• Confirmation parallèle des menaces : chaque signal passe par plusieurs prompts GPT‑5 pensés pour différents types d’analyses des menaces. Ces prompts évaluent des facteurs comme le risque d’usurpation, de détournement de marque ou d’ingénierie sociale.
• Classement des menaces : La version RFT de o4-mini synthétise les confirmations précédentes pour attribuer une étiquette structurée—malveillant, bénin ou ambigu—avec une cohérence de niveau production.
• Vérification finale : Une deuxième passe de GPT‑5 valide la décision du modèle et génère une justification en langage naturel. Si le niveau de confiance dépasse le seuil, le système déclenche automatiquement l’application des mesures.
• Vérification humaine : si le seuil de confiance n’est pas atteint ou que les résultats des différentes étapes sont contradictoires, le dossier est envoyé à un analyste. Leurs décisions sont consignées et réinjectées dans la boucle RFT afin d’améliorer continuellement la cohérence du modèle.

Doppel avait déjà constaté des gains significatifs grâce à sa chaîne de détection d’origine améliorée par des LLM, mais dans les cas où une même menace pouvait être évaluée différemment selon l’analyste, la cohérence est devenue le facteur limitant.

Pour établir cette cohérence, Doppel a appliqué l’ajustement RFT en utilisant les données de ses analystes comme source de rétroaction. Chaque décision visant à classer un domaine comme étant malveillant, bénin ou ambigu est devenue un exemple noté. Ces exemples étiquetés ont permis d’entraîner le modèle à reproduire le jugement d’un expert, même sur les cas atypiques ambigus.

En étroite collaboration avec l’équipe d’ingénierie appliquée d’OpenAI, Doppel a créé des fonctions de notation qui évaluent non seulement la précision, mais aussi la qualité de l’explication, en récompensant les modèles qui raisonnent à la fois de manière correcte et claire. En transformant les décisions des analystes en données d’entraînement structurées, Doppel a montré que RFT pouvait rendre la détection automatisée plus cohérente et fiable.

L’ajustement des hyperparamètres et les évaluations itératives ont permis de rapprocher le niveau de cohérence du modèle à celui des humains. Mais pour Doppel, automatiser de bout en bout imposait aussi de rendre les décisions de l’IA compréhensibles sans le moindre délai.

Chaque blocage de domaine automatisé inclut donc désormais une justification générée par l’IA. Les clients comprennent ainsi immédiatement ce qu’il s’est passé, sans qu’il soit nécessaire de faire intervenir un analyste.

Cette visibilité permet de renforcer la confiance, un élément clé pour les utilisateurs de Doppel. Voir non seulement l’action effectuée, mais aussi sa justification, donne aux équipes la confiance nécessaire pour répondre rapidement et donne le contexte pour expliquer ces décisions en interne ou aux parties prenantes.

• Réduire la charge de travail des analystes de 80 %
• Réduction du temps de réponse aux menaces de plusieurs heures à quelques minutes
• Capacité de gestion des menaces triplée
• La plupart des menaces sont classées automatiquement

Ayant atteint une automatisation quasi complète pour les domaines de phishing et d’usurpation d’identité, Doppel applique désormais le même cadre piloté par des modèles à d’autres canaux à forte variabilité.

« Les domaines constituent sans doute le canal le plus complexe à gérer », affirme Rahul Madduluri. « Les signaux sont peu clairs, le contenu change sans arrêt et les menaces évoluent rapidement sur plusieurs surfaces en même temps. Si nous pouvons automatiser cela de bout en bout, nous pouvons le faire pour n’importe quoi : médias sociaux, publicités payantes, etc. »

Son prochain objectif consiste à multiplier par 10 la taille de son jeu de données RFT, à tester de nouvelles stratégies de notation et à utiliser GPT‑5 pour l’extraction de caractéristiques en amont. Ces évolutions permettront à Doppel de consolider son pipeline et de raisonner sur des indicateurs de menace plus complexes, plus tôt dans le processus.

À chaque itération, Doppel se rapproche d’un système capable de protéger ce qui est réel sur toutes les surfaces où la confiance est menacée.