tech 6 min • intermediate

L'analyse des graphes de Gotham et la sécurité au niveau des objets renforcent l'infrastructure d'enquête d'ICE HSI

À l'intérieur de l'architecture FALCON‑SA et ICM : fusion des données, résolution d'entités, traçabilité et workflows avec intervention humaine qui soutiennent des enquêtes complexes

Par AI Research Team
L'analyse des graphes de Gotham et la sécurité au niveau des objets renforcent l'infrastructure d'enquête d'ICE HSI

Gotham Graph Analytics et sécurité au niveau objet alimentent la pile d’enquêtes de l’ICE HSI

Les enquêtes aujourd’hui reposent sur la connexion de personnes, lieux et événements répartis dans des dizaines de systèmes, chacun avec ses propres règles et risques. Au sein des Investigations de Sécurité Intérieure (HSI), ce défi est relevé par une architecture à deux niveaux construite sur Gotham de Palantir: FALCON Search & Analysis (FALCON‑SA) pour la fusion de données et l’analyse, et Investigative Case Management (ICM) pour le workflow des preuves et la responsabilité. À mesure que les normes de gouvernance de l’IA fédérales se renforcent et que la jurisprudence sur la vie privée évolue, ces plateformes constituent une étude de cas révélatrice sur la façon dont des analyses avancées, la sécurité au niveau objet, et l’auditabilité immuable peuvent soutenir des travaux d’enquête complexes sans automatiser le jugement final.

Cette exploration technique en profondeur explique comment FALCON‑SA et ICM se complètent l’un l’autre; comment leurs pipelines d’intégration de données, leurs ontologies configurables, et leur résolution d’entités multi-source fonctionnent; comment les analyses graphes et géospatiales alimentent des hypothèses; et comment la sécurité au niveau objet, la lignée, et l’auditabilités permettent la supervision et la reproductibilité. Elle met également en lumière les compromis de conception — performance, actualité, et liens erronés — et décrit les modèles de mise en œuvre pour les tableaux de bord, les workflows, la posture dans le cloud, et la gestion du changement à grande échelle.

Détails d’architecture/implémentation

Un système à deux niveaux: analyse en amont, gestion des cas en aval

FALCON‑SA fonctionne comme l’environnement analytique consolidé de HSI: un espace de travail gouverné pour chercher, corréler, et analyser des données multi-sources afin de générer des pistes et développer des hypothèses. ICM est le système officiel d’enregistrement des cas, où les agents organisent les enquêtes, suivent les preuves et la chaîne de garde, et intègrent les résultats analytiques dans les dossiers documentés des cas. Les plateformes sont intentionnellement découplées dans l’autorité décisionnelle. FALCON‑SA met en avant les relations, les motifs, et le contexte géospatial; ICM capture les jugements humains, l’approbation des superviseurs, et les actions opérationnelles. Cette séparation renforce la posture politique selon laquelle les analyses informent mais n’automatisent pas l’adjudication ou les décisions finales.

Les flux de données reflètent cette division du travail. FALCON‑SA ingère et corrèle des ensembles de données des composants du DHS, des partenaires inter-agences, et des sources commerciales et open-source approuvées sous des accords formels. Les sorties — liens, entités, chronologies, et cartes — sont exportées ou référencées dans ICM pour soutenir les récits de cas, les inventaires de preuves, et les étapes d’enquête. Chaque système applique des contraintes d’accès basées sur les rôles et des politiques conformes aux avis des dossiers gouvernants et aux accords d’interconnexion.

Intégration de données et ontologies configurables pour des sources hétérogènes

Les pipelines d’ingestion accommodent les dossiers structurés d’application de la loi, les données biométriques, de voyage et de frontière, les métadonnées de communication et financières, et d’autres ensembles de données approuvés. Les médias sociaux et autres données en ligne sont restreints par la politique générale du DHS qui exige des approbations explicites, une formation, et une limitation de l’usage pour une utilisation opérationnelle. À travers les sources, l’ontologie configurable de Gotham permet aux administrateurs HSI de définir et d’évaluer les types d’objets (personnes, organisations, véhicules, événements, communications), leurs attributs, et les relations autorisées. Cette abstraction aligne chaque ensemble de données sur un graphe commun sans aplatir la provenance.

Les balises politiques et les métadonnées d’objets lient la gouvernance aux données. Lorsque les enregistrements entrent, ils héritent des balises reflétant les règles du système d’origine, les limitations d’utilisation, les contraintes de conservation, et la sensibilité. Ces balises voyagent avec les objets et les arêtes, permettant un contrôle d’accès fin et une application en aval à l’intérieur de FALCON‑SA et d’ICM. Critiquement, les champs de provenance exposent les identificateurs de source originaux et les horodatages afin que les analystes puissent inspecter la lignée d’un résultat joint et décider s’il faut le corroborer ou l’exclure.

Résolution d’entités et désambiguïsation à travers des graphes multi-sources

La résolution d’entités est au cœur de la proposition de valeur de FALCON‑SA. La plateforme corrèle les enregistrements faisant référence au même sujet réel à travers des systèmes disparates, puis signale les conflits potentiels pour examen. Étant donné que la correspondance multi-sources peut produire à la fois des faux positifs et des faux négatifs, le modèle d’exploitation nécessite vérification et corroboration — surtout lorsque les données commerciales ou agrégées pourraient être obsolètes ou inexactes. La révision par les superviseurs et les points de contrôle des workflows dans ICM renforcent cette sauvegarde avant d’entreprendre des actions à fort impact.

Les mesures de performance quantitatives — précision, rappel, taux de correspondance erronée — ne sont pas publiquement disponibles pour les déploiements de HSI. Au lieu de cela, les contrôles se concentrent sur l’intégrité des processus: inspection de la provenance, corroboration inter-sources, et approbation par les superviseurs. Cette approche de l’humain dans la boucle est intentionnelle compte tenu du contexte d’enquête et des risques connus d’erreur et de boucles de rétroaction lorsque les résultats passés façonnent les priorités futures.

Analyses de graphe et géospatiales: relations, mouvements, hypothèses

Le modèle de graphe de Gotham permet aux analystes de parcourir les personnes, les organisations, les flux financiers, les communications, les véhicules, les lieux, et les événements. L’analyse de liens peut révéler des adresses partagées, des identifiants communs, ou des interactions séquentielles qui suggèrent un réseau ou un stratagème. Les outils géospatiaux intègrent cartes, chronologies, et modèles de mouvement, permettant de construire des scénarios autour de routes, de co-localisations, ou de proximité avec des événements critiques. Les systèmes de lecteurs de plaques d’immatriculation sont régis par des politiques spécifiques de minimisation, d’audit, et de conservation; lorsqu’ils sont dûment autorisés, ces ensembles de données aident à reconstituer les mouvements et associations de véhicules.

Les limites légales façonnent la pratique géospatiale. La sensibilité autour des informations de localisation historiques — soulignée par la jurisprudence de la Cour Suprême — renforce la nécessité d’un processus légal approprié, de la nécessité, et de la minimisation avant d’accéder à ou de mettre en œuvre des analyses liées à la localisation. La provenance et l’étiquetage de FALCON‑SA fournissent un pilier technique pour appliquer ces contraintes dans la couche analytique et pour démontrer la conformité lors de révisions ultérieures.

Sécurité au niveau objet et balises politiques: du principe à l’application

La sécurité au niveau objet de Gotham applique le besoin de connaître au niveau le plus granulaire: chaque objet et arête peut porter des politiques d’accès liées aux rôles des utilisateurs, aux attributs, et aux restrictions de source. Ce modèle est indispensable lorsqu’on combine des enregistrements du DHS, d’inter-agence, et commerciaux sous des autorités et utilisations routinières variées. Dans FALCON‑SA, les balises politiques contrôlent la visibilité des objets et des champs spécifiques; dans ICM, elles gouvernent ce qui peut être attaché à un cas, qui peut le voir, et ce qui peut être partagé. Parce que les balises encodent la provenance et le but, elles servent également de représentation exécutoire par machine des règles de confidentialité et de dossier.

Lignée, provenance, reproductibilité, et inspection de preuves

La lignée n’est pas une réflexion annexe; c’est une fonctionnalité première. Les analystes peuvent explorer d’une vue fusionnée jusqu’aux enregistrements contributeurs originaux et transformations. Cette capacité soutient la reproductibilité — essentielle lorsqu’une hypothèse devient une preuve — et permet aux superviseurs et avocats de valider la suffisance et la légalité de la traçabilité des données. Dans ICM, le contexte préservé, la chaîne de garde, et le lien avec les systèmes sources aident à garantir que les étapes d’enquête peuvent être reconstituées et défendues.

Journaux d’audit immuables et instrumentation de workflow

Tant FALCON‑SA qu’ICM s’appuient sur des journaux d’audit immuables pour suivre l’accès, les requêtes, les exportations, et les modifications. Ces journaux soutiennent la surveillance interne, les enquêtes sur les utilisations abusives potentielles, et la responsabilité en aval. L’instrumentation des workflows capture les points de décision clé — création de piste, étapes de vérification, approbations supervisées — afin que les revues puissent évaluer si les normes probatoires et les exigences politiques ont été respectées. La combinaison de sécurité au niveau objet, de provenance, et d’audit immuable crée un plan de contrôle défendable aligné avec les attentes de confidentialité et de responsabilité du DHS.

L’humain dans la boucle par conception: pistes, vérification, et décisions

À travers la pile, les sorties sont présentées comme pistes d’enquête ou hypothèses, non comme des déterminations. Les tableaux de bord et les requêtes mettent en avant des motifs basés sur les critères définis par l’enquêteur et les directives politiques; les agents sont censés corroborer avec les enregistrements sous-jacents et documenter leur raisonnement dans ICM. Les superviseurs passent en revue et approuvent les étapes à fort impact, renforçant le principe selon lequel la technologie assiste mais ne remplace pas le jugement humain. Ce schéma imprègne la résolution d’entités, l’analyse de liens, et les workflows de priorisation.

Considérations de performance: échelle, actualité, et liens erronés

À grande échelle, deux dynamiques dominent: l’actualité des données et la qualité des liens. L’actualité est importante parce que les enregistrements obsolètes dans les sources commerciales ou agrégées peuvent propager des erreurs; la politique et la pratique insistent donc sur la validation contre des systèmes d’autorité autant que possible. Les liens erronés surgissent lorsque des identifiants partiels, des adresses partagées, ou des appareils communs confondent des individus ou entités distincts. Les atténuations incluent des seuils de correspondance conservateurs, une corroboration multi-facteurs, et des étapes de vérification explicites avant l’utilisation opérationnelle. Les benchmarks systèmes spécifiques ne sont pas publiquement disponibles; l’accent est plutôt mis sur les exigences de test, d’évaluation, et de monitoring maintenant mandatées à travers les usages fédéraux de l’IA lorsqu’applicable.

Les boucles de rétroaction représentent un risque subtil: une priorisation réglée sur une application passée peut amplifier des motifs historiques plutôt que le risque en temps réel. La gouvernance exige maintenant que les agences inventorient ces analyses, évaluent les impacts, et surveillent les effets discriminatoires là où elles rencontrent la définition politique de l’IA. Pour les configurations de HSI, cela se traduit par la documentation de la logique des tableaux de bord et des règles métier, le suivi des changements, et la mesure des résultats là où c’est faisable.

Tableaux de bord, règles métier, et priorisation sans adjudication automatisée

Les analystes assemblent des tableaux de bord qui filtrent et classent des entités ou événements en fonction des critères définis par l’enquêteur, des directives politiques, et des besoins de mission. Ce ne sont pas des scores de risque qui déclenchent directement des actions; plutôt, ils ordonnent la file d’enquête et mettent en lumière là où la corroboration peut être justifiée. Un étiquetage clair, des liens vers la provenance, et une exploration en un clic jusqu’aux enregistrements source réduisent la dépendance excessive à des classements abstraits et aident à préserver l’explicabilité.

Posture cloud et déploiement: continuité et surveillance

Les déploiements Palantir de HSI s’exécutent sur un service cloud autorisé FedRAMP qui met en œuvre des bases de contrôle NIST et un monitoring continu. Dans la gestion des risques du DHS, les systèmes obtiennent des autorisations de fonctionnement, s’intègrent à la réponse aux incidents de l’agence, et subissent une évaluation continue. Les journaux immuables, les permissions fines, et le chiffrement fournissent une défense en profondeur; opérationnellement, des contrôles de version forts et une assurance qualité restent essentiels dans un environnement à haut volume où une seule erreur de configuration peut exposer des données sensibles. Les détails des violations spécifiques aux systèmes rapportés publiquement sont rares, mais la leçon plus large à travers les systèmes du DHS est claire: les garde-fous doivent s’étendre des contrôles de plateforme à la rigueur des processus.

Dette technique et gestion du changement pour l’analyse à grande échelle

Dans une plateforme configurable, les ontologies, règles de correspondance, et la logique des tableaux de bord évoluent. Sans une gestion disciplinée du changement, cette flexibilité devient une dette. La meilleure pratique dans ce contexte inclut: la versionnement des ontologies; le maintien des journaux de changement de configuration; la documentation des justifications des règles métier; et l’alignement des mises à jour avec les plans de test, d’évaluation, et de surveillance. Le régime fédéral émergent pour la gouvernance de l’IA des agences rend ces attentes plus explicites, exigeant des inventaires, des évaluations d’impact, et une surveillance continue des performances pour les utilisations impactant la sécurité — des standards qui correspondent bien aux configurations d’analyse de liens et de priorisation.

Tableaux de comparaison

FALCON‑SA vs. ICM: rôles, contrôles, et sorties

DimensionFALCON‑SAICM
Rôle principalRecherche, corrélation, et analyse consolidéesGestion officielle des cas d’enquête
Objets principauxGraphe multi-source: personnes, organisations, véhicules, événements, communicationsCas, dossiers de preuves, chaîne de garde, tâches
Locus décisionnelGénération de pistes et hypothèsesDécisions humaines, approbations, et documentation opérationnelle
Focus de gouvernanceFusion de données avec provenance, balises politiques, et sécurité au niveau objetIntégrité probatoire, révision par les superviseurs, tenue des dossiers
SortiesPistes, diagrammes de liens, chronologies, cartesDossiers de cas, inventaires de preuves, approbations, pistes d’audit
Contrôle d’accèsSécurité d’objet balisée par politique fineAccès aux cas et aux dossiers basé sur les rôles avec application de la politique
AuditabilitéJournaux immuables de requêtes et d’accèsJournaux de workflow immuables, d’actions, et d’accès

Capacités analytiques, risques, et garde-fous

CapacitéRisques typiquesGarde-fous intégrés dans la pile
Résolution d’entitésFausse correspondance; conflation d’identitésInspection de provenance, corroboration multi-source, révision par les superviseurs
Analyse de liensAssociations erronées; variables proxiesUtilisation de données liées à des politiques; exploration jusqu’à la source; validation humaine
Analyse géospatialeVie privée de localisation; collecte excessiveProcessus légal, minimisation, limites de conservation, étiquetage de provenance
Tableaux de bord de priorisationBoucles de rétroaction; dépendance excessiveHumain dans la boucle; critères transparents; aucune adjudication automatisée
Ingestion de donnéesVieillissement; qualité incohérenteSORNs/accords alignés sur la source; minimisation des données; accès basé sur les rôles

Meilleures pratiques

La mise en œuvre d’enquêtes activées par Palantir à grande échelle nécessite une fusion disciplinée des contrôles de plateforme et des garde-fous procéduraux. Les pratiques suivantes alignent les capacités techniques avec les attentes politiques et les réalités d’enquête:

  • Commencez par la gouvernance dans l’ontologie. Encodez les règles des systèmes sources, les usages routiniers, et les contraintes de conservation comme des balises politiques et des métadonnées d’objet dès le moment de l’ingestion. Cela garantit que le besoin de connaître est appliqué au bord de chaque requête et exportation.
  • Appliquez la minimisation des données et la limitation de l’objectif. Ingestez uniquement les ensembles de données nécessaires pour les objectifs d’enquête définis; restreignez les médias sociaux et autres contenus open-source aux utilisateurs approuvés et formés opérant sous des périmètres explicites.
  • Faites de la provenance votre vue par défaut. Concevez des tableaux de bord avec une exploration jusqu’aux enregistrements sous-jacents à un clic. Exigez la corroboration des systèmes d’autorité lorsque des données commerciales ou agrégées sont utilisées.
  • Institutionnalisez la désambiguïsation. Utilisez des workflows structurés pour résoudre les conflits d’identité et les chevauchements à travers les cas, avec une justification documentée et des approbations supervisées capturées dans ICM.
  • Gardez les humains dans la boucle — et rendez-la visible. Étiquetez les tableaux de bord comme des pistes, non des déterminations. Exigez la vérification probatoire avant les actions opérationnelles, avec des justifications prêtes pour l’audit.
  • Surveillez la performance et le biais, même lorsque les métriques sont difficiles. Là où les analyses rencontrent la définition politique de l’IA, implémentez des plans de test, d’évaluation, et de surveillance, suivez les changements de configuration, et passez régulièrement en revue les résultats pour des impacts disparates.
  • Traitez les données géospatiales comme sensibles par défaut. Appliquez rigoureusement le processus légal et la minimisation; conservez uniquement ce qui est nécessaire et documenté.
  • Exploitez de manière proactive les journaux d’audit immuables. Instrumentez les workflows pour que les superviseurs puissent tracer décisions, approbations, et accès aux données. Utilisez les journaux pour dissuasion et apprentissage post-incident.
  • Alignez la posture cloud avec une gestion continue des risques. Maintenez des autorisations de fonctionnement à jour, intégrez à la réponse aux incidents, et effectuez des tests rigoureux sur les contrôles de version et flux de travail de manipulation des données.
  • Gérez le changement de configuration comme du code. Versionnez les ontologies et règles métiers, maintenez des journaux de changement liés à des révisions de supervision, et coordonnez les mises à jour avec les activités TEV/M. 🧭

Conclusion

La pile activée par Palantir du HSI montre comment les enquêtes modernes peuvent exploiter la fusion de données, le raisonnement graphe, et le contexte géospatial sans abandonner les décisions à l’automatisation. FALCON‑SA et ICM divisent les responsabilités clairement: analyse en amont, workflow probatoire en aval, avec sécurité au niveau objet, provenance, et auditabilité immuable les liant ensemble. L’architecture s’aligne avec les principes de confidentialité et de responsabilité à travers les balises politiques, l’accès basé sur les rôles, et la journalisation complète, tandis que les pratiques de l’humain dans la boucle et la révision par les superviseurs ancrent le jugement opérationnel. Ce qui reste est le travail difficile de mesurer la performance et l’équité, de maintenir la fraîcheur et la qualité des liens à grande échelle, et d’opérationnaliser une gestion rigoureuse du changement sous une gouvernance fédérale de l’IA en évolution.

Principaux enseignements à retenir:

  • Le design à deux niveaux maintient séparés l’analyse et l’adjudication, préservant la prise de décision humaine et l’intégrité probatoire.
  • Les ontologies configurables, les balises politiques, et la sécurité au niveau objet appliquent une gouvernance granulaire, alignée sur les sources, dans un graphe multi-source.
  • La provenance, la lignée, et les journaux immuables font de l’analyse une démarche explicable, reproductible, et révisable.
  • Les tableaux de bord de priorisation guident les charges de travail sans automatiser les déterminations; la vérification et la supervision ferment la boucle.
  • La surveillance continue, TEV/M, et une gestion disciplinée des configurations sont essentielles pour contrôler la performance, le biais et la dérive.

Étapes concrètes pour les praticiens:

  • Cartographiez chaque ensemble de données vers des utilisations justifiées par nécessité et encodez les contrôles comme des balises politiques à l’ingestion.
  • Établissez des playbooks de désambiguïsation et de vérification avec des points de contrôle supervisés documentés dans ICM.
  • Mettez en place des plans de test et de surveillance pour les analyses qui influencent la priorisation; maintenez des journaux de changement de configuration.
  • Renforcez les contrôles cloud et de version avec des exercices ciblés par équipe rouge et des examens réguliers des journaux d’audit.

En regardant vers l’avenir, la convergence des analyses graphes, de la sécurité au niveau objet et de la gouvernance fédérale de l’IA offre une feuille de route pour des systèmes d’enquête à la fois puissants et responsables. La prochaine frontière sera de transformer les sauvegardes axées sur les processus en des résultats de performance et d’équité mesurables et suivis — sans compromettre le jugement humain au cœur des travaux d’enquête complexes.

Sources & Références

www.dhs.gov
DHS/ICE PIA-055: FALCON Search & Analysis (FALCON-SA) Details FALCON‑SA’s purpose, data ingestion, governance controls, provenance, auditing, and emphasis on human-in-the-loop analytics.
www.dhs.gov
DHS/ICE PIA-039: Investigative Case Management (ICM) Explains ICM’s role as the official case system, evidentiary workflows, supervisory review, and integration of analytical outputs.
www.palantir.com
Palantir Gotham platform overview Describes the platform capabilities—object-level security, graph and geospatial analytics, lineage, and auditing—that underpin FALCON‑SA and ICM.
www.dhs.gov
DHS Fair Information Practice Principles (FIPPs) Provides the privacy and accountability principles operationalized via RBAC, policy tags, and auditing in the systems.
www.dhs.gov
DHS/ALL/PIA-048: DHS Use of Social Media for Operational Use Sets governance for social media data collection, approvals, scope limitation, and training relevant to ingestion and tagging.
www.dhs.gov
DHS/ICE PIA-045: ICE HSI Use of License Plate Reader (LPR) Systems Details LPR data use, minimization, auditing, and retention considerations tied to geospatial analytics practices.
marketplace.fedramp.gov
FedRAMP Marketplace: Palantir Federal Cloud Service (PFCS) Confirms the platform’s FedRAMP authorization, supporting statements about cloud posture, controls, and continuous monitoring.
www.whitehouse.gov
Executive Order 14110: Safe, Secure, and Trustworthy Development and Use of AI (2023) Frames federal AI governance expectations that inform inventories, impact assessments, and safeguards relevant to investigative analytics.
www.whitehouse.gov
OMB M‑24‑10: Advancing Governance, Innovation, and Risk Management for Agency Use of AI (2024) Establishes requirements for testing, evaluation, and monitoring (TEV/M) applicable to prioritization and targeting configurations.
www.dhs.gov
DHS Artificial Intelligence resources and governance Shows DHS AI governance structures guiding component compliance with federal AI risk management expectations.
www.dhs.gov
DHS Privacy Office Annual Report (latest available) Provides context on DHS privacy oversight activities, auditing, and incident reporting practices relevant to accountability.
www.dhs.gov
DHS Privacy Act resources (rights and exemptions) Explains Privacy Act rights, exemptions, and redress constraints that shape explainability and contestability in law enforcement systems.
www.supremecourt.gov
Carpenter v. United States, 585 U.S. ___ (2018) Clarifies legal boundaries for accessing sensitive historical location data, informing geospatial analytics practices.
www.dhs.gov
DHS/ICE-009 External Investigations System of Records Notice (SORN) Provides the records governance framework for investigative data, including sharing, retention, and law enforcement exemptions.

Advertisement