Créer une empreinte digitale numérique grâce à l’analyse comportementale des utilisateurs

Chaque être humain est différent. C’est en s’appuyant sur les différences de modèles comportementaux que la sécurité informatique entend désormais détecter de manière efficace et en temps réel les activités criminelles provenant de l’intérieur de l’entreprise.

Des profils utilisateurs basés sur leur empreinte digitale numérique

Grâce à l’empreinte digitale numérique que les utilisateurs laissent derrière eux lorsqu’ils se connectent sur un réseau ou lorsqu’ils accèdent à des fichiers ou systèmes, il est désormais possible de créer un profil très précis de chaque individu. Ce profil représente le comportement « normal » de l’individu et son analyse instantanée et continue va permettre d’identifier en temps réel tout comportement « anormal ». Comportement qui aurait auparavant rapidement disparu sous le radar des outils de détection installés.

A l’heure où les entreprises doivent trouver des moyens plus efficaces pour se protéger des menaces internes à leur propre organisation, l’analyse comportementale des utilisateurs apporte une solution inespérée. Selon une étude que nous avons menée, 70% des RSSI considèrent en effet que la menace interne représente le plus de risques pour leur entreprise (vs les cyber-attaques venant de l’extérieur de l’entreprise).

Dans les faits, ces attaques sont effectivement de plus en plus fréquentes et dangereuses et résultent généralement de l’utilisation malveillante de comptes dits privilégiés ou bien tout simplement d’une erreur d’utilisation de ces comptes à hauts privilèges (comptes ayant des accès importants sur le réseau dans le cadre de missions de maintenance, d’administration de systèmes, etc.). Ces menaces sont générées par des employés mais également des partenaires ou des prestataires extérieurs. Et pour l’entreprise, se protéger face à ce type de menaces est particulièrement complexe : rien ne sert d’élever les murs de protection autour du périmètre de son réseau puisque la menace est déjà à l’intérieur et que les hackers utilisent des comptes utilisateurs compromis ou sont parvenus à obtenir des identifiants d’utilisateurs privilégiés pour accéder au réseau de manière visiblement légitime.

L’analyse comportementale peut combler cette lacune, en permettant d’identifier les comportements à risques pour prévenir les failles avant qu’elles ne se produisent.  

Créer un profil unique grâce aux algorithmes de machine learning

Chaque utilisateur laisse un chemin de preuves derrière lui lorsqu’il accède au réseau. Ce chemin de preuves apparaît dans les logs, dans les pistes d’audit, et à plusieurs autres endroits dans l’infrastructure. Ces données précieuses peuvent être mises à profit pour construire une base de référence sur ce qui est « normal » pour un utilisateur particulier. Exemple : à quelle période de la journée l’utilisateur sont actifs, à quels services et applications il se connecte et comment il les utilise, etc. Différents algorithmes de machine learning vont ensuite pouvoir créer des profils personnels - tout en continuant à enregistrer les activités (log) – puis comparer les activités de chaque utilisateur en continu par rapport à ses comportements habituels, pour détecter les comportements anormaux en temps réel.

Ce processus basé sur la création d’une base de référence et la comparaison en continu de l’activité sur le réseau avec cette base, devient incontournable pour bénéficier d’une sécurité efficace en interne. Concrètement, un hacker utilisant un compte piraté - ou un utilisateur interne malveillant - va interagir différemment avec le système qu’un utilisateur normal. Dès que l’activité suspecte est mise en lumière, les outils d’UBA sont capables d’avertir le Centre de supervision de la sécurité de l’entreprise (le SOC) qu’une attaque est en cours, et cela avant qu’elle n’ait pu engendrer une faille de données. 

Les solutions d’UBA doivent utiliser plus algorithmes de machine learning simultanément, pour créer le profil complet de chaque utilisateur. C’est pourquoi, il faut du contexte pour créer une image complète de ce qui se passe concrètement et éviter de déclencher des faux positifs. Les informations isolées – comme les périodes de la journée où l’utilisateur se connecte – sont intéressantes, mais il faut une image plus complète avec des informations telles que les lieux où l’utilisateur se connecte, à quoi il accède, afin de déclencher l’alarme en cas d’activités suspectes ou de déclencher une investigation plus poussée.

Mais quels sont ces comportements de travail typiques surveillés par les outils d’UBA ?

Les horaires, la principale source d’informations 

Les employés peuvent parfois se plaindre d’un cadre de travail routinier, avec des horaires non flexibles, etc. mais cette routine fournit des informations ayant beaucoup de valeur sur lesquelles se base l’UBA. La routine est ici la clé : chaque jour les personnes se lèvent à la même heure et arrivent à peu près à la même heure au travail, etc. Elles vont ensuite réaliser un travail assez similaire, déjeuner à la même heure puis quitter le travail chaque soir à peu près à la même heure. Ainsi toute déviation de ce schéma classique et habituel de la part d’un utilisateur va pointer vers un comportement inhabituel et potentiellement à risque.

Les accès aux applications 

L’analyse comportementale va aussi examiner les applications utilisées par un employé – la plupart des employés utilisent quotidiennement les mêmes applications. Un exemple concret : Si un employé utilisant uniquement Word ou Excel, lance l’application SAP de l’entreprise, cela génère automatique un drapeau rouge pour les équipes de sécurité. Celles-ci vont ainsi directement vérifier quels fichiers ont été ouverts ou téléchargés, etc. De la même manière, si un employé du service IT accède aux fiches de paye de l’entreprise, habituellement uniquement utilisées par le département RH, cela va générer une alerte « activité suspecte » vers le SOC.

La plupart des individus utilisent les mêmes terminaux et se connectent de ces terminaux du même endroit pour leur travail. Un individu se connectant à distance, alors qu’il est basé en permanence dans un bureau de l’entreprise, ou bien d’un terminal qui n’est pas reconnu par le réseau, cela va également générer une anomalie remontée à la sécurité.

Les données biométriques

Ces distinctions dans le comportement peuvent être aussi extrêmement subtiles : la vitesse de frappe sur le clavier ou encore les différences dans l’utilisation de la souris de PC, etc. En effet, ces comportements sont uniques pour chaque individu et ne peuvent être copiés. Si un hacker ou un utilisateur malveillant utilise une session qui n’est pas la sienne, la façon de taper sur le clavier ou d’utiliser la souris sera forcément différente et pourra être détectée par la solution d’UBA.

Dans le futur, nous pourrions être en mesure d’utiliser ces données de manière encore plus avancée pour surveiller les activités et identifier les comportements anormaux. Et pour fournir un profil utilisateur précis, l’UBA pourrait tout aussi bien utiliser des données comportementales telles que la façon dont un individu utilise et déplace sa souris, sa fréquence cardiaque ou l’analyse de ses ondes cérébrales.

Les cybercriminels utilisent des moyens de plus en plus sophistiqués pour infiltrer les réseaux, ou obtenir des identifiants d’utilisateurs. Bénéficier de données biométriques va devenir particulièrement précieux pour détecter et prévenir toutes failles de données. Il est simplement important de bien choisir ses outils car la qualité des empreintes digitales numériques analysées dépend en grande partie de la puissance des outils d’UBA utilisés par l’entreprise.

Autour du même sujet