Qu'est-ce que l'UEBA ?

L'analyse comportementale des utilisateurs et des entités (UEBA) permet de réduire les risques en identifiant les comportements atypiques et suspects.

Objectifs d’apprentissage

Cet article s'articule autour des points suivants :

  • Définir l'UEBA
  • Comprendre le fonctionnement de l'UEBA
  • Identifier les principaux scénarios d'utilisation et avantages de l'UEBA

Copier le lien de l'article

Qu'est-ce que l'UEBA ?

L'analyse comportementale des utilisateurs et des entités (UEBA) correspond à un ensemble de fonctionnalités de cybersécurité reposant sur l'analyse des données et l'apprentissage automatique et dont l'objectif est de détecter les comportements inhabituels et potentiellement dangereux d'utilisateurs, d'appareils et d'autres entités. Formulé par Gartner en 2015, le terme élargit le concept d'analyse comportementale des utilisateurs (UBA) auquel il ajoute le comportement d'appareils et d'entités, qui peuvent aller des serveurs et routeurs aux smartphones et aux appareils connectés à l'Internet des objets (IoT) .

L'UEBA détermine le comportement typique des utilisateurs et des appareils, identifie les écarts par rapport à ce comportement et attribue un score aux écarts en fonction du risque qu'ils font peser sur la sécurité. Par exemple, imaginons un employé qui se connecte généralement à sa messagerie cloud chaque matin à 8 h UTC-7 depuis San Francisco. Si ce même employé se connecte à une base de données client depuis Londres quelques heures plus tard, et commence à télécharger de grandes quantités d'informations sensibles et propriétaires, l'UEBA identifiera ce comportement comme anormal et potentiellement à haut risque.

En examinant un large éventail de comportements et en mettant en évidence les divergences par rapport aux comportements habituels, l'UEBA peut jouer un rôle essentiel dans les efforts de recherche des menaces et de gestion des risques déployés par une organisation. L'UEBA peut renforcer les fonctionnalités de sécurité existantes, venir en complément d'un modèle de sécurité Zero Trust et assister les entreprises dans leur maintien en conformité aux exigences réglementaires.

Comment fonctionne l'UEBA ?

Les fonctionnalités de l'UEBA commencent par établir une valeur de référence du comportement habituel des utilisateurs et des appareils en examinant un large éventail de données, telles que :

  • l'activité des utilisateurs : tentatives de connexion, accès aux fichiers, utilisation des applications et commandes système
  • le trafic réseau : les adresses IP de la source et de la destination, les ports et le protocole
  • données d'authentification : réussites et échecs des connexions

Ces données peuvent provenir de diverses plateformes ou outils, notamment des passerelles web sécurisées, services d'accès réseau Zero Trust, services de prévention des pertes de données (DLP), pare-feu, routeurs, VPN, solutions de gestion des identités et des accès (IAM), systèmes de détection et de prévention des intrusions (IDPS), logiciels antivirus et bases de données d'authentification, entre autres sources. Ces services et solutions de sécurité peuvent faire partie de plateformes SASE (service d'accès sécurisé en périphérie) et SSE (service sécurisé en périphérie).

Les fonctionnalités d'apprentissage automatique exploitent les données ingérées en continu et affinent la valeur de référence du comportement au fil du temps. (Cloudflare emploie une méthode similaire pour la gestion des bots, à savoir qu'elle évalue le comportement typique sur une application web puis compare les nouvelles interactions à cette valeur de référence pour identifier les bots.)

Lors de la collecte et de l'analyse des données, les modèles UEBA peuvent détecter tout comportement qui s'écarte des logiques normales ou des politiques de sécurité d'une organisation. Par exemple, ces fonctionnalités remarqueront si un utilisateur se connecte depuis un emplacement différent de l'endroit habituel ou à une heure inhabituelle. Ce comportement peut suggérer que les informations d'identification d'un employé ont été volées.

Lorsque les fonctionnalités de l'UEBA identifient un comportement inhabituel ou suspect, elles attribuent un score de risque à l'utilisateur en fonction du risque que le comportement représente pour l'organisation. Quelques tentatives de connexion infructueuses au cours de la journée de travail peuvent donner lieu à un faible score, il s'agit probablement d'un utilisateur ayant oublié un mot de passe. Cependant, d’autres écarts de comportement peuvent être symptomatiques d’une compromission de compte, d’une violation des politiques de l’entreprise ou d’une violation de données. Voici quelques exemples de comportements à risque susceptibles d'être déclenchés par des actions d'atténuation des risques liés à l'UEBA :

  • Trajet impossible : lorsqu'un utilisateur se connecte à partir de deux endroits différents dans un laps de temps au cours duquel le déplacement est physiquement impossible (par exemple, l'employée « Alice » à New York se connecte au système de paie de son entreprise, mais quelques minutes plus tard, se connecte à la suite de productivité cloud de son entreprise de Sydney)
  • Violations de la prévention des pertes de données (DLP) : lorsque des informations commerciales confidentielles, des informations d'identification personnelle ou d'autres mouvements de données sensibles sont mal gérés (par exemple, si un employé importe des données propriétaires de l'entreprise vers le chatbot d'une IA tierce)
  • Utilisation d'appareils à risque : par exemple, les employés en télétravail qui utilisent des ordinateurs portables ne disposant pas des dernières mises à jour du système d'exploitation ou encore l'utilisation de routeurs comportant des vulnérabilités sans correctif

Scénarios d'utilisation de l'UEBA

L'UEBA permet plusieurs scénarios d'utilisation tactiques et stratégiques.

  • Sécurité Zero Trust : l'architecture Zero Trust est un modèle de sécurité informatique qui vérifie l'identité de chaque personne et chaque appareil tentant d'accéder aux applications ou aux données sur un réseau d'entreprise. Les fonctionnalités de l'UEBA peuvent compléter (ou faire partie intégrante d'une solution d'accès réseau Zero Trust, ZTNA). Grâce aux fonctionnalités de l'UEBA, les équipes de sécurité peuvent voir qui accède au réseau, quels sont les appareils utilisés et si les utilisateurs et les appareils enfreignent des politiques. Les équipes peuvent accorder des accès en fonction du contexte d'une requête et de l'évaluation visant à déterminer si une requête est conforme aux comportements habituels des utilisateurs.
  • Point de terminaison compromis : l'acteur malveillant peut trouver des moyens d'infiltrer les appareils mobiles ou IoT, qui sont souvent moins protégés que les serveurs ou les applications de l'entreprise. En surveillant le comportement des appareils, l'UEBA peut identifier les appareils compromis avant qu'un acteur malveillant ne puisse pénétrer plus profondément dans le réseau de l'entreprise.
  • Menaces internes : l'analyse comportementale peut vous aider à identifier les acteurs malveillants internes, comme les utilisateurs qui tentent de s'attaquer à un réseau d'entreprise ou de dérober des données sensibles. Parallèlement, l'UEBA peut contribuer à déterminer à quel moment les informations d'identification ou les appareils d'un utilisateur ont été compromis : par exemple, dans le cadre d'une attaque par phishing ou lors d'un vol d'appareil. L'UEBA est capable de repérer les comportements atypiques, même lorsque des informations d'identification légitimes ont été utilisées.
  • Conformité réglementaire : une organisation peut mettre en œuvre l'UEBA pour rester en conformité avec les normes ou les réglementations, telles que les réglementations qui régissent la sécurité informatique et la confidentialité des données pour les services financiers ou les organisations de santé. En identifiant les comportements des utilisateurs et des appareils qui s'écartent des politiques ou des normes établies, l'UEBA a pu repérer les problèmes avant que l'entreprise ne mette en péril la conformité aux règles et réglementations essentielles.

Quels sont les avantages de l'UEBA ?

La mise en œuvre de l'UEBA peut bénéficier aux entreprises de plusieurs façons.

  • Réduction des risques : l'UEBA pouvant être appliquée à n'importe quels utilisateur et appareil connecté à un réseau, elle peut contribuer à réduire les risques même lorsque la surface d'attaque d'une organisation s'élargit. L'UEBA peut analyser les comportements des utilisateurs, que les employés travaillent de chez eux, du bureau ou d'ailleurs. Ce faisant, elle est également en mesure de surveiller le comportement des appareils n'importe où : par exemple, les serveurs et le routeur dans les datacenters des entreprises, les appareils IoT dans les usines ou les appareils médicaux dans les hôpitaux.
  • Détection améliorée : l'UEBA peut aider à identifier et à bloquer plusieurs types de menaces, notamment les menaces internes, les comptes compromis, les tentatives de connexion par force brute, les attaques par déni de service distribué (DDoS) et d'autres.
  • Moins de besoins d'analyses manuelles : les fonctionnalités d'apprentissage automatique et d'automatisation permettent d'économiser le temps que les équipes d'opérations de sécurité (SecOps) consacrent à l'analyse des données des journaux dans le but d'identifier les menaces légitimes. Les membres de l'équipe chargée de l'informatique et de la sécurité peuvent se concentrer sur d'autres tâches.
  • Conformité durable : l'UEBA permet aux organisations de maintenir la conformité en identifiant rapidement les comportements problématiques, avant qu'ils ne conduisent à des violations à grande échelle. Grâce à des mesures de surveillance et d'analyse en continu, les entreprises peuvent également simplifier leurs procédures d'audit et, potentiellement, s'épargner des efforts coûteux de réparation de grande ampleur.
  • Réduction des coûts : en identifiant rapidement les menaces, les entreprises peuvent éviter le coût élevé des violations.

Quels sont les inconvénients de l'UEBA ?

Bien que la mise en œuvre de l'UEBA présente de nombreux avantages potentiels, les entreprises doivent également être conscientes des éventuels inconvénients. Par exemple :

  • Coûts : certaines solutions UEBA autonomes peuvent être trop chères pour les petites et moyennes entreprises.
  • Complexité : si les fonctionnalités d'apprentissage automatique et d'automatisation réduisent le besoin d'analyse humaine des journaux d'événements, la définition de politiques et le traitement des alertes continuent d'exiger l'intervention d'analystes de sécurité.
  • Limitations : l'UEBA peut identifier un large éventail de menaces, mais elle doit encore être intégrée à d'autres fonctionnalités pour permettre une gestion des risques plus complète et unifiée.

En quoi l'UEBA est complémentaire du SIEM

Les fonctionnalités de l'UEBA complètent les solutions de gestion des événements et des informations de sécurité (SIEM) avec les fonctionnalités suivantes :

  • Observation des utilisateurs : tandis que le SIEM analyse les événements, l'UEBA examine le comportement des utilisateurs et des appareils, ce qui permet d'évaluer les risques pour les utilisateurs et de détecter les menaces internes.
  • Suivi des menaces à long terme : le SIEM identifie les événements de sécurité en temps réel. L'UEBA parfait cette tâche en identifiant les menaces sur le long terme, au gré de leur évolution, grâce à la surveillance et à l'évaluation des comportements en cours.
  • Apprentissage et adaptation en continu : l'UEBA utilise l'analyse comportementale et l'apprentissage automatique pour faciliter l'apprentissage et l'adaptation au fil du temps. Par conséquent, les modèles de l'UEBA peuvent améliorer les fonctionnalités SIEM grâce à l'identification des nouvelles menaces émergentes, sans qu'aucune intervention humaine ne soit nécessaire.

La combinaison des fonctionnalités SIEM et UEBA peut améliorer la visibilité en matière de sécurité et renforcer la capacité d'une entreprise à identifier et à bloquer les menaces, tout en préservant la conformité. Plusieurs solutions SIEM intègrent des fonctionnalités UEBA.

UEBA et EDR

Les solutions UEBA et EDR (détection/intervention sur les points de terminaison) présentent plusieurs similitudes. Les deux surveillent une série de points de terminaison, dont les ordinateurs de bureau, les ordinateurs portables, les smartphones et les appareils IoT. Par ailleurs, les solutions EDR, à l'instar de l'UEBA, peuvent utiliser l'analyse comportementale et l'apprentissage automatique pour détecter les comportements atypiques et suspects.

Cependant, l'UEBA peut également compléter et enrichir les fonctionnalités des solutions EDR en analysant les comportements des utilisateurs au point de terminaison.

Cloudflare prend-elle en charge l'UEBA ?

L'UEBA est un élément clé de la suite Cloudflare for Unified Risk Posture, une suite de fonctionnalités qui assure la convergence des solutions de sécurité SASE et WAAP (Sécurité des applications web et des API) en une plateforme unique.

Cloudflare permet aux entreprises de mettre en œuvre des processus automatisés et dynamiques d'évaluation, d'échange et d'application des risques sur l'ensemble de leur surface d'attaque en pleine expansion, tout en allégeant la complexité de gestion.

En savoir plus sur Cloudflare for Unified Risk Posture.