Analyse du comportement des utilisateurs et des entités

Un article de Wikipédia, l'encyclopédie libre.

Cet article est une ébauche concernant la sécurité informatique.

Vous pouvez partager vos connaissances en l’améliorant (comment ?) selon les recommandations des projets correspondants.

L'analyse du comportement des utilisateurs et des entités utilisateurs (ou UEBA en anglais)[1] est l'analyse du comportement des utilisateurs, des sujets, des visiteurs, etc. dans un but spécifique[2]. Il permet aux outils de cybersécurité de construire un profil de l'activité normale de chaque individu, en examinant les modèles de comportement humain, puis en identifiant les écarts (ou anomalies) par rapport à ce profil, qui indiquent potentiellement la compromission d'un système[3],[4],[5].

Histoire[modifier | modifier le code]

Invention de l'UBA[modifier | modifier le code]

Selon Johna Till Johnson de Nemertes Research, les systèmes de sécurité fournissent tellement d'informations qu'il est difficile de découvrir des informations indiquant réellement une potentielle veritable attaque. Les outils d'analyse aident à donner un sens à la grande quantité de données recueillies par SIEM, IDS/IPS, les journaux système et d'autres outils. Les outils UBA utilisent un type spécialisé d'analyse de la sécurité qui se concentre sur le comportement des systèmes et des personnes qui les utilisent. La technologie UBA a d'abord évolué dans le domaine du marketing, pour aider les entreprises à comprendre et à prévoir les habitudes d'achat des consommateurs . Mais il s'avère que l'UBA peut également être extrêmement utile dans le contexte de la sécurité[6].

Evolution vers l'UEBA[modifier | modifier le code]

Le E dans UEBA étend l'analyse pour inclure les activités de l'entité qui ont lieu mais qui ne sont pas nécessairement directement liées aux actions spécifiques d'un utilisateur, mais qui peuvent toujours être corrélées à une vulnérabilité, une reconnaissance, une intrusion ou un exploit[2].

Le terme UEBA est inventé par Gartner en 2015. L'UEBA suit l'activité des appareils, des applications, des serveurs et des données. Les systèmes UEBA produisent plus de données et produisent des rapports plus poussés que les systèmes UBA[1].

Différence avec un EDR[modifier | modifier le code]

Les outils UEBA diffèrent des capacités des outils EDR en ce sens que l'UEBA se concentre analytiquement sur l'utilisateur, tandis que l'EDR se concentre analytiquement sur l'« endpoint »[3].

Limites[modifier | modifier le code]

Les utilisateurs n'ont pas toujours de comportement moyen, et ce, spécialement les commerciaux se connectant depuis de nombreux lieux différents. Les implémentations d'UEBA sans liens créées avec la Gestion des identités et des accès retireraient la composante « utilisateur » de l'UEBA et donneraient souvent lieu à des échecs[7].

Voir aussi[modifier | modifier le code]

Références[modifier | modifier le code]

  1. a et b (en) « What is User (and Entity) Behavior Analytics (UBA or UEBA)? », Security (consulté le )
  2. a et b (en) Mike Chapple, James Michael Stewart, Darril Gibson, (ISC)2 CISSP Certified Information Systems Security Professional Official Study Guide, 9th, , 49 p. (ISBN 978-1-119-78623-8)
  3. a et b (en) Mike Chapple, James Michael Stewart, Darril Gibson, (ISC)2 CISSP Certified Information Systems Security Professional Official Study Guide, 9th, , 1009 p. (ISBN 978-1-119-78623-8)
  4. (en) « Market Guide for User Behavior Analytics », sur Gartner (consulté le )
  5. (en) « What is SIEM? | A Definition from TechTarget.com », sur Security (consulté le )
  6. User behavioral analytics tools can thwart security attacks
  7. (en) Nathan EddyContributing Writer et Dark ReadingDecember 27, « How to Get the Most Out of UEBA », sur Dark Reading, (consulté le )
Ce document provient de « https://fr.wikipedia.org/w/index.php?title=Analyse_du_comportement_des_utilisateurs_et_des_entités&oldid=211581264 ».