Definition

UBA (User Behavior analytics)

Cette définition fait partie de notre Guide Essentiel : Menaces informatiques : comment renforcer ses premières lignes de défense

L'analyse du comportement des utilisateurs (User Behavior analytics, UBA) consiste à suivre, à collecter et à analyser les données et les activités des utilisateurs à l'aide de systèmes de surveillance.

Les technologies UBA analysent les journaux de données historiques, notamment les journaux de réseau et d'authentification collectés et stockés par les gestionnaires de journaux et les systèmes SIEM, pour détecter les modèles d'utilisation liés aux comportements des utilisateurs, aussi bien inhabituels que normaux.

Les systèmes UBA visent essentiellement à fournir des informations exploitables aux équipes chargées de la cybersécurité. Bien que leurs conclusions ne soient suivies d’aucune action, ils peuvent être configurés de manière à régler automatiquement la capacité d'authentification des utilisateurs affichant un comportement anormal.

Utilisation de l'UBA

Les systèmes d'analyse comportementale ont vu le jour au début des années 2000 comme un moyen d'aider les équipes marketing à analyser et à prévoir les habitudes d'achat des consommateurs.

Aujourd'hui, les systèmes UBA offrent des outils de profilage et de surveillance des exceptions plus sophistiqués que ceux des systèmes SIEM, et servent essentiellement à deux fins.
Premièrement, ils permettent d'établir les conditions de référence : activités normales propres à l'entreprise et à ses utilisateurs individuels.
Deuxièmement, ils sont en mesure de déceler tout écart par rapport aux pratiques dites normales. L'UBA a recours au Big Data et aux algorithmes d'apprentissage automatique pour évaluer ces écarts en quasi-temps réel.

Appliquées à un seul utilisateur, les technologies UBA ne permettent pas de déjouer une activité malintentionnée. En revanche, déployées à grande échelle, elles donnent à une entreprise les moyens de détecter des actes de malveillance ou des menaces potentielles à la cybersécurité (malwares, exfiltration de données, menaces internes et corruption de points terminaux, par exemple).

Fonctionnement de l'UBA

L'UBA collecte différents types de données tels que les rôles et les fonctions des utilisateurs (y compris les accès, les comptes et les autorisations), leur activité et emplacement géographique, ainsi que les alertes de sécurité. Ces données peuvent découler d'une activité passée et présente, et l'analyse prend en compte des facteurs comme les ressources utilisées, la durée des sessions, la connectivité et l'activité d'un groupe de pairs, pour identifier tout comportement suspect. La mise à jour se fait automatiquement dès que des modifications sont apportées aux données (promotions ou ajout d'autorisations, par exemple).

Les systèmes UBA ne signalent pas toutes les anomalies comme étant à risque. Ils évaluent plutôt l'impact potentiel du comportement. Si le comportement concerne des ressources peu sensibles, l'impact attribué sera faible. S'il vise au contraire des données plus confidentielles, comme des informations à caractère personnel, l'impact attribué sera plus élevé. De cette façon, les équipes chargées de la sécurité peuvent établir des priorités sur ce qu'il convient de suivre, pendant que le système UBA restreint ou accroît automatiquement la capacité d'authentification de l'utilisateur présentant un comportement anormal.

Les algorithmes d'apprentissage automatique aident les systèmes UBA à réduire le nombre de faux positifs et à donner aux équipes chargées de la cybersécurité une idée plus claire des risques et des mesures à prendre.

Analyse du comportement des utilisateurs et des entités (UEBA)

En 2015, le cabinet d'étude Gartner a publié un guide du marché pour ce qu'il a appelé l'analyse du comportement des utilisateurs et des entités (UEBA).

Les technologies UEBA offrent les mêmes atouts que l'UBA traditionnelle, mais plutôt que de s'intéresser aux seules activités des utilisateurs, elles surveillent aussi les équipements, les applications, les serveurs et les données.

Au lieu d'analyser les comportements des utilisateurs à part, cette technologie les croise avec les comportements des entités. Si l'UBA permet de détecter les menaces internes, l'UEBA a recours à l'apprentissage automatique pour rechercher les anomalies de toutes sortes susceptibles de représenter une menace. Les entreprises utilisent souvent les outils UEBA conjointement aux technologies SIEM pour approfondir l'analyse des informations recueillies.

Solutions d'analyse du comportement des utilisateurs

Depuis la première apparition des outils UBA, le marché s'est considérablement développé. Parmi les principaux fournisseurs de solutions UBA, citons Splunk, Rapid7, Gurucul, Fortscale, Exabeam, Hewlett Packard Enterprise, Niara (rachetée par HPE en 2017) et bien d'autres encore.

Cette définition a été mise à jour en mai 2019

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)