Empreintes digitales - Forme de la main - Visage - Iris - Rétine - Réseau veineux - Analyse comportementale - Voix - Signature dynamique - Frappe au clavier - Démarche ...
OFSEC - Oman Fire, Safety and Security Exhibition
Border Management & Technologies Summit Asia Conference & Exhibition
Security Document Summit
Facial Recognition
Homeland Security Week
Cyber Security 2018
Smarter Border Managment

Analyse comportementale des utilisateurs

Chaque être humain est différent. C’est en s’appuyant sur les différences de modèles comportementaux que la sécurité informatique entend désormais détecter de manière efficace et en temps réel les activités criminelles provenant de l’intérieur de l’entreprise.

Des profils utilisateurs basés sur leur empreinte digitale numérique

Grâce à l’empreinte digitale numérique que les utilisateurs laissent derrière eux lorsqu’ils se connectent sur un réseau ou lorsqu’ils accèdent à des fichiers ou systèmes, il est désormais possible de créer un profil très précis de chaque individu. Ce profil représente le comportement « normal » de l’individu et son analyse instantanée et continue va permettre d’identifier en temps réel tout comportement « anormal ». Comportement qui aurait auparavant rapidement disparu sous le radar des outils de détection installés.

A l’heure où les entreprises doivent trouver des moyens plus efficaces pour se protéger des menaces internes à leur propre organisation, l’analyse comportementale des utilisateurs apporte une solution inespérée. Selon une étude que nous avons menée, 70% des RSSI considèrent en effet que la menace interne représente le plus de risques pour leur entreprise (vs les cyber-attaques venant de l’extérieur de l’entreprise).

Dans les faits, ces attaques sont effectivement de plus en plus fréquentes et dangereuses et résultent généralement de l’utilisation malveillante de comptes dits privilégiés ou bien tout simplement d’une erreur d’utilisation de ces comptes à hauts privilèges (comptes ayant des accès importants sur le réseau dans le cadre de missions de maintenance, d’administration de systèmes, etc.). Ces menaces sont générées par des employés mais également des partenaires ou des prestataires extérieurs. Et pour l’entreprise, se protéger face à ce type de menaces est particulièrement complexe : rien ne sert d’élever les murs de protection autour du périmètre de son réseau puisque la menace est déjà à l’intérieur et que les hackers utilisent des comptes utilisateurs compromis ou sont parvenus à obtenir des identifiants d’utilisateurs privilégiés pour accéder au réseau de manière visiblement légitime.

L’analyse comportementale peut combler cette lacune, en permettant d’identifier les comportements à risques pour prévenir les failles avant qu’elles ne se produisent. 

Créer un profil unique grâce aux algorithmes de machine learning

Chaque utilisateur laisse un chemin de preuves derrière lui lorsqu’il accède au réseau. Ce chemin de preuves apparaît dans les logs, dans les pistes d’audit, et à plusieurs autres endroits dans l’infrastructure. Ces données précieuses peuvent être mises à profit pour construire une base de référence sur ce qui est « normal » pour un utilisateur particulier. Exemple : à quelle période de la journée l’utilisateur sont actifs, à quels services et applications il se connecte et comment il les utilise, etc. Différents algorithmes de machine learning vont ensuite pouvoir créer des profils personnels - tout en continuant à enregistrer les activités (log) – puis comparer les activités de chaque utilisateur en continu par rapport à ses comportements habituels, pour détecter les comportements anormaux en temps réel.

Ce processus basé sur la création d’une base de référence et la comparaison en continu de l’activité sur le réseau avec cette base, devient incontournable pour bénéficier d’une sécurité efficace en interne. Concrètement, un hacker utilisant un compte piraté - ou un utilisateur interne malveillant - va interagir différemment avec le système qu’un utilisateur normal. Dès que l’activité suspecte est mise en lumière, les outils d’UBA sont capables d’avertir le Centre de supervision de la sécurité de l’entreprise (le SOC) qu’une attaque est en cours, et cela avant qu’elle n’ait pu engendrer une faille de données.

Les solutions d’UBA doivent utiliser plus algorithmes de machine learning simultanément, pour créer le profil complet de chaque utilisateur. C’est pourquoi, il faut du contexte pour créer une image complète de ce qui se passe concrètement et éviter de déclencher des faux positifs. Les informations isolées – comme les périodes de la journée où l’utilisateur se connecte – sont intéressantes, mais il faut une image plus complète avec des informations telles que les lieux où l’utilisateur se connecte, à quoi il accède, afin de déclencher l’alarme en cas d’activités suspectes ou de déclencher une investigation plus poussée.

Mais quels sont ces comportements de travail typiques surveillés par les outils d’UBA ?

Les horaires, la principale source d’informations 

Les employés peuvent parfois se plaindre d’un cadre de travail routinier, avec des horaires non flexibles, etc. mais cette routine fournit des informations ayant beaucoup de valeur sur lesquelles se base l’UBA. La routine est ici la clé : chaque jour les personnes se lèvent à la même heure et arrivent à peu près à la même heure au travail, etc. Elles vont ensuite réaliser un travail assez similaire, déjeuner à la même heure puis quitter le travail chaque soir à peu près à la même heure. Ainsi toute déviation de ce schéma classique et habituel de la part d’un utilisateur va pointer vers un comportement inhabituel et potentiellement à risque.

Les accès aux applications 

L’analyse comportementale va aussi examiner les applications utilisées par un employé – la plupart des employés utilisent quotidiennement les mêmes applications. Un exemple concret : Si un employé utilisant uniquement Word ou Excel, lance l’application SAP de l’entreprise, cela génère automatique un drapeau rouge pour les équipes de sécurité. Celles-ci vont ainsi directement vérifier quels fichiers ont été ouverts ou téléchargés, etc. De la même manière, si un employé du service IT accède aux fiches de paye de l’entreprise, habituellement uniquement utilisées par le département RH, cela va générer une alerte « activité suspecte » vers le SOC.

La plupart des individus utilisent les mêmes terminaux et se connectent de ces terminaux du même endroit pour leur travail. Un individu se connectant à distance, alors qu’il est basé en permanence dans un bureau de l’entreprise, ou bien d’un terminal qui n’est pas reconnu par le réseau, cela va également générer une anomalie remontée à la sécurité.

Les données biométriques

Ces distinctions dans le comportement peuvent être aussi extrêmement subtiles : la vitesse de frappe sur le clavier ou encore les différences dans l’utilisation de la souris de PC, etc. En effet, ces comportements sont uniques pour chaque individu et ne peuvent être copiés. Si un hacker ou un utilisateur malveillant utilise une session qui n’est pas la sienne, la façon de taper sur le clavier ou d’utiliser la souris sera forcément différente et pourra être détectée par la solution d’UBA.

Dans le futur, nous pourrions être en mesure d’utiliser ces données de manière encore plus avancée pour surveiller les activités et identifier les comportements anormaux. Et pour fournir un profil utilisateur précis, l’UBA pourrait tout aussi bien utiliser des données comportementales telles que la façon dont un individu utilise et déplace sa souris, sa fréquence cardiaque ou l’analyse de ses ondes cérébrales.

Les cybercriminels utilisent des moyens de plus en plus sophistiqués pour infiltrer les réseaux, ou obtenir des identifiants d’utilisateurs. Bénéficier de données biométriques va devenir particulièrement précieux pour détecter et prévenir toutes failles de données. Il est simplement important de bien choisir ses outils car la qualité des empreintes digitales numériques analysées dépend en grande partie de la puissance des outils d’UBA utilisés par l’entreprise.

Source : http://www.journaldunet.com

Formation conseil en biométrie

Biometrie-Online.Net vous propose des actions de
Formation - Conseil sur mesure en intra.

Ces sessions permettent aux participants d'acquérir les bases de la biométrie, afin de comprendre les solutions biométriques mises en œuvre dans leur secteur d’activité.

Formation Conseil Biométrie Biométrique

À l’issue des actions de Formation - Conseil, les participants seront capables de :

  • Connaître le contexte, le marché, les enjeux, la place de la biométrie dans la sécurité et la gestion des identités.
  • Comprendre le fonctionnement des technologies biométriques, terminologie, avantages et limites.
  • Appliquer la règlementation.
  • Lister les problématiques du déploiement, propre à chaque type d’application.

Lire la suite

Le réseau social de la biométrie

Vous avez un intérêt pour la biométrie.

Vous pouvez adhérer au groupe « Biometrics Network & Forum » sur Linkedin.Plus

de 10 000 membres, des utilisateurs finaux, des fournisseurs, des chercheurs vous attendent.

En tant que membre du groupe, vous pouvez lire et soumettre des articles sur la biométrie, nouveaux produits, emplois, nouvelles de l'industrie et des événements.

Cliquez ici pour rejoindre le groupe.

LinkedIn 648x200

Il y a également des sous-groupes par modalité.

 

En naviguant sur notre site, vous acceptez que des cookies soient utilisés pour vous proposer des contenus et des services adaptés.