Avec les traces laissées par les utilisateurs sur l’infrastructure IT de leur entreprise et le monitoring de trafic sur le réseau entreprise,  la sécurité informatique interne et dans le Cloud peut être renforcée. Grâce à l’exploitation de ces données, au machine learning et à l’analyse comportementale des utilisateurs et des réseaux, les DSI disposent de nouveaux outils pour compléter leur arsenal contre la cybercriminalité.

cybersecurite-analyse-comportementale

Vols de mots de passe et d’identifiants par dizaine et centaine de millions pour DropBox, Myspace ou LinkedIn, l’hébergeur OVH victime tout récemment d’une attaque massive par l’intermédiaire d’objets connectés : les grands acteurs comme les entreprises de toute taille sont de plus en plus à la merci de la cybercriminalité.  Pour élargir le périmètre de lutte contre les attaques informatiques,  les RSSI sont à la recherche de solution toujours plus puissante. L’analyse comportementale utilisateur (UBA pour User Behavior Analytics) et l’analyse comportementale du réseau (NBA Network Behavior Analysis) en font partie.

Comment fonctionne l’analyse comportementale pour la sécurité IT ?

L’analyse comportementale sur une infrastructure informatique fonctionne sur le même principe que les alertes reçues par votre banque lorsque son système détecte des débits suspects ou des transactions émises à partir d’un lieu inhabituel. Ces solutions s’appuient le machine learning.

Pour identifier des comportements anormaux utilisateurs (UBA), les solutions d’analyse apprennent des habitudes des usagers et de leurs données de contexte : rapidité de frappe des login et mot de passe, force exercée sur les touches du clavier, mouvements de la souris, lieux et heures de connexion, serveurs et applications sollicitées… Si l’un de ces paramètres n’est plus respecté, le système d’analyse automatique suspecte une anomalie et déclenche une nouvelle demande d’authentification à l’utilisateur.

L’ensemble des traces digitales que chaque utilisateur laisse dans le système devient donc une masse de données précieuses qui permettent d’établir son profil. Par le biais d’algorithmes d’apprentissage, ces données deviennent exploitables pour alerter dans les meilleurs délais, de plus en plus souvent en temps réel.

L’analyse automatique des réseaux (NBA) se pratique à partir des données de trafic, des protocoles ou logiciels utilisés. Comme pour le comportement utilisateur, le système apprend à partir de l’activité du réseau et détermine des modèles de référence pour une activité normale. Tout indicateur hors de ces cadres suggère alors une menace et permet à l’administrateur réseau de localiser et résoudre plus rapidement le problème.

Les avantages clés de l’analyse comportementale

Plus de pertinence et de réactivité dans la détection d’actes malveillants, gain de temps au quotidien pour les équipes sécurité, meilleure sensibilisation des employés aux  alertes, réaction automatisée donc une cybersécurité renforcée : pour les RSSI, l’UBA et le NBA offrent, en plus des mesures déjà en place de nombreux atouts :

  • Faciliter l’identification d’utilisateurs à risque sur le réseau de l’entreprise (accès VPN, partenaires externes, fournisseurs…)
  • Limiter les avertissements d’activités suspectes et permettre de garder la vigilance des employés
  • Eviter l’inattention ou les erreurs de jugement de l’équipe sécurité sur une alerte
  • Analyser l’activité sur le réseau
  • Apprendre à discerner les événements bénins et limiter le nombre de rapports
  • Gagner du temps sur l’identification des acteurs et actions malveillantes
  • Détecter les partenaires potentiellement attaqués qui se connectent sur le réseau de l’entreprise
  • Déclencher des réponses automatiques pour corriger les problèmes (par demande d’authentification, blocage d’un serveur, etc)
  • Affiner la stratégie cybersécurité de l’entreprise en limitant les coûts

MS Experiences’16 : rendez-vous Stand P7 les 4 & 5 octobre

Econocom et Infeeny, sponsors platinum des MS Experiences’16, seront présents aux côtés de Microsoft, le mardi 4 et le mercredi 5 octobre prochain au Palais des congrès, porte Maillot à Paris. Consulter les temps forts

Sécurité : à lire aussi sur l’emedia

*Sources : ITBusinessEdge, TechTarget, Cyber Security Trend