L’un des principaux objectifs de la cybersécurité a toujours été de se prémunir des attaques venant de l’extérieur. Pour cela, traditionnellement, les entreprises impliquent des technologies de sécurité préventive comme des pare-feu ou des passerelles de sécurité filtrant le trafic inconnu afin de tenter de protéger les utilisateurs à l’intérieur. Cela ne fait aucun doute, il s’agit d’une bonne ligne de défense, performante comme peuvent l’être des contrôles de sécurité à l’entrée d’un pays.

Le problème est qu’aujourd’hui, ces cybercriminels sont aussi présents à l’intérieur de l’entreprise, mais ne sont pas identifiés. Pour répondre à cette problématique, de nouvelles technologies de sécurité, se concentrant davantage sur la détection et l’action que sur la prévention, sont en train d’émerger.

Authentifier les utilisateurs grâce à leur empreinte comportementale

Difficile d’empêcher des personnes malveillantes déjà présentes à l’intérieur du pare-feu de l’entreprise, de commettre des dégâts. Et la mission se complique encore plus lorsque ces personnes malveillantes disposent d’accès privilégiés sur le réseau et qu’elles sont donc en mesure d’obtenir très facilement des mots de passe d’authentification et ainsi d’agir à leur guise.

La plupart des solutions technologiques ne peuvent protéger le système d’information contre ces menaces internes. Lorsqu’un cybercriminel obtient un accès au CRM de l’entreprise, le Centre des opérations de sécurité (SOC) ne peut généralement pas prévenir une attaque résultant d’un utilisateur semblant légitime. De la même manière, il est presque impossible pour une entreprise de stopper une attaque APT lorsqu’elle est basée sur l’utilisation d’identifiants de compte d’un utilisateur à privilèges, qui ont été dérobés volés.

Pourquoi détecter ces attaques est si difficile ? Tout simplement parce que malgré de multiples facteurs d’authentification – la gestion des mots de passe ou encore la surveillance des sessions utilisateurs – il manque à l’entreprise un piège pour détecter les abus de comptes à privilèges. Ce piège peut désormais être mis en place grâce au comportement, et la définition de l’empreinte comportementale des utilisateurs ! En effet, le comportement est le lien manquant dans la détection et la prévention des failles. Le comportement est, et doit être, la nouvelle authentification.

Chaque comportement est unique et infalsifiable 

Les machines ont exactement le même comportement dès lors qu’elles ont les mêmes spécifications et qu’elles sont programmées de la même manière. Cela ne vaut absolument pas pour l’être humain. Chaque individu est différent et unique. Ce qui rend uniques des utilisateurs à privilèges réalisant leurs tâches quotidiennes, c’est donc leur comportement.

Un utilisateur à privilèges a des schémas de comportement de travail typiques, qui peuvent être enregistrés comme des métadonnées. Grâce à l’analyse de ces schémas et l’enregistrement des sessions, il est aujourd’hui possible de définir l’empreinte comportementale d’un utilisateur basé par exemple sur la connaissance des serveurs auxquels l’utilisateur se connecte généralement, les actions qu’il a l’habitude de réaliser lorsqu’il est logué, les commandes et les applications qu’ils utilisent, etc.

Dans le cas d’une faille interne, des éléments du comportement habituel de l’utilisateur seront forcément anormaux. Cela pourra, par exemple, être des commandes utilisées de manière inhabituelle, ou un délai de connexion inhabituellement long de l’utilisateur pour se connecter au système CRM.

Dans le cas d’une attaque APT, un cybercriminel particulièrement doué cherchera à imiter le comportement habituel de l’utilisateur dont il aura piraté le compte, ainsi les métadonnées auront l’air identiques. Alors comment détecter cette attaque ? Plus compliqué mais pas impossible. Dans ce scénario, il faut aller plus loin que les métadonnées pour analyser les comportements très spécifiques mais mesurables, comme la façon dont l’utilisateur tape sur son clavier, les mouvements de souris ou encore vitesse de frappe sur le clavier. Ainsi, si suite à un piratage de son compte, la vitesse de frappe de l’utilisateur sur son clavier se réduit énormément ou que des erreurs inhabituelles surviennent, ces comportements anormaux sont immédiatement considérés comme des alertes. Une faille peut donc être stoppée avant qu’elle ne survienne.

Vers la fin de l’identification unique par mot de passe

Les méthodes d’identification traditionnelles sont concentrées sur un instant T. C‘est ce que proposent les mots de passe. Aujourd’hui, cette méthode d’identification ne garantit plus un niveau de sécurité optimal. Les cybercriminels connaissent de nombreuses techniques pour dérober des identifiants (phishing, spear phishing, malwares, etc.) et se faire passer pour les utilisateurs légitimes pour mener à bien leurs attaques.

En ajoutant une dimension liée au comportement de l’utilisateur, il devient possible de surveiller l’activité en temps réel, et ainsi de continuellement authentifier les utilisateurs à privilèges sur la base d’une empreinte comportementale de base définie. Grâce à ce niveau de surveillance en continu et en temps réel basé sur les utilisateurs, il est possible de réduire significativement les menaces liées aux utilisateurs internes et les attaques sophistiquées.

___________
Balázs Scheidler est co-fondateur et CTO de Balabit