Trouver les malfaiteurs qui ont fait un détournement de données est une tâche particulièrement difficile, surtout s’il fait suite au piratage d’un compte d’un employé ou à un comportement malveillant. C’est à cela que sert l’analyse comportementale (UEBA – « Analyse du comportement des entités et des utilisateurs)
Lorsque Martin Tripp – employé chez Tesla – a vu sa demande de promotion ignorée, il se vengea en exportant des gigaoctets entiers de données sensibles appartenant à l’entreprise, incluant des photographies confidentielles et une vidéo des systèmes de production de Tesla. Si le PDG de Tesla, Elon Musk, pensait être à l’abri d’une menace interne, son avis sur la question a certainement changé.
Plus courant qu’on ne le croit, cet exemple d’un employé qui porte atteinte à son employeur est désormais un cas d’école. D’après le « Rapport 2018 sur la menace interne » de Crowd Research Partners, 53 % des entreprises vont souffrir d’une menace interne ; et c’est là un vecteur d’attaque que les entreprises ne peuvent pas se permettre d’ignorer.
Qu’est-ce que l’UEBA ?
Pour réduire le risque d’être victime de menaces internes, de nombreuses entreprises déploient désormais l’UEBA (Analyse du comportement des entités et des utilisateurs). L’UEBA utilise le machine learning pour déterminer le comportement-type de chaque employé et créer une base de référence du comportement « normal » d’un utilisateur. Ce comportement de référence repose sur des activités telles que les accès habituels aux fichiers, la fréquence et les horaires de ces accès, les actions effectuées sur les fichiers, etc.
Un autre avantage de l’UEBA est la possibilité de suivre l’accès aux données par les employés et leur utilisation sur une période spécifique, pour signaler toute activité suspecte. Dans un scénario hors UEBA, par exemple, si un ingénieur système copie une portion de code pour travailler dessus en toute indépendance, cela ne sera probablement pas signalé comme suspect. Grace à l’UEBA il est possible de suivre l’activité relative à ce fichier de plus près. L’utilisateur a-t-il accédé à ce fichier précis auparavant ? L’accès est-il demandé depuis un emplacement autre que l’emplacement habituel ? L’utilisateur a-t-il accédé au fichier sur un appareil qui a récemment copié d’autres fichiers sensibles ? Etc.
Cette capacité dont bénéficie l’équipe de sécurité informatique de comparer l’activité au schéma de référence individuel d’un utilisateur, l’aide à concentrer son temps et ses ressources sur les menaces qui ont le plus de chances d’être réelles, et réduit considérablement le nombre de fausses alertes.
Pourquoi se servir de l’UEBA ?
L’UEBA contribue à lutter contre deux vecteurs d’attaque des menaces internes :
- Les délits d’employés malveillants : il s’agit d’un employé qui enfreint volontairement la loi et exploite les technologies, les actifs et la propriété intellectuelle de son employeur. Ce peut être pour nuire à l’entreprise, pour voler des données à fournir à son prochain employeur ou pour vendre des données aux concurrents, tout en restant un employé « de confiance ».
- Les délits d’employés non-malveillants : il s’agit d’un employé qui a accidentellement accordé l’accès au réseau à des cybercriminels. Le plus souvent, leurs identifiants ont été hameçonnés ou compromis lors d’une fuite de données. Si des pirates ont accès au nom d’utilisateur et au mot de passe d’un employé, ils peuvent contourner la plupart des mesures de sécurité.
L’UEBA est particulièrement qualifiée pour identifier ce deuxième vecteur. Les criminels peuvent obtenir l’accès de comptes privilégiés, mais il leur est très difficile de se comporter de la même manière que l’employé dont les identifiants ont été compromis. Il est donc relativement simple pour l’UEBA d’identifier des imposteurs sur le réseau.
Dans un monde où les équipes de sécurité informatique manquent de temps et de ressources, un outil qui minimise le nombre de fausses alertes et identifie rapidement les points réellement préoccupants est crucial. En ce qui concerne les menaces internes, il est probable que l’auteur ait déjà accès à vos données sensibles ou soit en mesure d’écrire et de déployer du code qui pourrait causer des dommages colossaux. S’il n’existe pas de solution miracle en matière de cybersécurité, l’UEBA est un outil important dans l’arsenal d’une équipe de sécurité : il fournit des alertes prioritaires en temps réel que les analystes reconnaissent comme étant d’une haute importance.
___________
Jan van Vliet est VP et DG EMEA, Digital Guardian