Points clés
- La détection des comportements anormaux — avant qu'un incident ne survienne — est la capacité qui différencie les organisations proactives des organisations réactives en matière de cybersécurité.
- L'UEBA (User and Entity Behavior Analytics) est la technologie la plus efficace pour détecter les anomalies comportementales des utilisateurs légitimes dont les comptes ont été compromis ou qui commettent des actions malveillantes internes.
- La définition d'une baseline comportementale est indispensable : ce qui est "anormal" ne peut être identifié que par rapport à ce qui est "normal" pour chaque utilisateur, système et flux de données.
- NIST SP 800-137 (Continuous Monitoring) et ISO 27001:2022 A.8.16 (Surveillance des activités) imposent des capacités de détection des comportements anormaux dans les systèmes d'information.
La détection des comportements anormaux est l'une des capacités les plus avancées de la supervision de sécurité. Contrairement à la détection basée sur des signatures (qui identifie des malwares ou des patterns d'attaque connus), la détection comportementale identifie des déviations par rapport à ce qui est normal pour un utilisateur, un système ou un flux de données — ce qui permet de détecter des menaces inconnues, des attaques zero-day, et des comportements malveillants internes.
La mise en place d'une détection comportementale efficace commence par la définition de la baseline : qu'est-ce qui est normal pour chaque utilisateur, chaque système, chaque flux de données dans l'organisation ? Sans cette référence, il est impossible de définir ce qui est anormal. La construction de cette baseline nécessite une période d'apprentissage de 2 à 4 semaines pendant laquelle les systèmes UEBA collectent et analysent les comportements existants.
Les catégories de comportements anormaux à détecter
Les anomalies d'authentification couvrent les connexions depuis des localisations inhabituelles, les connexions à des heures anormales, les tentatives d'authentification répétées, et les connexions depuis des appareils inconnus. Ces anomalies sont souvent les premiers signaux d'une compromission de compte : un attaquant qui a obtenu les identifiants d'un utilisateur se connecte depuis une localisation différente, à une heure inhabituellement tardive, depuis un appareil inconnu.
Les anomalies d'accès aux données couvrent les accès à des données auxquelles un utilisateur n'accède pas habituellement, les volumes d'accès inhabituellement élevés, les requêtes sur des jeux de données inhabituellement larges, et les accès depuis des applications non habituelles. Un employé qui télécharge soudainement des milliers de fichiers RH alors qu'il est normalement limité à quelques dizaines par semaine, ou qui accède à des bases de données commerciales qu'il n'a pas l'habitude de consulter, présente un comportement potentiellement malveillant (exfiltration) ou un compte compromis utilisé par un attaquant.
Les anomalies de communication réseau couvrent les connexions vers des adresses IP ou des domaines inhabituels, les volumes de données sortantes inhabituellement élevés, les communications en dehors des plages horaires habituelles, et les protocoles inhabituels. Ces anomalies peuvent indiquer une exfiltration de données, une communication vers un serveur de command-and-control, ou une activité d'un malware qui tente de communiquer avec son infrastructure.
Les outils de détection comportementale
L'UEBA (User and Entity Behavior Analytics) est la technologie dédiée à la détection des comportements anormaux. Les solutions UEBA modernes (Microsoft Sentinel UEBA, Splunk UBA, Exabeam, Securonix) construisent des modèles statistiques du comportement normal de chaque utilisateur et entité, et génèrent des alertes pondérées par le risque lorsque les comportements s'en écartent. Ces systèmes apprennent en continu et adaptent leurs baselines aux évolutions légitimes des comportements.
Le NDR (Network Detection and Response) applique des techniques similaires aux flux réseau. Il identifie les communications suspectes en analysant les métadonnées des connexions (qui parle à qui, quand, avec quelle volumétrie) et en les comparant aux patterns de communication habituels. Le NDR est particulièrement efficace pour détecter les mouvements latéraux et les exfiltrations de données qui se déroulent via des protocoles légitimes.
L'orchestration de la réponse (SOAR — Security Orchestration, Automation and Response) permet d'automatiser la réponse aux alertes comportementales : isolation automatique d'un poste de travail dont le comportement indique une compromission, blocage automatique d'un compte utilisateur dont les accès sont anormaux, génération automatique de tickets d'investigation. L'automatisation réduit le délai de réponse de plusieurs heures à quelques minutes.
Les défis de la détection comportementale
Le taux de faux positifs est le principal défi de la détection comportementale. Un système trop sensible génère trop d'alertes, dont la plupart sont des faux positifs, ce qui conduit à l'alert fatigue des équipes SOC et à la réduction de la confiance dans le système. La calibration des seuils d'alerte est un exercice continu qui nécessite une collaboration entre les équipes de sécurité et les équipes métier pour comprendre ce qui est normalement anormal (un commercial qui télécharge plus de fichiers clients pendant une période de fin de trimestre, par exemple).
L'établissement de la baseline pour les nouveaux collaborateurs ou les nouveaux systèmes nécessite du temps — les premières semaines d'activité d'un nouveau collaborateur ou d'un nouveau système génèrent de nombreuses alertes qui ne correspondent pas à des menaces réelles. Les systèmes UEBA modernes intègrent des mécanismes pour gérer cette période d'apprentissage sans générer un volume d'alertes ingérable.
Edward Snowden, sous-traitant de la NSA, a exfiltré des milliers de documents classifiés en utilisant des méthodes qui lui permettaient d'accéder à des informations dans le cadre de ses fonctions légitimes d'administrateur système. L'investigation post-incident a révélé que si la NSA disposait de systèmes de journalisation, ceux-ci n'avaient pas été configurés pour détecter des volumes d'accès anormaux par un administrateur — une catégorie d'utilisateurs qui accède légitimement à de grandes quantités de données. Cet incident a conduit la NSA à déployer des solutions UEBA spécifiquement conçues pour surveiller les comportements des administrateurs système et des personnels avec accès privilégiés.
L'affaire Kerviel illustre le cas d'un comportement financier anormal non détecté malgré l'existence de systèmes de surveillance. Jérôme Kerviel avait contourné les contrôles en saisissant de fausses transactions compensatoires pour masquer ses positions réelles. Plusieurs alertes automatiques avaient été générées par les systèmes de Société Générale sur ses activités, mais n'avaient pas fait l'objet d'investigations approfondies. L'enquête a révélé que les alertes étaient trop nombreuses et que les équipes de contrôle n'étaient pas suffisamment dotées pour les traiter toutes. Ce cas illustre que la détection des anomalies sans processus de triage et d'investigation efficace ne suffit pas.
Grab a déployé en 2020-2021 une solution UEBA pour détecter les comportements anormaux de ses employés et de ses systèmes automatisés. En mars 2021, le système a détecté un employé accédant à des données de localisation de conducteurs en volumes inhabituellement élevés, depuis un poste de travail inhabituel et en dehors des heures de travail normales. L'investigation a révélé une tentative d'exfiltration de données de conducteurs pour un concurrent. L'accès a été bloqué avant que les données ne quittent le périmètre de Grab. Grab a présenté ce cas lors du Singapore International Cyber Week 2021 comme illustration de l'efficacité de la détection comportementale pour la protection des données.