Les pirates peuvent s’approprier les mots de passe, mais pas le comportement des utilisateurs

Joel-Mollo-Skyhigh-Networks-article

Joël Mollo, Directeur Europe du Sud Skyhigh Networks

Jusqu’à présent, la cybersécurité avait pour vocation de protéger l’accès à un environnement hermétiquement clos : le réseau d’entreprise. Aujourd’hui, les équipes de sécurité doivent composer avec un environnement informatique décentralisé, où les employés accèdent aux données par le biais de nombreuses applications, depuis différents lieux et terminaux. L’enjeu, pour la cybersécurité, n’est donc plus de veiller à ce que les données restent à l’intérieur du périmètre du réseau, mais d’empêcher leur fuite lors de leur transfert entre des points d’accès.

Si le Cloud est le grand initiateur de ces changements de méthodes de travail, il est aussi responsable d’une nouvelle génération de menaces. Les mots de passe constituent trop souvent la (seule et) dernière ligne de défense. Or, les employés ont tendance à utiliser le même mot de passe pour les applications grand public et professionnelles dans le Cloud, ce qui permet aux attaques de phishing les plus ingénieuses de faire mouche près d’une fois sur deux.

Ainsi, 76,3 % des entreprises rencontrent chaque mois un problème de piratage de compte dans le Cloud. Alors que le Cloud est devenu une plate-forme de stockage des données d’entreprise, empêcher les pirates et les employés malveillants d’y accéder constitue un enjeu majeur.

Une aiguille dans une botte de foin

Dans presque tous les cas médiatisés d’atteinte à la sécurité, les analystes ont ignoré certains signaux inquiétants en raison de la surabondance de fausses alertes reçues quotidiennement. La plupart des entreprises consacrent la majeure partie de leur budget sécurité à des mesures préventives, comme les pare-feu, l’authentification forte des utilisateurs, la prévention des intrusions, les antivirus, etc., autant de mécanismes de défense qui n’ont plus aucun secret pour les pirates informatiques. Ceux-ci parviennent bien souvent à explorer des systèmes sur de longues périodes sans être repérés.

Les techniques issues de la science des données aident les équipes de sécurité à trouver des aiguilles dans des bottes de foin de plus en plus volumineuses. Selon le cabinet d’étude Gartner, d’ici 2017, au moins 60 % des principaux éditeurs de solutions CASB (Cloud Access Security Broker), et 25 % des principaux éditeurs de solutions SIEM (Security Information and Event Management) et DLP (Data Loss Prevention), intégreront des fonctions d’analyse avancées et d’analyse du comportement des entités et des utilisateurs (UEBA) dans leurs produits, que ce soit en natif ou par le biais d’acquisitions ou de partenariats. La technologie UEBA assure la sécurité via un profilage statistique et une détection des anomalies basés sur l’apprentissage machine.

L’UEBA fait son entrée dans le Cloud

Les services Cloud enregistrent un très grand volume d’informations sur les activités des employés, qui vont bien au-delà de la simple connexion. La technologie UEBA peut analyser un large éventail de données brutes, notamment une action de service, une catégorie d’actions de service, des objets, le nombre d’octets téléchargés ou transférés, le nombre d’accès à un service, le taux ou l’heure d’accès, etc., le tout mesuré à l’échelle d’une action de service, d’un fournisseur de services Cloud, ou d’un groupe homogène d’actions ou de fournisseurs de services Cloud.

À partir de cette masse d’informations, l’UEBA aide les entreprises à élaborer des modèles comportementaux pour les services Cloud et à surveiller en permanence tout comportement qui s’écarterait, même de manière subtile, de la norme. L’apprentissage machine permet, par exemple, d’établir le profil de l’activité des utilisateurs, de groupes d’utilisateurs et d’autres entités pour définir un modèle de référence, de constituer des groupes de pairs en fonction des activités utilisateur communes (en se servant des groupes d’annuaire et des informations sur les ressources humaines), de corréler les activités et comportements des utilisateurs et d’autres entités, et d’identifier les anomalies à l’aide de règles ou de modèles statistiques qui comparent les activités aux profils.

Comment les solutions UEBA contribuent-elles à réduire le nombre de faux positifs ? En d’autres termes, qu’est-ce qui différencie cette technique des systèmes de surveillance existants qui génèrent une quantité phénoménale d’alertes ? Une approche UEBA axée sur la protection contre les menaces se distingue par les principes suivants :

  • Modèles comportementaux

L’utilisation de polynômes complexes de degré élevé fournit une représentation des données riche en informations. Les solutions UEBA dans le Cloud doivent également pouvoir gérer une faible densité de données d’utilisation, en particulier dans le cas des services Cloud, jusqu’aux applications non autorisées et les moins utilisées.

  • Groupes d’utilisateurs

La détection automatisée des groupes axée sur les données identifie les utilisateurs présentant un comportement similaire à travers tout le spectre des services Cloud. L’analyse simultanée de l’utilisateur par rapport à un modèle individuel et de groupe permet de mieux reconnaître les comportements légitimes, ce qui réduit le nombre de faux positifs.

  • Évolution dans le temps

Les solutions UEBA dans le Cloud doivent tenir compte de l’évolution dans le temps afin d’intégrer les changements de stratégies, de préférences utilisateur, etc. La décomposition du comportement utilisateur en schémas évoluant au fil du temps est la garantie de modèles stables, robustes et invariants.

  • Auto-apprentissage

Une solution UEBA peut également indexer de manière dynamique le risque associé aux utilisateurs et aux services Cloud, et le comparer à la nature évolutive de l’usage des services Cloud afin de déterminer les anomalies comportementales pour l’ensemble des utilisateurs de l’entreprise. Il est ensuite possible de combiner les données résultant de l’analyse comportementale multidimensionnelle avec l’indexation dynamique pour obtenir un module d’auto-apprentissage actif.

  • Mettre un visage sur des chiffres

Dans la pratique, quels sont les avantages de ces fonctionnalités ? L’UEBA s’adapte pour comprendre la façon dont les employés utilisent les services Cloud. Il existe des anomalies standard, comme le téléchargement, par un employé, d’importants volumes d’informations sur une seule journée ou encore le transfert de données vers un service Cloud à haut risque.

Concrètement, l’UEBA permet de corréler les informations et alerter les services de sécurité si un employé télécharge et transfère une grande quantité de données et accède à un service Cloud à haut risque le même jour, un comportement présentant un niveau de risque élevé.

Autre exemple : l’UEBA fait la différence entre le comportement de référence d’un administrateur et celui d’un employé, ce qui évite le déclenchement de fausses alertes chaque fois que l’administrateur génère un rapport hebdomadaire. De la même manière, les algorithmes identifient les emplacements géographiques de confiance et signalent tout incident au cours duquel un utilisateur accède à un service depuis Los Angeles, puis, 30 minutes plus tard, de Singapour.

Les hackers ont les moyens de subtiliser les mots de passe, les numéros de sécurité sociale et même les empreintes digitales. En revanche, ils sont incapables d’usurper le comportement des utilisateurs. L’apprentissage machine et l’UEBA réduisent le bruit qui nuit à la pertinence des alertes de sécurité. Plus le modèle comportemental se nourrit d’informations, plus les algorithmes de sécurité sont à même de détecter avec précision les menaces réelles.

À mesure que les offres Cloud gagneront en maturité, les entreprises bénéficieront d’API plus performantes, avec une plus large palette de types d’événements et d’informations contextuelles. Alors que les entreprises craignaient de perdre en visibilité en migrant vers le Cloud, elles peuvent aujourd’hui s’appuyer sur les avancées de la science des données pour identifier les risques.