Logo ORSYS le mag 2025

Le média de la formation et des compétences

Accueil > Glossaire Cybersécurité > UEBA 🟢 Protection

UEBA 🟢 Protection

UEBA (User and Entity Behavior Analytics), ou analyse du comportement des utilisateurs et des entités, est une catégorie avancée de solutions de cybersécurité qui utilise l’intelligence artificielle et l’apprentissage automatique pour détecter les comportements anormaux et potentiellement malveillants des utilisateurs et des entités au sein d’un réseau informatique.

Pour simplifier, l’UEBA ne se contente pas de chercher des signatures d’attaques connues (comme le font les antivirus traditionnels) ni de vérifier des règles prédéfinies (comme les firewalls). L’UEBA apprend ce qui est « normal » pour chaque utilisateur et chaque entité (machines, applications, serveurs, etc.) et alerte dès qu’un comportement dévie de cette norme.

Caractéristiques

L’UEBA est une approche de cybersécurité proactive qui :

  • Établit des baselines de comportement normal : en analysant en continu les données d’activité (logs, flux réseau, etc.), l’UEBA crée un profil de comportement « typique » pour chaque utilisateur et entité. Ce profil inclut des aspects variés comme les heures de connexion, les applications utilisées, les données consultées, les emplacements de connexion, etc.
  • Détecte les anomalies comportementales : l’UEBA surveille en temps réel l’activité et compare chaque action au comportement normal établi. Tout écart significatif par rapport à cette baseline est considéré comme une anomalie et сигналиé pour investigation.
  • Fournit un score de risque contextuel : l’UEBA ne se contente pas de détecter des anomalies brutes. Elle contextualise chaque alerte en prenant en compte de multiples facteurs : la gravité de l’anomalie, l’historique de l’utilisateur/entité, le type de ressource affectée, etc. Elle attribue ensuite un score de risque, permettant aux équipes de sécurité de prioriser les alertes les plus critiques.
  • S’adapte et apprend en continu : grâce à l’apprentissage automatique, l’UEBA affine constamment ses baselines de comportement normal au fur et à mesure que les habitudes des utilisateurs et des entités évoluent. Elle devient ainsi plus précise et réduit les faux positifs au fil du temps.

 

Exemples d’applications UEBA 

Imaginez les scénarios suivants et comment l’UEBA les détecte :

  1. Compte utilisateur compromis :
    • Comportement normal : employé « Jean Dupont » se connecte habituellement de son bureau à Paris, entre 9h et 18h, accède à des documents marketing et utilise les applications CRM et de messagerie.
    • Comportement anormal détecté par l’UEBA : soudainement, « Jean Dupont » se connecte depuis la Chine à 3h du matin, tente d’accéder à des dossiers confidentiels de R&D et télécharge une quantité massive de données.
    • Alerte UEBA : l’UEBA сигналиe une forte anomalie comportementale pour le compte « Jean Dupont » avec un score de risque élevé, сигналиant une possible compromission de compte et une tentative d’exfiltration de données.
  2. Menace interne malveillante :
    • Comportement normal : un administrateur système effectue des tâches de maintenance sur les serveurs, configure des comptes utilisateurs et surveille les logs systèmes.
    • Comportement anormal détecté par l’UEBA : l’administrateur commence à créer des comptes utilisateurs avec des privilèges excessifs, désactive des journaux d’audit et accède à des bases de données sensibles sans raison apparente.
    • Alerte UEBA : l’UEBA détecte un changement de comportement significatif pour l’administrateur système, indiquant une possible activité malveillante interne, comme la préparation d’une future attaque ou une exfiltration de données à des fins personnelles.
  3. Attaque par rebond (watering hole attack) sur un serveur web :
    • Comportement normal : un serveur web répond aux requêtes HTTP classiques, héberge des pages web publiques et interagit avec une base de données pour afficher du contenu dynamique.
    • Comportement anormal détecté par l’UEBA : le serveur web commence à initier des connexions sortantes vers des adresses IP suspectes, à exécuter des processus inhabituels et à consommer anormalement de la mémoire et du CPU.
    • Alerte UEBA : l’UEBA détecte un comportement anormal du serveur web, une possible compromission et une utilisation du serveur comme point de départ pour des attaques vers d’autres systèmes (attaque par rebond).
  4. Application compromise :
    • Comportement normal : une application métier utilise des requêtes SQL standard pour interagir avec sa base de données, traite des transactions et génère des rapports.
    • Comportement anormal détecté par l’UEBA : l’application commence à générer des requêtes SQL anormalement longues et complexes, tente d’accéder à des tables de la base de données auxquelles elle n’accédait jamais auparavant et initie des connexions réseau vers des ports non standard.
    • Alerte UEBA : l’UEBA détecte un comportement applicatif déviant, suggérant une possible vulnérabilité exploitée (comme une injection SQL) ou une compromission de l’application elle-même.

Usages de l’IA dans l’UEBA : Le cœur de la détection intelligente

L’IA et plus précisément l’apprentissage automatique (Machine Learning – ML) sont au cœur du fonctionnement de l’UEBA. Voici les principaux usages de l’IA dans les solutions UEBA :

  • Apprentissage non supervisé pour la baseline de comportement normal : les algorithmes de ML non supervisé sont utilisés pour analyser de grandes quantités de données d’activité et identifier automatiquement les schémas de comportement typiques pour chaque utilisateur et entité. Ces algorithmes peuvent détecter des corrélations et des tendances complexes qui seraient impossibles à identifier manuellement. Exemples d’algorithmes utilisés : clustering, analyse de composants principaux (PCA), algorithmes de détection d’anomalies basés sur la densité (DBSCAN, Isolation Forest).
  • Apprentissage supervisé pour la détection d’anomalies et la classification des risques : une fois les baselines établies, des algorithmes de ML supervisé peuvent être entraînés à reconnaître les anomalies et à les classifier en fonction de leur niveau de risque. Ces algorithmes apprennent à partir des retours des analystes de sécurité (alertes validées comme légitimes ou faux positifs) pour améliorer leur précision au fil du temps. Exemples d’algorithmes utilisés : arbres de décision, forêts aléatoires, machines à vecteurs de support (SVM), réseaux neuronaux.
  • Analyse du langage naturel (NLP) pour l’analyse des logs et du texte : certaines solutions UEBA utilisent le NLP pour analyser des logs textuels, des emails ou d’autres données non structurées. Cela permet d’extraire des informations contextuelles supplémentaires et d’améliorer la détection d’anomalies basées sur le contenu du langage (par exemple, détection de communications suspectes, d’emails de phishing internes).
  • Automatisation de la réponse et de l’investigation (SOAR – Security Orchestration, Automation and Response) : l’IA peut également être utilisée pour automatiser certaines actions de réponse aux incidents détectés par l’UEBA. Par exemple, une alerte UEBA à haut risque peut automatiquement déclencher l’isolation d’un poste de travail compromis ou la réinitialisation du mot de passe d’un compte utilisateur. L’IA peut aussi aider à automatiser l’investigation des alertes en fournissant un résumé des anomalies détectées, les entités affectées et les recommandations d’actions.

Retour au Glossaire

domaine de formation

Cybersécurité

formations associées

Sécurité systèmes et réseaux, niveau 1

Hacking et sécurité, niveau 1

Sécurité des systèmes d'information, synthèse

BEST

Vers la ORSYS Cyber Academy : un espace gratuit dédié à la cybersécurité