Comment l’UBA peut s’inscrire dans votre stratégie de cybersécurité

UBA, Machine learning et Cybersécurité

La cybersécurité de votre entreprise n’est pas uniquement menacée de l’extérieur. Parfois, le danger peut être interne. L’UBA est un processus de sécurité basé sur l’analyse des comportements des utilisateurs. En effet, si la solution détecte une anomalie, vous pourrez être alerté et prendre les dispositions nécessaires. Les évolutions du Machine learning permettent également d’augmenter ou d’affiner la puissance d’analyse de l’UBA. Qu’est-ce que l’UBA, et comment peut-elle participer à votre cybersécurité ?

Au sommaire

1. Qu’est-ce que l’UBA ?

2. Quelle différence entre UBA et UEBA ?

3. Le rôle du Machine learning dans l’UBA

4. L’UBA au cœur de la stratégie de cybersécurité

4.1. L’UBA couplé au SIEM

4.2. Le rôle de l’UBA dans un SOC

5. Paramétrer votre solution UBA pour répondre à vos objectifs

  1. Qu’est-ce que l’UBA ?

L’UBA est l’acronyme de User Behavior Analytics. Elle consiste en l’analyse des comportements des utilisateurs et plus précisément de leurs écarts. Cela s’applique pour analyser l’utilisation d’un programme, d’un compte utilisateur ou d’une application par exemple. 

L’objectif de l’UBA est de déterminer une norme d’utilisation, ou une référence pour chaque utilisateur. En comparant une utilisation dans le temps avec la norme à l’aide de logiciels dédiés, une solution UBA va donc détecter les possibles déviations. Cette solution renforce le travail des équipes de sécurité à identifier des menaces internes.

  1. Quelle différence entre UBA et UEBA ?

La différence entre UBA et UEBA est la notion d’entités. En effet, le terme UEBA a été inventé par Gartner : l’ajout du E sert à reconnaître que « d’autres entités, en dehors des utilisateurs, sont souvent profilées pour localiser plus précisément les menaces, en partie en corrélant le comportement de ces autres entités avec celui des utilisateurs. » 

L’analyse comportementale des utilisateurs et des entités va participer à améliorer la sécurité de votre entreprise contre les cybermenaces qui chercheraient à s’infiltrer. Car le principe de l’UEBA est de relier des variables dans le but de déterminer ce qui ne serait pas un fonctionnement normal au niveau des serveurs en réseau ou d’objets connectés par exemple.

  1. Le rôle du Machine learning dans l’UBA

Pour comprendre le rôle du Machine learning dans l’UBA, il faut déjà appréhender le fonctionnement des algorithmes capables d’apprendre. Le Machine learning est en effet une technique de programmation informatique. Pour des résultats prédictifs, cela demande d’utiliser des big datas et des probabilités statistiques. Sans programmation explicite, ces algorithmes vont apprendre à tirer des conclusions ou des apprentissages des résultats obtenus. 

Pour cela, ils vont utiliser un très grand nombre de tests. C’est ce qu’on appelle également l’apprentissage automatique. Grâce au Machine learning, l’UBA identifie et peut suivre le comportement d’acteurs au comportement déviant ou menaçant, et ce tout au long de leur parcours dans les environnements de l’entreprise. Le résultat est une détection automatisée et précise des anomalies et des potentielles menaces de sécurité.

  1. L’UBA au cœur de la stratégie de cybersécurité

Mettre l’UBA au cœur de votre stratégie de cybersécurité, c’est utiliser une solution prédictive clé pour détecter plus finement les anomalies et réagir plus rapidement. Des outils complémentaires peuvent encore faciliter le travail du DSI.

4.1. L’UBA couplé au SIEM

SIEM est l’acronyme de Security Information and Event Management. Cela comprend des produits et des services logiciels qui combinent des informations de sécurité et de la gestion d’évènements de sécurité. 

L’UBA ainsi couplé au SIEM propose une vue globale et centralisée du niveau de sécurité d’une infrastructure IT. Ainsi, vous pouvez surveiller et détecter des failles de votre cybersécurité presque en temps réel. 

4.2. Le rôle de l’UBA dans un SOC

Le rôle de l’UBA est donc d’apporter un support complet et efficace au SOC. En effet, le centre des opérations de sécurité est une équipe qui fonctionne 24 heures sur 24. Elle est habituellement interne à l’entreprise et travaille en collaboration avec l’équipe d’intervention. 

Sa mission est de détecter, évaluer, répondre et même prévenir les menaces de cybersécurité sur les serveurs, les réseaux, les terminaux, les applications, les sites Web ou tout autre système. Différents profils composent l’équipe d’un SOC, comme des analystes ou des ingénieurs en sécurité. Vous pouvez également en apprendre plus dans notre article consacré au fonctionnement des SOC.

  1. Paramétrer votre solution UBA pour répondre à vos objectifs 

Si vous avez le projet de déployer une solution UBA couplée à du Machine learning pour renforcer vos objectifs en matière de cybersécurité, la première étape sera de définir précisément les normes d’utilisation. Vous pourrez également introduire une phase de preuve de concept d’environ un mois. C’est en effet le temps nécessaire à l’apprentissage automatique pour apprendre vos données. 

L’UBA est un processus de sécurité qui détecte une anomalie. Vous êtes alerté afin de prendre les dispositions qui s’imposent. Pour tous ces aspects techniques, vous pouvez faire confiance à un spécialiste de la cybersécurité : METSYS vous accompagne dans le paramétrage de votre solution UBA.

Si vous avez un doute, contactez le service cyber de Metsys : cyber@metsys.fr

A propos de l'auteur

Acteur incontournable des services du numérique, Metsys s’engage à satisfaire l’ambition de ses clients dans leurs projets de transformation digitale.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.