Qu’est-ce que l’UEBA ? Définition, avantages et fonctionnement

UEBA est l’abréviation de User and Entity Behavior Analytics, ou analyse du comportement des entités et utilisateurs en français. Anciennement nommée « user behavior analytics », l’UEBA consiste à suivre les anomalies au niveau du comportement des utilisateurs pour identifier des risques ou des menaces potentielles pour la cybersécurité. L’idée est de disposer d’un important jeu de données sur les comportements des utilisateurs et, en cas d’écart par rapport à la norme, de déclencher des alertes ou des mesures spécifiques qui pourront empêcher les cyberattaques ou les arrêter avant qu’elles n’aient provoqué des dégâts trop importants.

Fonctionnement de l’UEBA

L’UEBA suit le comportement des utilisateurs et des entités d’une organisation pour repérer les comportements anormaux. Dans le domaine de la cybersécurité, un utilisateur ou une entité peut être n’importe quel système informatique, processus métier ou organisation (y compris gouvernementale).

L’UEBA surveille ces utilisateurs et ces entités en révisant et en analysant constamment leurs données pour déterminer si une activité ou un comportement particulier est anormal et donc potentiellement dangereux car susceptible d’aboutir à une cyberattaque.

Imaginons par exemple qu’un hacker vole le mot de passe d’un employé et se connecte à un système. Une fois qu’il aura pénétré dans le système, il ne se comportera sans doute pas du tout comme le faisait habituellement l’utilisateur, ce qui déclenchera une alerte signalant une cybermenace.

Pour réaliser ce suivi sophistiqué des anomalies, l’UEBA utilise à la fois l’apprentissage machine, l’analyse statistique et l’analytique avancée. En général, le système UEBA établit un comportement utilisateur « de référence » auquel il compare l’activité.

UEBA et SIEM : quelle différence ?

Le système de gestion des informations et des événements de sécurité (SIEM) utilise des tableaux de bord pour fournir une vue globale de toutes les informations et événements de sécurité, puis déclenche des alertes si nécessaire. Les plateformes SIEM collectent et regroupent des données de différents outils de sécurité et systèmes informatiques afin de les analyser.

Les systèmes UEBA, de leur côté, utilisent l’apprentissage machine pour analyser le comportement des utilisateurs. À partir de ces informations, ils identifient de possibles cybermenaces et envoient des alertes en temps réel. Les systèmes SIEM ont été les premiers utilisés, mais les entreprises se sont vite rendu compte qu’en y intégrant des stratégies UEBA, ils surveillaient bien plus efficacement les menaces en temps réels et réagissaient rapidement. En effet, contrairement au SIEM, l’UEBA suit et analyse le comportement des utilisateurs.

UBA, UEBA, une seule et même technologie ?

Pour comprendre la différence entre l’analyse des comportements des utilisateurs (UBA) et l’UEBA, il faut comprendre pourquoi et par qui le « E » a été ajouté.

Le « E » de UEBA est l’abréviation de « entité » et provient d’un Gartner Market Guide publié en 2017. C’est la première fois que le terme « UEBA » était utilisé à la place de « UBA ». Jusque-là, la technologie UBA s’intéressait avant tout au vol de données et à la fraude. Mais les entreprises s’étant rendu compte que les cybermenaces n’émanaient pas uniquement des utilisateurs, mais aussi de points de terminaison gérés ou non gérés, du cloud et d’applications mobiles, de réseaux et de différentes sources externes malveillantes. Pour ces sources de cyber-risques, Gartner utilisait le terme « entité ».

Pour résumer, l’UBA et l’UEBA sont très proches mais pas identiques. L’UEBA est la version actuelle de l’UBA.

UEBA ou SOAR : quel est le meilleur système ?

Les outils d’orchestration, automatisation et réponse aux incidents (SOAR) permettent aux organisations de réagir plus rapidement aux menaces de sécurité, par la collecte et la centralisation des données de différents systèmes et différentes plateformes. Les outils SOAR sont donc perçus comme un moyen d’obtenir une « source de données unique » pour toutes les données et les activités liées à la cybersécurité. Les systèmes SOAR peuvent également servir à automatiser les réponses à des menaces de sécurité mineures.

Si les système SOAR mettent l’accent sur l’automatisation, la collecte de données et l’agrégation, les systèmes UEBA se concentrent sur l’analyse des comportements des utilisateurs et des entités. Une solution SOAR peut donner une coup d’accélérateur, mais la solution UEBA est capable de détecter des anomalies qui passent inaperçues pour le SOAR. Ainsi, aucun des deux outils ou des deux méthodes n’est meilleur que l’autre. En revanche, ils sont complémentaires, apportent des avantages différents, et sans doute est-il préférable de les associer.

Trois raisons d’utiliser un système UEBA

L’UEBA est un outil puissant pour surveiller et limiter d’éventuelles cybermenaces. Il existe principalement trois raisons d’utiliser un système UEBA :

1. Réduire la surface d’attaque

L’UEBA signale les failles de sécurité et les points faibles des systèmes aux équipes de sécurité, ce qui réduit les risques de cyberattaque en limitant la surface d’attaque globale.

2. Amélioration de l’efficacité des opérations

L’UEBA peut réduire la charge de travail manuelle des équipes de sécurité en s’appuyant sur l’automatisation et l’apprentissage machine pour identifier et confirmer les menaces. Ainsi, les professionnels de la sécurité peuvent passer plus de temps sur les menaces réelles plutôt qu’à suivre les alertes.

3. Superpouvoirs

Si le mot « superpouvoirs » est un peu exagéré, l’UEBA apporte bel et bien des pouvoirs spéciaux à l’organisation dans le domaine de la cybersécurité : la capacité à détecter un risque d’exfiltration des données avant que cette exfiltration n’ait lieu, à identifier les comptes détournés et à éviter l’utilisation abusive de droits.

Pour ces raisons, l’UEBA, surtout lorsqu’elle est associée à d’autres stratégies comme la technologie SOAR, est extrêmement efficace pour identifier les cyberattaques avant qu’elles ne se produisent, les empêcher et réduire l’exposition de l’organisation aux cybermenaces.