En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Comparateur de logiciels de gestion
Avec notre comparateur en ligne, trouvez en quelques clics la solution à votre besoin
agenda
Agenda
Solutions IT
  • 20/03/2018
    Edition 2018 des salons Solutions RH

    L’édition 2018 du rendez-vous de toute la communauté RH, avec 3 grandes manifestations aura lieu…

    en détail En détail...
  • 20/03/2018
    IT & IT Security Meetings 2018

    IT Meetings devient IT & IT Security Meetings et ouvrira ses portes en mars pour…

    en détail En détail...
Appels d'offres en cours
  • Mise en place d'une solution de pointage pour un institut
    < 2 000 €
    > En savoir plus
  • Création d'un site e-commerce pour la vente de prêt-à-porter
    < 500 €
    > En savoir plus
  • Création d'un site e-commerce pour la vente de bijoux et de décorations
    < 3 000 €
    > En savoir plus
NTT secu_Threat Intelligence report_leaderboard

L’empreinte comportementale est l’avenir de l’authentification

ITrust_SOC_pave

Le mot de passe est mort, soutient comme d’autres, Balázs Scheidler, co-fondateur et CTO de Balabit. Mais pour lui, c’est l’empreinte comportementale de l’utilisateur qui va le remplacer affirme-t-il.

L’un des principaux objectifs de la cybersécurité a toujours été de se prémunir des attaques venant de l’extérieur. Pour cela, traditionnellement, les entreprises impliquent des technologies de sécurité préventive comme des pare-feu ou des passerelles de sécurité filtrant le trafic inconnu afin de tenter de protéger les utilisateurs à l’intérieur. Cela ne fait aucun doute, il s’agit d’une bonne ligne de défense, performante comme peuvent l’être des contrôles de sécurité à l’entrée d’un pays. Le problème est qu’aujourd’hui, ces cybercriminels sont aussi présents à l’intérieur de l’entreprise, mais ne sont pas identifiés. Pour répondre à cette problématique, de nouvelles technologies de sécurité, se concentrant davantage sur la détection et l’action que sur la prévention, sont en train d’émerger.

Authentifier les utilisateurs grâce à leur empreinte comportementale

Difficile d’empêcher des personnes malveillantes déjà présentes à l’intérieur du pare-feu de l’entreprise, de commettre des dégâts. Et la mission se complique encore plus lorsque ces personnes malveillantes disposent d’accès privilégiés sur le réseau et qu’elles sont donc en mesure d’obtenir très facilement des mots de passe d’authentification et ainsi d’agir à leur guise.

La plupart des solutions technologiques ne peuvent protéger le système d’information contre ces menaces internes. Lorsqu’un cybercriminel obtient un accès au CRM de l’entreprise, le Centre des opérations de sécurité (SOC) ne peut généralement pas prévenir une attaque résultant d’un utilisateur semblant légitime. De la même manière, il est presque impossible pour une entreprise de stopper une attaque APT lorsqu’elle est basée sur l’utilisation d’identifiants de compte d’un utilisateur à privilèges, qui ont été dérobés.

Pourquoi détecter ces attaques est si difficile ? Tout simplement parce que malgré de multiples facteurs d’authentification – la gestion des mots de passe ou encore la surveillance des sessions utilisateurs – il manque à l’entreprise un piège pour détecter les abus de comptes à privilèges. Ce piège peut désormais être mis en place grâce au comportement, et la définition de l’empreinte comportementale des utilisateurs. En effet, le comportement est le lien manquant dans la détection et la prévention des failles. Le comportement est, et doit être, la nouvelle authentification.

Chaque comportement est unique et infalsifiable 

Les machines ont exactement le même comportement dès lors qu’elles ont les mêmes spécifications et qu’elles sont programmées de la même manière. Cela ne vaut absolument pas pour l’être humain. Chaque individu est différent et unique. Ce qui rend uniques des utilisateurs à privilèges réalisant leurs tâches quotidiennes, c’est donc leur comportement.

Un utilisateur à privilèges a des schémas de comportement de travail typiques, qui peuvent être enregistrés comme des métadonnées. Grâce à l’analyse de ces schémas et l’enregistrement des sessions, il est aujourd’hui possible de définir l’empreinte comportementale d’un utilisateur basé par exemple sur la connaissance des serveurs auxquels l’utilisateur se connecte généralement, les actions qu’il a l’habitude de réaliser lorsqu’il est logué, les commandes et les applications qu’ils utilisent, etc.

Dans le cas d’une faille interne, des éléments du comportement habituel de l’utilisateur seront forcément anormaux. Cela pourra, par exemple, être des commandes utilisées de manière inhabituelle, ou un délai de connexion inhabituellement long de l’utilisateur pour se connecter au système CRM.

Dans le cas d’une attaque APT, un cybercriminel particulièrement doué cherchera à imiter le comportement habituel de l’utilisateur dont il aura piraté le compte, ainsi les métadonnées auront l’air identiques. Alors comment détecter cette attaque ? Plus compliqué mais pas impossible. Dans ce scénario, il faut aller plus loin que les métadonnées pour analyser les comportements très spécifiques mais mesurables, comme la façon dont l’utilisateur tape sur son clavier, les mouvements de souris ou encore vitesse de frappe sur le clavier. Ainsi, si suite à un piratage de son compte, la vitesse de frappe de l’utilisateur sur son clavier se réduit énormément ou que des erreurs inhabituelles surviennent, ces comportements anormaux sont immédiatement considérés comme des alertes. Une faille peut donc être stoppée avant qu’elle ne survienne.

Vers la fin de l’identification unique par mot de passe

Les méthodes d’identification traditionnelles sont concentrées sur un instant T. C‘est ce que proposent les mots de passe. Aujourd’hui, cette méthode d’identification ne garantit plus un niveau de sécurité optimal. Les cybercriminels connaissent de nombreuses techniques pour dérober des identifiants (phishing, spear phishing, malwares, etc.) et se faire passer pour les utilisateurs légitimes pour mener à bien leurs attaques.

En ajoutant une dimension liée au comportement de l’utilisateur, il devient possible de surveiller l’activité en temps réel, et ainsi de continuellement authentifier les utilisateurs à privilèges sur la base d’une empreinte comportementale de base définie. Grâce à ce niveau de surveillance en continu et en temps réel basé sur les utilisateurs, il est possible de réduire significativement les menaces liées aux utilisateurs internes et les attaques sophistiquées.

L’empreinte comportementale est l’avenir de l’authentification
Notez cet article

Laisser un commentaire

Threat Intelligence Report

À travers sa plateforme de cyberveille mondiale, NTT Security analyse 40 % du trafic Internet dans le monde. Découvrez le dernier rapport du centre mondial de cyberveille (Global Threat Intelligence Center) sur l’état des menaces au troisième trimestre 2017

Lire le rapport

Sondage

Noël : quel cadeau High tech pour vous même ou vos proches? (3 choix possibles)

Voir les résultats

Loading ... Loading ...
Nos derniers dossiers
Témoignages
Juridique
  • La justice américaine va examiner la saisie d'emails à l'étranger

    Washington, 16 oct 2017 (AFP) - La Cour suprême des Etats-Unis a annoncé lundi qu'elle…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • Expert - Collaboration entre développeurs freelances et entreprises : pourquoi les grands groupes doivent recruter un Chief Freelance Officer

    Recruter un Chief Freelance Officer ? Charles Thomas, CEO et co-fondateur de Comet, une start-up…

    > En savoir plus...
Etudes/Enquêtes
  • Secteur IT : une croissance annuelle de l'emploi de 5 % !

    Les entreprises de services du numérique (ESN), les éditeurs de logiciels et les sociétés de…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement

Guide de la cybersécurité 2017-2018

elo_processus pointe_skyscraper
Agenda
livres blancs
Les Livres
Blancs
  • Cloud hybride : réussir l’externalisation de votre SI en 4 étapes

    > Voir le livre
  • Les bonnes pratiques pour implémenter une solution de personnalisation

    > Voir le livre
Global K_Data scientist_skycraper