Qu'est-ce que l'User and Entity Behaviour Analytics (UEBA), et quelles menaces attrape-t-elle ?
Réponse courte
L'UEBA (User and Entity Behaviour Analytics) construit des référentiels comportementaux pour les utilisateurs et les entités (hôtes, comptes de service, appareils) et utilise des statistiques ou l'apprentissage automatique pour scorer les écarts comme du risque. Elle excelle face aux menaces sans signature nette : identifiants compromis, abus interne et déplacement latéral — p. ex. un utilisateur accédant soudain à des systèmes qu'il ne touche jamais, à des heures inhabituelles, ou déplaçant des volumes de données anormaux. Elle complète la détection basée sur des règles plutôt que de la remplacer, et nécessite un ajustement pour éviter les faux positifs dus aux changements de comportement légitimes.
L'UEBA — User and Entity Behaviour Analytics — répond à une question que les signatures ne peuvent pas : ce compte ou cet appareil se comporte-t-il comme lui-même ? Au lieu d'apparier des motifs connus comme mauvais, elle apprend le comportement normal de chaque utilisateur et entité et signale les écarts significatifs.
Utilisateurs et entités
Le « U » désigne les utilisateurs ; le « E » tout le reste qui agit dans votre environnement — hôtes, comptes de service, appareils IoT, applications. Les comptes de service sont particulièrement précieux à profiler : ils devraient se comporter de façon prévisible, donc un compte de service qui effectue soudain des connexions interactives ou touche de nouveaux systèmes est un signal fort.
Comment ça fonctionne
L'UEBA établit un référentiel par entité, puis applique des modèles statistiques ou de l'apprentissage automatique pour scorer à quel point l'activité courante s'en écarte. Plutôt qu'une simple alerte binaire, elle produit généralement un score de risque qui s'accumule sur plusieurs signaux faibles — heure de connexion étrange, plus accès inhabituel à des ressources, plus volume de données anormal — faisant remonter les entités les plus à risque pour examen par un analyste.
Ce qu'elle attrape
- Identifiants compromis — la connexion est valide, mais le comportement qui suit ne l'est pas.
- Menace interne — un employé accédant à des données ou les exfiltrant en dehors de son rôle.
- Déplacement latéral — une entité atteignant des systèmes avec lesquels elle n'a aucun historique.
Limites
L'UEBA n'est pas magique. Le changement légitime — une promotion, un projet, un voyage — produit aussi des écarts, elle génère donc des faux positifs et nécessite un ajustement et le contexte d'un analyste. Elle augmente la détection basée sur des règles et les TTP ; elle ne les remplace pas.
Pourquoi c'est important
Les recruteurs veulent voir que vous savez que l'UEBA cible les menaces comportementales que les signatures manquent, que vous comprenez le scoring de risque et que vous respectez son coût en faux positifs — pas que vous la traitez comme une solution miracle.
Questions de suivi probables
- En quoi l'UEBA diffère-t-elle d'un seuil d'anomalie statique ?
- Pourquoi les comptes de service sont-ils souvent de bonnes entités à profiler ?
- Quels types de faux positifs l'UEBA génère-t-elle, et comment les gérez-vous ?