Skip to main content

UEBA – User and Entity Behavior Analytics

1. Définition

UEBA signifie "User and Entity Behavior Analytics", en français "Analyse du Comportement des Utilisateurs et Entités".

C’est une technologie de cybersécurité qui utilise des techniques avancées (comme le machine learning) pour analyser les comportements habituels des utilisateurs, appareils, applications, et autres entités dans un système informatique afin de détecter des activités anormales ou suspectes.

2. Objectif

L’objectif du UEBA est de :

  • Identifier des comportements inhabituels qui peuvent indiquer une menace, même si ces comportements ne correspondent pas à des signatures classiques d’attaque.

  • Détecter des attaques avancées, comme les compromissions de comptes, menaces internes, ou attaques basées sur des mouvements latéraux.

  • Compléter les systèmes classiques de sécurité (pare-feu, antivirus, SIEM) par une analyse comportementale fine.

3. Fonctionnement

  • Le système UEBA collecte des données issues de plusieurs sources (logs, authentifications, accès aux fichiers, activité réseau…).

  • Il établit un profil normal pour chaque utilisateur ou entité, basé sur leur historique et contexte (ex. horaires habituels, volume d’accès, ressources utilisées).

  • En temps réel ou en analyse post-événement, il compare les nouvelles actions aux profils habituels.

  • Il détecte des écarts significatifs (par exemple : connexion à des heures inhabituelles, accès massif à des données sensibles, utilisation anormale d’un compte).

  • Il génère des alertes pour investigation ou déclenche des réponses automatiques.

4. Types d’entités analysées

  • Utilisateurs humains (employés, partenaires)

  • Machines et serveurs

  • Applications

  • Comptes administrateurs

  • Objets IoT

5. Avantages du UEBA

  • Permet de détecter des menaces difficiles à identifier avec des méthodes traditionnelles.

  • Surveille les menaces internes, souvent invisibles.

  • Réduit le nombre de faux positifs en prenant en compte le contexte comportemental.

  • Améliore la visibilité sur les activités réseau, cloud et systèmes.

6. Limites

  • Nécessite une phase d’apprentissage pour construire des profils fiables.

  • Peut générer des alertes sur des changements légitimes (ex. employés en télétravail temporaire).

  • Complexité dans la gestion des données et interprétation des résultats.

  • Souvent intégré dans des solutions plus larges comme SIEM ou XDR.

7. Exemples de cas d’usage

  • Un employé accède soudainement à des fichiers confidentiels hors de ses droits habituels.

  • Un compte est utilisé à des heures ou depuis des lieux géographiques inhabituels.

  • Une machine commence à envoyer un volume anormal de données sur le réseau.

  • Une application présente un comportement inhabituel indiquant une compromission.

8. Résumé

Élément Description
Nom UEBA (User and Entity Behavior Analytics)
But Analyse comportementale pour détecter activités anormales ou malveillantes
Cible Utilisateurs, machines, applications, comptes
Avantages Détection avancée, surveillance des menaces internes, réduction des faux positifs
Limites Nécessite phase d’apprentissage, complexité, alertes parfois difficiles à interpréter
Utilisateurs typiques SOC, analystes sécurité, grandes entreprises
Back to top