Secu
Utiliser l’analyse des données longitudinales pour la détection des menaces sur les identités
Par La rédaction, publié le 29 avril 2025
Pour détecter ce qui échappe à l’instantané, l’analyse longitudinale scrute l’histoire des identités et révèle les anomalies là où on ne les attend pas. Elle offre aux entreprises une approche complémentaire, prédictive et ciblée, pour renforcer la sécurité des identités.
Par James Maude, Field Chief Technology Officer de BeyondTrust
Les entreprises gérant un nombre croissant d’identités, humaines et non humaines, dans des environnements sur site, cloud et SaaS, leur surface d’attaque s’est considérablement élargie. Chacune de ces identités offre aux acteurs malveillants la possibilité d’exploiter et d’accéder aux données et ressources systèmes sensibles. Par conséquent, la sécurité des identités est devenue essentielle pour sécuriser le paysage numérique actuel.
L’analyse des données longitudinales (LDA)
Une approche efficace pour détecter les menaces liées aux identités est l’analyse des données longitudinales (LDA, longitudinal data analysis), qui passe au crible l’évolution du comportement des utilisateurs au fil du temps. Elle permet ainsi d’identifier les modifications suspectes de configuration et/ou de comportement d’un compte, d’une adresse IP, d’une session ou d’une autre entité au fil du temps.
L’une des composantes de la LDA est la collecte de mesures répétées par entité, permettant ainsi d’étudier les changements au fil du temps. Elle utilise ensuite diverses approches de modélisation et de structuration des données pour permettre l’analyse temporelle des changements. Plutôt que d’examiner uniquement l’état actuel d’une entité, comme le niveau de privilèges d’un utilisateur, la LDA combine l’état passé et l’état actuel, afin d’identifier les activités ou configurations anormales. Une élévation de privilèges, ou un saut de privilèges, par exemple, peut indiquer une compromission de compte.
La LDA pour la sécurité des identités
La sécurité des identités est intrinsèquement temporelle. De manière générale, l’identification d’un comportement inhabituel nécessite de connaître à la fois l’état actuel et les états antérieurs d’une entité. Cela implique de modéliser l’état d’une entité à la période actuelle en fonction de son état aux périodes précédentes. Par exemple, pour déterminer si la configuration ou le comportement actuel d’un compte est anormal, il faut souvent examiner les configurations ou comportements antérieurs. LDA fournit un cadre pour y parvenir.
Un autre avantage de l’analyse LDA est la possibilité d’inclure des informations spécifiques au sujet dans le modèle. Par exemple, on peut s’attendre à ce que certains comptes aient des niveaux de privilèges plus élevés que d’autres ; les approches LDA offrent différentes méthodes pour intégrer ces informations spécifiques au sujet dans le modèle.
Par exemple, un utilisateur peut bénéficier d’un accès standard, et obtenir ultérieurement des autorisations excessives ou injustifiées, qui pourraient être exploitées si rien n’est fait. L’analyse longitudinale des données permet aux équipes de sécurité d’observer l’évolution des modèles d’accès, de suivre les tendances en matière d’autorisations et de signaler tout écart qui pourrait autrement passer inaperçu. Cette approche est particulièrement utile pour identifier les changements d’état inhabituels, tels que les changements d’inactivité des comptes, l’élévation des privilèges et les mouvements latéraux au sein d’un système.
Voici quelques exemples supplémentaires de la manière dont LDA peut être utilisé dans la sécurité des identités :
* Détection d’anomalies dans le comportement de connexion : identification de modèles de connexion inhabituels, tels que des connexions à partir d’emplacements, d’appareils ou d’heures inconnus qui s’écartent du comportement historique d’un utilisateur.
* Modèles d’accès suspects : détection des demandes d’accès inhabituelles à des ressources sensibles, en particulier si elles s’écartent des modèles d’utilisateur ou de groupe établis, ce qui pourrait indiquer une compromission de compte.
* Surveillance de l’escalade des privilèges : détection de l’accumulation progressive de privilèges ou de pics soudains de privilèges.
* Surveillance des comportements inhabituels dans les comptes inactifs : identification des comptes inactifs ou peu utilisés qui peuvent présenter des risques de sécurité s’ils sont soudainement réactivés.
* Détection de mouvement latéral : observation des modèles d’activité réseau et de connexion d’un utilisateur afin d’identifier les changements anormaux de comportement, comme une augmentation soudaine du nombre de systèmes auxquels il accède.
* Détournement de session : détection lorsque l’activité de session d’un compte change de manière inattendue, comme des changements d’adresse IP, d’appareil, d’emplacement ou d’agent utilisateur.
L’analyse des données longitudinales est un outil précieux, bien que souvent sous-utilisé, pour la sécurité des identités. Contrairement aux évaluations ponctuelles, l’analyse des données longitudinales permet aux équipes de sécurité de suivre et d’analyser les tendances comportementales des utilisateurs, de détecter les anomalies subtiles et de repérer les changements de privilèges au fil du temps. Intégrée à une stratégie de sécurité plus large, la LDA offre aux organisations le contexte et la continuité nécessaires pour comprendre pleinement l’évolution et le comportement des identités dans leurs environnements. Ce faisant, elle renforce les défenses contre les menaces modernes, dont beaucoup prospèrent dans les angles morts des méthodes de détection traditionnelles.
À LIRE AUSSI :
À LIRE AUSSI :
À LIRE AUSSI :
