Un tiers des incidents de cybersécurité sont causés par une menace complètement inédite (étude Infosecurity Europe pour One Identity). Comment une entreprise peut-elle se défendre et se prémunir contre quelque chose qui non seulement ne s'est pas encore produit, mais dont la forme et le mode opératoire sont inconnus ? Pour Hicham Bouali, Architecte IAM chez One Identity, la nouvelle arme sur laquelle les DSI peuvent compter pour renforcer leurs capacités de détection des menaces, même inédites : l’authentification basée sur la biométrie comportementale.
Les attaques sont de plus en plus sophistiquées. Les plus virulentes intègrent de nombreux composants pour infiltrer petit à petit le réseau de leur victime et lancer une attaque discrète ou au contraire déclencher une vaste attaque au moment le plus opportun. Très souvent, l’un des principaux vecteurs est la compromission d’un compte utilisateur (un utilisateur lambda ou un administrateur disposant d’accès privilégiés) via des emails de phishing par exemple. La raison est simple : si l’attaquant parvient à se faire passer pour un utilisateur légitime - ou si l’attaquant est lui-même un collaborateur – il devient difficile de détecter que ses actions sont malveillantes.
Mais depuis quelques années une contre-offensive s’est mise en place grâce aux technologies de machine learning et de biométrie comportementale qui permettent de réduire l’avantage pris au fil du temps par les cybercriminels sur les défenseurs.
La biométrie au service de la sécurité
La biométrie peut être définie comme le moyen d'identifier des personnes en fonction de leurs caractéristiques biologiques, physiques ou comportementales. La plupart des gens connaissent la biométrie physique. Les pirates informatiques ont découvert des méthodes astucieuses pour voler ou reproduire les empreintes digitales. Par exemple, il est possible de prendre une photo du verre qu'une personne a touché, et de créer une empreinte digitale avec une imprimante 3D. La biométrie comportementale, en opposition à la biométrie physique, constitue un nouveau moyen de défense efficace contre les cybercriminels. Nos traits physiques ne sont pas les seules choses qui nous rendent uniques. En effet, la façon de parler, d'écrire, de taper sur un clavier, ou de cliquer permettent de distinguer un individu d’un autre, de manière aussi fiable que des empreintes digitales.
Biométrie comportementale - la relève
Il y a plusieurs raisons pour lesquelles la biométrie comportementale est complémentaire aux méthodes d’authentification actuelles. Tout d'abord, en raison de sa précision, elle est plus sûre que la biométrie physique. En effet, en raison de leur nature, il est peu probable que des données biométriques comportementales soient volées ou reproduites, par une autre personne ou une machine.
Comme son nom l’indique, elle permet de surveiller les schémas comportementaux. Comment ? La technologie basée sur le machine learning va analyser pendant plusieurs semaines le comportement d’un utilisateur pour créer un profil qui lui est propre. Une fois la technologie opérationnelle, elle devient capable de détecter toute déviance de comportement en observant et corrélant des dizaines de facteurs. Et comme elle est exécutée à l’aide d’algorithmes, elle se perfectionne en permanence.
Les données examinées incluent : le mouvement de la souris, la manière de taper, l'adresse IP, l'ordinateur ou les applications utilisées, etc. Le logiciel, analyse et enregistre les schémas comportementaux des individus et des groupes. Avec un système de notation biométrique comportementale allant de zéro à 100, les entreprises peuvent facilement évaluer le risque encouru. Plus la note s’approche de 100, plus le niveau de risque est élevé.
La biométrie comportementale en pratique
L’idée derrière l’étude comportementale est de mettre en place un socle de référence pour un utilisateur ou un compte à privilèges. Chaque utilisateur ou compte aura sa propre « empreinte » contenant par exemple : les habitudes de connexion, l’amplitude horaire de connexion, les systèmes auxquels il a accès, le navigateur utilisé…etc. mais également des données biométriques qui sont uniques à chaque individu.
Le score de risque sera entre 0 et 20, lorsque qu’un collaborateur conserve ses habitudes de travail. En revanche, si l'employé se connecte au système à 2 heures du matin, ce qui constitue un comportement anormal, le système biométrique déclenchera alors un signal et le score sera porté à 40 environ. S'il est connecté(e) à son ordinateur, en suivant son schéma comportemental habituel (portail similaire, même façon de cliquer, etc.), le système ne se mettra pas à l'arrêt.
Si le score est supérieur à 50, par exemple, l'équipe de sécurité recevra une notification. Permettant ainsi à celle-ci de faire des recherches approfondies. Le score étant divisé en différents algorithmes et chaque facteur étant pondéré différemment, il se peut que l'ouverture de session nocturne ait généré une alerte de sécurité, mais le schéma comportemental étant vérifié, l'équipe de sécurité peut conclure qu'il n'y a manifestement aucun comportement malveillant. Ce qui permet d'assurer le bon déroulement des opérations et d’offrir aux collaborateurs une grande flexibilité dans leur travail.
Il est important de souligner qu’il n’existe pas de solution miracle dans le domaine de la cybersécurité, ni de solution unique et sûre à 100 %. Cependant, l’utilisation de la biométrie comportementale offre un niveau supplémentaire de sécurité critique, et elle permet surtout d’authentifier les utilisateurs en continu et de détecter avec certitude si les utilisateurs sont bien ceux qu’ils prétendent être !