{"id":23609,"date":"2026-02-12T17:59:41","date_gmt":"2026-02-12T15:59:41","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=23609"},"modified":"2026-02-12T17:59:41","modified_gmt":"2026-02-12T15:59:41","slug":"kaspersky-siem-4-2-update","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/kaspersky-siem-4-2-update\/23609\/","title":{"rendered":"D\u00e9tection des compromissions de compte \u00e0 l’aide d’une solution SIEM"},"content":{"rendered":"

Un nombre important d\u2019incidents modernes trouvent leur origine dans le piratage d\u2019un compte. \u00c9tant donn\u00e9 que les courtiers en acc\u00e8s initial sont devenus une v\u00e9ritable industrie criminelle, il est d\u00e9sormais beaucoup plus facile pour les pirates d\u2019organiser des attaques contre les infrastructures des entreprises en achetant simplement des ensembles de mots de passe et d\u2019identifiants d\u2019employ\u00e9s. La pratique g\u00e9n\u00e9ralis\u00e9e consistant \u00e0 utiliser diverses m\u00e9thodes d\u2019acc\u00e8s \u00e0 distance a simplifi\u00e9 davantage leur t\u00e2che. En m\u00eame temps, les premi\u00e8res \u00e9tapes de ces attaques ressemblent souvent \u00e0 des actions tout \u00e0 fait l\u00e9gitimes de la part des employ\u00e9s et restent longtemps ind\u00e9tectables par les m\u00e9canismes de s\u00e9curit\u00e9 traditionnels.<\/p>\n

Il n\u2019est pas envisageable de se fier uniquement aux mesures de protection des comptes et aux politiques en mati\u00e8re de mots de passe. Il existe toujours un risque que des pirates informatiques s\u2019emparent des identifiants des employ\u00e9s \u00e0 l\u2019aide de diverses attaques de phishing, de programmes malveillants voleurs d\u2019informations ou simplement du fait de la n\u00e9gligence des employ\u00e9s qui r\u00e9utilisent le m\u00eame mot de passe pour leurs comptes professionnels et personnels et ne pr\u00eatent pas suffisamment attention aux fuites de donn\u00e9es sur des services tiers.<\/p>\n

Par cons\u00e9quent, pour d\u00e9tecter les attaques visant l\u2019infrastructure d\u2019une entreprise, il faut disposer non seulement d\u2019outils capables de d\u00e9tecter les signatures de menaces individuelles, mais aussi de syst\u00e8mes d\u2019analyse comportementale en mesure de rep\u00e9rer tout \u00e9cart par rapport au comportement normal des utilisateurs et des syst\u00e8mes.<\/p>\n

Utilisation de l\u2019IA dans les syst\u00e8mes SIEM pour d\u00e9tecter les compromissions de comptes<\/h2>\n

Comme nous l\u2019avons mentionn\u00e9 dans notre pr\u00e9c\u00e9dent article<\/a>, afin de d\u00e9tecter les attaques impliquant le piratage de comptes, nous avons \u00e9quip\u00e9 le syst\u00e8me SIEM de notre solution Kaspersky Unified Monitoring and Analysis Platform d\u2019un ensemble de r\u00e8gles UEBA con\u00e7ues pour d\u00e9tecter les anomalies dans les processus d\u2019authentification, l\u2019activit\u00e9 r\u00e9seau et l\u2019ex\u00e9cution de processus sur les postes de travail et serveurs Windows. Dans la derni\u00e8re mise \u00e0 jour, nous avons continu\u00e9 \u00e0 d\u00e9velopper le syst\u00e8me dans la m\u00eame direction, en ajoutant l\u2019utilisation d\u2019approches bas\u00e9es sur l\u2019IA.<\/p>\n

Le syst\u00e8me cr\u00e9e un mod\u00e8le correspondant au comportement normal des utilisateurs lors de l\u2019authentification et suit les \u00e9carts par rapport aux sc\u00e9narios habituels\u00a0: heures de connexion atypiques, encha\u00eenements d\u2019\u00e9v\u00e9nements inhabituels et tentatives d\u2019acc\u00e8s anormales. Cette approche permet au SIEM de d\u00e9tecter \u00e0 la fois les tentatives d\u2019authentification via des identifiants vol\u00e9s et l\u2019utilisation de comptes d\u00e9j\u00e0 compromis, y compris dans des sc\u00e9narios complexes qui auraient pu passer inaper\u00e7us par le pass\u00e9.<\/p>\n

Au lieu de rechercher des indicateurs individuels, le syst\u00e8me analyse les \u00e9carts par rapport aux mod\u00e8les normaux. Cette approche permet de d\u00e9tecter plus rapidement les attaques complexes tout en r\u00e9duisant le nombre de faux positifs, ce qui all\u00e8ge consid\u00e9rablement la charge op\u00e9rationnelle des \u00e9quipes SOC.<\/p>\n

Auparavant, lorsque l\u2019on utilisait les r\u00e8gles UEBA pour d\u00e9tecter les anomalies, il \u00e9tait n\u00e9cessaire de cr\u00e9er plusieurs r\u00e8gles qui effectuaient un travail pr\u00e9alable et g\u00e9n\u00e9raient des listes suppl\u00e9mentaires dans lesquelles les donn\u00e9es interm\u00e9diaires \u00e9taient stock\u00e9es. D\u00e9sormais, dans la nouvelle version du SIEM dot\u00e9e d\u2019un nouveau corr\u00e9lateur, il est possible de d\u00e9tecter le piratage de compte \u00e0 l\u2019aide d\u2019une seule r\u00e8gle d\u00e9di\u00e9e.<\/p>\n

Autres mises \u00e0 jour apport\u00e9es \u00e0 Kaspersky Unified Monitoring and Analysis Platform<\/h2>\n

Plus l\u2019infrastructure est complexe et plus le volume d\u2019\u00e9v\u00e9nements est important, plus les exigences en mati\u00e8re de performances de la plateforme, de flexibilit\u00e9 de la gestion des acc\u00e8s et de facilit\u00e9 d\u2019utilisation au quotidien prennent de l\u2019importance. Un syst\u00e8me SIEM moderne doit non seulement d\u00e9tecter les menaces avec pr\u00e9cision, mais aussi rester \u00ab\u00a0r\u00e9silient\u00a0\u00bb sans n\u00e9cessiter de mises \u00e0 niveau constantes des \u00e9quipements ni de r\u00e9organisation des processus. C\u2019est pourquoi, dans la version 4.2, nous avons franchi une nouvelle \u00e9tape pour rendre la plateforme plus pratique et plus adaptable. Les mises \u00e0 jour portent sur l\u2019architecture, les m\u00e9canismes de d\u00e9tection et l\u2019exp\u00e9rience utilisateur.<\/p>\n

Ajout de r\u00f4les flexibles et contr\u00f4le d\u2019acc\u00e8s d\u00e9taill\u00e9<\/h3>\n

L\u2019une des principales innovations de la nouvelle version du SIEM est un mod\u00e8le de r\u00f4le flexible. D\u00e9sormais, les clients peuvent cr\u00e9er leurs propres r\u00f4les pour diff\u00e9rents utilisateurs du syst\u00e8me, dupliquer des r\u00f4les existants et personnaliser un ensemble de droits d\u2019acc\u00e8s pour les t\u00e2ches de certains sp\u00e9cialistes. Ce syst\u00e8me permet une r\u00e9partition plus pr\u00e9cise des responsabilit\u00e9s entre les analystes SOC, les administrateurs et les responsables, r\u00e9duit le risque d\u2019attribution de privil\u00e8ges excessifs et refl\u00e8te mieux les processus internes de l\u2019entreprise dans les param\u00e8tres SIEM.<\/p>\n

Nouveau corr\u00e9lateur et, par cons\u00e9quent, stabilit\u00e9 am\u00e9lior\u00e9e de la plateforme<\/h3>\n

Dans la version\u00a04.2, nous avons introduit une version b\u00eata d\u2019un nouveau moteur de corr\u00e9lation (2.0). Celui-ci traite les \u00e9v\u00e9nements plus rapidement et mobilise moins de ressources mat\u00e9rielles. Concr\u00e8tement, voici ce que cela signifie pour les clients\u00a0:<\/p>\n