« Détection de démissionnaires pressentis » : différence entre les versions

De Wiki Campus Cyber
Aller à :navigation, rechercher
(Page créée avec « {{Cas d'usage |Name=Détection de démissionnaires pressentis |Status=Listé }} == Descriptif du use case== Avant son départ de l’entreprise, un utilisateur peut être tenté de garder en sa possession des informations confidentielles ou des documents sur lesquels il a travaillé (exfiltration de données), de frauder ou de corrompre des données. La détection des comportements suspects de démissionnaires pressentis semble donc être primordiale. En anal... »)
 
Aucun résumé des modifications
 
Ligne 1 : Ligne 1 :
{{Cas d'usage
{{Cas d'usage
|Name=Détection de démissionnaires pressentis
|ShortDescription=Détection des comportements suspects de démissionnaires pressentis
|Status=Listé
|Status=Listé
}}
}}
Ligne 35 : Ligne 35 :
==Cyber Kill Chain ==
==Cyber Kill Chain ==
N/A
N/A
{{PageSubHeader Cas d'usage}}

Dernière version du 22 novembre 2022 à 12:10

Descriptif du use case[modifier | modifier le wikicode]

Avant son départ de l’entreprise, un utilisateur peut être tenté de garder en sa possession des informations confidentielles ou des documents sur lesquels il a travaillé (exfiltration de données), de frauder ou de corrompre des données.

La détection des comportements suspects de démissionnaires pressentis semble donc être primordiale. En analysant les différentes actions et informations liées à un utilisateur, l’objectif est de prédire une potentielle démission proche, avant même que le processus de démission soit initié.

Approche[modifier | modifier le wikicode]

Collection, analyse et corrélation d’indicateurs de risques déterminés en fonction d’informations relatives à l’utilisateur (ex : contrat proche d’expiration, emails envoyés à sa propre boîte mail personnelle ou à des externes, les sites internet consultés, …).

Statut[modifier | modifier le wikicode]

Déployé / POC / Recherche / Idéation / Prospective Impossible de déployer sur le campus.

Données[modifier | modifier le wikicode]

Une multitude de données peuvent être utilisées pour alimenter l’algorithme, réparties en plusieurs catégories :

  • Le contexte (informations HR sur l’employé ; jours de travail ; autorisations…)
  • Le comportement humain (violations liées à la sécurité, à l’éthique, aux règles de l’entreprise ; performance de l’employé ; note de frais ; conflits d’intérêts…)
  • Activité physique (accès physique au bâtiment, à l’ordinateur, …)
  • Activité informatique (exfiltration de données ; accès au VPN ; utilisation de disque dur externe / clé USB ; emails ou fichiers envoyés à des externes …)

Plus l’algorithme est nourri de données, plus il sera capable de prédire de potentielles démissions.

Catégories d'algorithmes utilisés[modifier | modifier le wikicode]

Apprentissage supervisé (Régression Linéaire / Arbre de décision).

Besoin en temps de calcul[modifier | modifier le wikicode]

N/A

Cloud ou On Premise[modifier | modifier le wikicode]

On premise.

Autres logiciels nécessaires[modifier | modifier le wikicode]

Potentiellement Cryptographie et ETL.

Mitre Att@ck[modifier | modifier le wikicode]

T1222: File and Directory Permissions Modification T1560: Archive Collected data

Mitre Defend[modifier | modifier le wikicode]

User Behavior Analysis (Job Function Access Pattern Analysis, Resource Access Pattern Analysis, User Data Transfer Analysis, Session Duration Analysis, Web Session Activity Analysis)

Cyber Kill Chain[modifier | modifier le wikicode]

N/A