Détection de démissionnaires pressentis

De Wiki Campus Cyber
Révision datée du 22 novembre 2022 à 12:10 par Juliette (discussion | contributions)
(diff) ← Version précédente | Voir la version actuelle (diff) | Version suivante → (diff)
Aller à :navigation, rechercher

Descriptif du use case[modifier | modifier le wikicode]

Avant son départ de l’entreprise, un utilisateur peut être tenté de garder en sa possession des informations confidentielles ou des documents sur lesquels il a travaillé (exfiltration de données), de frauder ou de corrompre des données.

La détection des comportements suspects de démissionnaires pressentis semble donc être primordiale. En analysant les différentes actions et informations liées à un utilisateur, l’objectif est de prédire une potentielle démission proche, avant même que le processus de démission soit initié.

Approche[modifier | modifier le wikicode]

Collection, analyse et corrélation d’indicateurs de risques déterminés en fonction d’informations relatives à l’utilisateur (ex : contrat proche d’expiration, emails envoyés à sa propre boîte mail personnelle ou à des externes, les sites internet consultés, …).

Statut[modifier | modifier le wikicode]

Déployé / POC / Recherche / Idéation / Prospective Impossible de déployer sur le campus.

Données[modifier | modifier le wikicode]

Une multitude de données peuvent être utilisées pour alimenter l’algorithme, réparties en plusieurs catégories :

  • Le contexte (informations HR sur l’employé ; jours de travail ; autorisations…)
  • Le comportement humain (violations liées à la sécurité, à l’éthique, aux règles de l’entreprise ; performance de l’employé ; note de frais ; conflits d’intérêts…)
  • Activité physique (accès physique au bâtiment, à l’ordinateur, …)
  • Activité informatique (exfiltration de données ; accès au VPN ; utilisation de disque dur externe / clé USB ; emails ou fichiers envoyés à des externes …)

Plus l’algorithme est nourri de données, plus il sera capable de prédire de potentielles démissions.

Catégories d'algorithmes utilisés[modifier | modifier le wikicode]

Apprentissage supervisé (Régression Linéaire / Arbre de décision).

Besoin en temps de calcul[modifier | modifier le wikicode]

N/A

Cloud ou On Premise[modifier | modifier le wikicode]

On premise.

Autres logiciels nécessaires[modifier | modifier le wikicode]

Potentiellement Cryptographie et ETL.

Mitre Att@ck[modifier | modifier le wikicode]

T1222: File and Directory Permissions Modification T1560: Archive Collected data

Mitre Defend[modifier | modifier le wikicode]

User Behavior Analysis (Job Function Access Pattern Analysis, Resource Access Pattern Analysis, User Data Transfer Analysis, Session Duration Analysis, Web Session Activity Analysis)

Cyber Kill Chain[modifier | modifier le wikicode]

N/A