Avec la disparition du périmètre, le combat pour la sécurité numérique s’est déplacé vers le contrôle du comportement des utilisateurs au sein des applications. Le but est de pouvoir discerner les robots des personnes réelles et de contrôler comment ces dernières utilisent les droits qui leur sont accordés. Pour cela, des fonctionnalités d’analyse comportementale ont été développées et intégrées dans les pare-feux applicatifs (WAF en anglais), pour bloquer les attaques qui ciblent la logique métier des applications et services Web. En bloquant les requêtes légitimes mais malveillantes envoyées aux applications, l’analyse comportementale s’avère efficace pour empêcher les attaques par déni de service visant les applications, les attaques en brute force sur les formulaires d’authentification, le vol de cookies, la défiguration de site Web et le vol de données.

Au-delà de ce que l’analyse comportementale permet d’accomplir aujourd’hui dans la lutte contre les robots malicieux, l’évaluation de la réputation des utilisateurs est une fonctionnalité nouvelle, propre aux WAFs de nouvelle génération, qui s’avère indispensable pour mettre en place une politique de sécurité adaptée aux défis actuels. L’intelligence accrue et la capacité à s’adapter au contexte et au comportement changeant de l’utilisateur rend la sécurité applicative encore plus pertinente. Dans un monde où le périmètre d’entreprise s’est littéralement évanoui, il convient de donner les moyens aux utilisateurs d’accéder en sécurité aux applications, afin qu’ils puissent interagir et créer de la valeur, sans néanmoins abuser de leurs droits ou devenir un vecteur d’attaque.

En effet, pour augmenter encore l’efficacité des WAFs dans la lutte contre la fraude en ligne et l’usurpation d’identités, l’évaluation de la réputation des utilisateurs permet de suivre les utilisateurs dans la durée et d’évaluer le niveau de confiance qu’on peut accorder à un utilisateur donné, en calculant un score de réputation basé sur de multiples sources d’information, dont son comportement. Il devient ainsi possible de prévoir les scénarios de réponse adaptés à l’évolution de ce score. Le calcul du score doit prendre en compte la manière dont la personne accède aux applications (méthode d’authentification, géolocalisation), ce qu’elle y fait (pages visitées, temps écoulé, tentatives d’attaques), ainsi que des données externes d’intelligence sur les menaces, telles que la réputation de l’adresse IP depuis laquelle l’utilisateur s’est connecté.

Le score de réputation de l’utilisateur augmentera et diminuera en fonction de la façon dont il utilise la ou les applications. Par exemple, lorsque les données d’identification de l’utilisateur sont utilisées pour se connecter à partir d’un emplacement inhabituel, le score peut être légèrement diminué. Il diminuera davantage encore si les mêmes informations sont utilisées depuis plusieurs lieux éloignés dans un laps de temps trop court, ou encore si l’utilisateur est un vecteur d’attaque avéré sur l’application (injections, scripts, etc). Dès que le score atteint un certain seuil, le WAF de nouvelle génération peut non seulement générer une alerte mais adopter des mesures défensives, telles qu’un challenge d’authentification (captcha, authentification forte), une redirection, la restriction ou même le refus d’accès à l’application pour l‘utilisateur concerné. Avec ses capacités nouvelles, la promesse d’une sécurité intelligente, adaptative et automatisée devient une réalité.