L’analyse des comportements des personnes et des entités (UEBA, en anglais) est un domaine de l’intelligence artificielle qui permet de détecter des actions hostiles (ex. : attaques, fraudes, influence, empoisonnement) grâce au caractère inhabituel des évènements observés, par apposition à un fonctionnement basé sur des signatures. Un procédé UEBA comprend habituellement deux phases, d’apprentissage et d’inférence. Les systèmes de détection d’intrusion (IDS, en anglais) du marché souffrent encore de biais notamment d’une sur-simplification des problématiques, d’une sous-exploitation du potentiel de l’IA, d’une prise en compte insuffisante de la temporalité des évènements, et d’une gestion perfectible du cycle de la mémoire des comportements. En outre, alors qu’une alerte générée par un IDS à base de signatures peut se référer à l’identifiant de la signature sur laquelle se fonde la détection, les IDS du domaine UEBA produisent des résultats, souvent associés à un score, dont le caractère explicable est moins évident. Notre approche, non supervisée, consiste à enrichir ce procédé en lui adjoignant une troisième phase permettant de corréler des évènements (incongruités, signaux faibles) présumés liés entre eux, avec pour bénéfice une réduction des faux positifs et négatifs. Nous cherchons également à éviter un biais dit « de la grenouille ébouillantée » inhérent à l’apprentissage continu. Nos premiers résultats sont intéressants et revêtent un caractère explicable, autant sur des données synthétiques que réelles.