L’analyse des comportements des personnes et des entités (UEBA, en anglais) est un domaine de l’intelligence artificielle qui permet de détecter des actions hostiles (ex. : attaques, fraudes, influence, empoisonnement) grâce au caractère inhabituel des évènements observés. Un procédé UEBA comprend habituellement deux phases, d’apprentissage et d’inférence. Les systèmes de détection d’intrusion (IDS, en anglais) du marché souffrent encore de biais notamment d’une sur-simplification des problématiques, d’une sous-exploitation du potentiel de l’IA, d’une prise en compte insuffisante de la temporalité des évènements, et d’une gestion perfectible du cycle de la mémoire des comportements. En outre, alors qu’une alerte générée par un IDS à base de signatures peut se référer à l’identifiant de la signature sur laquelle se fonde la détection, les IDS du domaine UEBA produisent des résultats, souvent associés à un score, dont le caractère explicable est moins évident. Notre approche, non supervisée, consiste à enrichir ce procédé en lui adjoignant une troisième phase permettant de corréler des évènements présumés liés entre eux, avec pour bénéfice une réduction des faux positifs et négatifs. Nous cherchons également à éviter un biais dit « de la grenouille ébouillantée » inhérent à l’apprentissage continu. Nos premiers résultats sont d’autant plus intéressants qu’ils permettent une détection complète revêtant un caractère explicable, engendrent peu de faux positifs, sont reproductibles dans des contextes variés (ex. : dans un système d’information et/ou un poste de travail, à partir d’évènements de type flux et/ou actions) aussi bien à partir de données synthétiques que réelles, et répondent aux différents biais évoqués.