Connu sous le nom d’Alarm Fatigue ou d’Alert fatigue dans un système de sécurité, le faux positif dans une remontée de données est un souci réel. C’est un obstacle à la conservation d’un personnel compétent. Quelle est l’origine de ce problème et comment le gérer ? Détails dans nos lignes.
Une difficulté grandissante
Vous aurez noté que l’environnement informatique devient de plus en plus complexe. Si les environnements Cloud hybride ou multi cloud servent à gagner en agilité, la vision unifiée est rendue plus difficile. Le télétravail devenu très prisé, de nouveaux équipements ont été introduits. Dispositifs qui sont mal gérés, voire ingérés.
L’arrivée de la 5G et des autres perfectionnements des appareils connectés sont également une cause à prendre en compte. Pour vous permettre de vous connecter aux ressources, de plus en plus de systèmes font appel au réseau. Les outils traditionnels ont très souvent du mal à gérer ces progrès ce qui les rendent plus invasifs et difficiles à cerner.
Quand tous ces systèmes sont interconnectés, ils génèrent ce que le langage informatique classifie de « bruit ». Plus vous produisez du bruit, plus le challenge au niveau de la gestion est rude. Comme évoqué, les outils et systèmes de sécurité classiques ont du mal à établir la corrélation entre équipements hétérogènes et environnement.
Des informations incomplètes
En termes de sécurité, il est important d’avoir rapidement des informations fiables. Les analystes en ont besoin, mais ont du mal à obtenir une liste exhaustive. Les données incomplètes ne permettent pas d’effectuer correctement la gestion des faux positifs dans une remontée de données.
Ce sont les outils traditionnels tels que le SIEM qui en sont la principale cause. Un outil incapable de générer des données complètes. Agrégateurs de logs, ils déclenchent des alertes souvent sans contextes que les équipes doivent hiérarchiser et trier par priorité.
Les alertes émises sont partielles ce qui amène le système à identifier les faux positifs, et ce de manière relativement complexe.
Le traitement de données consiste à trier et prioriser un grand nombre d’alertes. Cette complexité touche aussi les autres composants de sécurité tels que les solutions antivirus et les firewalls. Ils ne journalisalisent pas leurs activités et créent un problème similaire sur la visibilité. Il est également important de tenir compte de la veille statique de certains outils.
Repérer et répondre aux alertes cohérents
La gestion proprement dite des faux positifs sur une remontée d’informations consiste alors à repérer et ne réagir aux alertes qui comptent.
- Privilégiez les données répertoriées par les anciennes solutions telles que IDS. Même si elle n’est pas bien réputée au niveau sécurité, elle est capable de vous fournir des éléments très précieux et sa détection de réponses est fiable.
- Le ML (machine learning) vous permet d’analyser le trafic réseau en se concentrant sur les menaces au lieu de détecter les faux positifs. L’analyse repère les comportements anormaux de votre système en mentionnant sa fréquence et sa probabilité.