Logiciels malveillants : les faux-positifs coûtent cher

Selon une étude de l’Institut Ponemon, les alertes de sécurité erronées coûtent près de 1,3 Md$ par an aux entreprises.

Selon une étude de l’institut Ponemon pour Damballa, les entreprises gâchent 1,27 Md$ en moyenne, par an, à gérer des renseignements de sécurité imprécis ou erronés, des faux-positifs ou des faux-négatifs.

De fait, en moyenne, une entreprise aux Etats-Unis devrait faire face à près de 17 000 alertes, dont seulement 19 % seraient « fiables » et 4 % mériteraient examen approfondi. En moyenne, les entreprises consacreraient au final - pour rien - près de 400 heures homme par semaine à « détecter et contenir des logiciels malveillants en raison de faux-positifs et/ou de faux-négatifs ». Pour un coût hebdomadaire estimé à 25 000 $.

Sécurité IT

Mais qui blâmer pour ce gâchis ? Les résultats de l’étude donne plusieurs acteurs à mettre à l’index.

Les entreprises elles-mêmes, tout d’abord qui, pour 33 % des sondés, ont une approche « au cas par cas » du confinement des logiciels malveillants et, dès lors, de la réponse aux alertes. 30 % des sondés indiquent en outre recourir à « des activités manuelles », dans le cadre d’une « approche structurée ».

Au final, seuls 24 % des sondés assurent disposer d’outils automatisés.

La question de la chaîne de réaction apparaît également posée : 40 % des sondés indiquent qu’aucun responsable de la réaction aux alertes n’est identifié. Heureusement, dans 45 % des cas, il y en a un : le RSSI.

Quid alors des bonnes pratiques de sécurité et de la qualité des informations mis à la disposition des équipes IT ? 69 % des sondés assurent que leurs équipementiers sont leur principale source de renseignements, suivi par 64 % qui mentionnent en priorité leurs pairs.

Reste que seuls 41 % des sondés disposent d’outils automatisés pour collecter et évaluer ces renseignements, et replacer leurs alertes dans ce contexte.

Enfin, alors que le Clusif appelait récemment à un soutien renforcé des pouvoirs publics dans la collecte et la consolidation des renseignements de sécurité, on remarquera que « les pouvoirs publics et les forces de l’ordre sont rarement une source de renseignement ».

L’étude de l’Institut Ponemon a été réalisée a partir du sondage de 630 responsables IT – sur un échantillon total de près de 19 000 sondés – en novembre dernier.

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)

Close