WANAN YOSSINGKUM/istock via Gett
Comment réduire les faux positifs et renforcer la cybersécurité
Les faux positifs dans les outils de détection épuisent les ressources et détournent l'attention des menaces réelles. Une fois que les RSSI en ont compris les causes profondes, ils peuvent mettre en œuvre des stratégies pour les réduire.
Aucune équipe chargée de la cybersécurité ne souhaite détecter une attaque malveillante puis l'ignorer délibérément. Mais la fatigue liée aux alertes, causée par un trop grand nombre de faux positifs, peut les conduire à tomber dans ce piège.
Tous les outils de cybersécurité conçus pour détecter les attaques commettent des erreurs. Depuis des décennies, les chercheurs et les fournisseurs s'efforcent de trouver des moyens d'améliorer la précision de la détection des menaces sans nuire aux performances.
La détection des attaques est un exercice d'équilibre constant entre les faux négatifs (lorsqu'un outil ne détecte pas une attaque réelle) et les faux positifs (lorsqu'un outil identifie à tort une activité bénigne comme une menace). Les techniques qui réduisent les faux négatifs ont tendance à augmenter les faux positifs. Si l'équilibre est rompu, les faux négatifs peuvent nuire au bon fonctionnement des équipes de sécurité.
Les technologies de cybersécurité susceptibles de générer des faux positifs lors de la détection sont nombreuses : anti-virus, anti-hameçonnage, SIEM, IDS/IPS, DLP, pare-feu, EDR, etc.
Les RSSI doivent comprendre la prévalence des faux positifs dans les outils de cybersécurité. Forts de cette connaissance, ils peuvent définir une stratégie permettant aux équipes de sécurité de réduire ces alertes tout en continuant à reconnaître les menaces authentiques. Les meilleures pratiques, telles que l'ajustement des seuils pour les adapter aux opérations attendues au sein de l'écosystème informatique, font une grande différence.
Pourquoi nous voyons davantage de faux positifs
Compte tenu de la diversité et de la complexité des menaces, les faux positifs sont inévitables. Relativement peu d'attaques sont immédiatement et définitivement identifiables comme telles. Les kits d'exploitation et autres outils utilisés par les pirates - comme ceux spécialisés dans le maquillage du code, pour passer au travers des mécanismes de détection - permettent à n'importe qui de générer rapidement et facilement des attaques personnalisées et uniques.
Les menaces étant difficiles à détecter, la plupart des outils produisent désormais davantage de faux positifs et moins de faux négatifs. Le véritable danger réside dans ce qui n'est pas détecté, c'est pourquoi les équipes de sécurité s'efforcent en priorité de minimiser les faux négatifs. Autrement dit : avoir des positifs est normal et même plutôt... sain.
Comment les faux positifs entravent le travail des équipes de sécurité
Las, les faux positifs peuvent représenter une charge importante pour les ressources de cybersécurité, car leur analyse nécessite du temps et des efforts avant de pouvoir les écarter. Lorsque les faux positifs sont trop fréquents, ils détournent l'attention des analystes des menaces réelles.
Dans certains outils, les vrais et faux positifs déclenchent automatiquement des actions visant à mettre fin à l'activité observée. Lorsque cela se produit sans qu'il y ait de véritable menace, cela peut nuire à la crédibilité du programme de sécurité.
Les analystes ont tendance à ignorer les faux positifs qui surviennent fréquemment au fil du temps. Il est naturel de supposer qu'une alerte qui était inoffensive dans le passé peut être ignorée sans risque à l'avenir. Cependant, la prochaine fois, ce faux positif présumé pourrait être une authentique menace.
Comment réduire les faux positifs
N'essayez pas d'éliminer complètement les faux positifs. Même si cela était possible, cela augmenterait considérablement les faux négatifs. Pour réduire autant que possible les faux positifs, mettez à jour les outils de détection, superposez les capacités pour obtenir les meilleures performances et affinez les seuils d'alerte.
Outils de correction et de mise à jour
Les opérations de sécurité doivent disposer des derniers correctifs et mises à jour pour les technologies de détection des attaques. Pour améliorer leur précision, ces technologies doivent utiliser des flux d'informations sur les menaces de cybersécurité en temps quasi réel.
Concentrez-vous sur les outils les plus précis
Déployez plusieurs couches de technologies de détection des menaces utilisant différentes méthodologies de détection et d'analyse. Par exemple, un certain type d'activité peut fréquemment entraîner des faux positifs avec un outil, mais être détecté avec précision comme normal ou anormal par une autre technologie. Envisagez de vous fier à l'outil le plus précis pour ce vecteur d'attaque. Désactivez les contrôles qui génèrent trop de faux positifs dans l'outil inefficace ou configurez-les pour qu'ils enregistrent les événements sans déclencher d'alerte : des systèmes de corrélation en aval seront alors susceptibles de lever un éventuel lièvre.
Connaissez votre infrastructure et vos opérations
Les équipes peuvent régler les contrôles de détection des attaques afin d'améliorer leur précision. Vérifiez et ajustez les valeurs seuils lorsque des anomalies bénignes sont signalées comme des attaques.
Le réglage des alertes peut également impliquer l'ajout de contexte. Le contexte provient des informations sur les rôles des différentes ressources informatiques et les relations entre ces ressources. Par exemple, les serveurs peuvent transférer de grandes quantités de données vers un stockage centralisé dans le cadre de leurs opérations normales, mais le transfert de données vers un site de stockage externe serait inhabituel.
Les RSSI doivent ajuster soigneusement la détection des attaques. Veillez à ce que les équipes testent et surveillent les stratégies de réduction des faux positifs avant de les déployer en production.
Karen Kent est cofondatrice de Trusted Cyber Annex. Elle fournit des services de recherche et de publication en matière de cybersécurité à des organisations et était auparavant informaticienne senior pour le NIST.
Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)
-
![]()
Avantages et inconvénients de l’IA dans la cybersécurité
Par: Nihad Hassan
-
![]()
12 indicateurs clés de cybersécurité à suivre pour les entreprises
Par: Andrew Froehlich
-
![]()
Google dope VirusTotal à l’IA générative
Par: Valéry Rieß-Marchive
-
![]()
Le renseignement sur les menaces promet beaucoup, mais des limitations demeurent
