Publicité
Les bénéfices du deep learning pour éviter les faux positifs. (Image d'illustration Mike MacKenzie_Flickr CC).

Tribune. Comment le deep learning peut retenir le flot de faux positifs ?

À cause de la complexité de l’environnement informatique actuel, les cybercriminels ont à leur disposition un large choix d’outils, de scénarios pour initier une attaque. Pour contrer ces menaces, les entreprises doivent surveiller en permanence l’ensemble de leurs environnements informatiques à l’aide de diverses solutions de sécurité comme le deep learning.

Les alertes générées par ces outils arrivent le plus souvent dans la boîte de réception d’analystes de centres d’opérations de sécurité (SOC) extrêmement surchargés, qui doivent ensuite les évaluer manuellement.

Dans de nombreux cas, les outils de gestion des informations et des événements de sécurité (SIEM) qui regroupent les données sur les menaces et les transforment en alertes ne fournissent que peu de contexte, ce qui oblige les équipes à essayer de suivre un déluge constant d’alertes sans aucun moyen de les hiérarchiser.

Les équipes reçoivent souvent des milliers d’alertes par jour, bien plus qu’il n’est humainement possible d’en traiter.

Le problème des « faux positifs »

Ce problème est aggravé par le fait que la plupart, voire la totalité, de ces alertes s’avèrent être des faux positifs.

Les faux positifs sont des alertes qui ne correspondent pas à une menace réelle pour l’organisation. Ils sont généralement dus au fait que l’outil d’analyse n’est pas suffisamment fidèle ou que des indicateurs légitimes ressemblent de près à des signatures de menaces connues.

Les faux positifs constituent une crise croissante pour de nombreuses organisations, augmentant leur exposition au risque et consommant une quantité disproportionnée de temps et de ressources précieuses.

Quelle est l’ampleur du problème et que peut-on faire pour y remédier ?

La croissance des alertes

Les entreprises se noient dans le traitement des flots croissants d’alertes, dont la plupart sont des faux positifs.

600 décideurs et praticiens de la sécurité ont d’ailleurs été interrogés à ce sujet *(d’après le rapport « Voice of SecOps » de Deep Instinct, juin 2021). Et la plupart ont indiqué qu’en moyenne 10 heures sur 39 dans une semaine de travail étaient consacrées au traitement des faux positifs… Ce qui signifie qu’environ un quart de la semaine est gaspillé en travail manuel fastidieux qui ne génère aucune valeur réelle.

Les véritables alertes aux menaces peuvent rapidement se perdre dans d’innombrables fausses alarmes. Le retard ainsi créé est souvent si important qu’il peut s’écouler plusieurs jours avant qu’une alerte ne soit évaluée par un membre de l’équipe SOC.

Dans le cas d’une alerte réelle fournissant les premiers signes d’une attaque sérieuse, cela signifie que les acteurs de la menace auront le champ libre dans les environnements pendant de longues périodes.

La fatigue des alertes

Outre le risque de sécurité plus évident, cette situation favorise également un environnement de travail extrêmement négatif pour le personnel de sécurité. 90 % des personnes interrogées dans le cadre de cette enquête* ont déclaré que les faux positifs contribuaient à la démoralisation du personnel.

En effet, les analystes passent une grande partie de la journée à effectuer un travail manuel répétitif et de faible valeur. Une équipe démoralisée est également plus susceptible de passer à côté de menaces réelles. Ce que l’on appelle souvent la fatigue des alertes.

La fatigue des alertes est l’une des principales causes du problème de l’épuisement professionnel dans le secteur de la sécurité, et il est courant de constater que les analystes ne restent dans une fonction que 12 à 24 mois avant de chercher un autre emploi ou de quitter complètement le secteur.