Par Ahmed Achchak, CEO
et co-fondateur de Qevlar AI
Dans le domaine de la
cybersécurité, les faux positifs sont souvent pointés du doigt comme la
principale source de frustration pour les analystes des Centres Opérationnels
de Sécurité (SOC). Cette surabondance d'alertes peut paralyser les équipes,
rendant difficile la distinction entre les menaces réelles et les fausses
alarmes. Cependant, je pense que l'accent mis sur les faux positifs masque un
problème bien plus préoccupant : les faux négatifs. Ces menaces non détectées
peuvent avoir des conséquences désastreuses pour les entreprises. Il est temps
de redéfinir notre approche et de repenser la manière dont nous gérons les
alertes de sécurité.
Les compromis dans la
détection des menaces : un équilibre délicat
L'ajustement des
systèmes de détection pour minimiser les faux positifs, souvent appelé «
réglage de détection », est une pratique courante dans les SOC. L'idée est de
réduire le nombre d'alertes pour que les équipes puissent les gérer plus
efficacement. Cependant, cela ne signifie pas nécessairement que la sécurité
est renforcée. En effet, réduire les faux positifs peut parfois augmenter le
risque de faux négatifs, c'est-à-dire des menaces réelles qui passent
inaperçues.
Les ingénieurs doivent
constamment jongler entre deux objectifs : minimiser les faux positifs pour
éviter de submerger les analystes et limiter les faux négatifs pour ne pas
manquer de menaces critiques. Ce compromis repose sur des concepts tels que la
précision, qui mesure la proportion de faux positifs, et le rappel, qui
quantifie la capacité du système à identifier toutes les menaces présentes. Un
ajustement trop poussé dans un sens peut laisser des failles béantes dans
l’autre.
L'urgence des faux
négatifs
La priorité accordée à
la réduction des faux positifs ne doit pas occulter le danger des faux
négatifs. La capacité de triage des SOC est vitale pour la couverture globale
des menaces. De nombreuses violations de sécurité pourraient être évitées si
les alertes de faible et moyenne gravité étaient examinées plus attentivement.
Ignorer ces alertes peut entraîner des vulnérabilités significatives, car des
menaces potentiellement critiques peuvent passer inaperçues jusqu'à ce qu'il
soit trop tard.
Faux positifs vs faux
négatifs : une réévaluation nécessaire
La réduction des faux
positifs est souvent présentée comme un objectif prioritaire pour améliorer
l'efficacité des SOC. Cependant, cette priorité peut conduire à sous-estimer
les dangers liés aux faux négatifs. Ignorer des alertes de faible ou moyenne gravité
sous prétexte de limiter le volume peut permettre à des menaces importantes de
passer inaperçues jusqu'à ce qu'il soit trop tard. C’est ici que réside le
véritable danger.
Un exemple concret de
ce compromis est la gestion des activités suspectes liées à des outils
légitimes comme Powershell. En choisissant de ne pas alerter sur des actions
initiées par des comptes administratifs reconnus, on réduit le nombre d'alertes
générées pour des usages légitimes. Cependant, cela augmente aussi le risque
qu'une activité malveillante par des attaquants ne soit pas détectée.
L'avenir de la
détection : dépasser les limitations avec l'IA
Face aux limites
actuelles des systèmes de détection, il est temps de repenser notre stratégie
en intégrant des technologies avancées comme l'intelligence artificielle.
Imaginez un scénario où les SOC ne sont plus contraints par la nécessité de
choisir entre précision et rappel. Avec l'IA, nous pouvons transformer
radicalement la détection et la gestion des menaces, en permettant aux SOC
d'améliorer la sensibilité de leurs systèmes tout en étendant la portée de
leurs enquêtes sans craindre l'épuisement des ressources.
Les agents IA, capables
de mener des investigations complexes de manière autonome, peuvent assumer la
majeure partie du travail de triage et d'investigation des alertes. Formés pour
imiter les méthodes des experts, ces agents utilisent un raisonnement récursif
pour examiner chaque alerte jusqu'à parvenir à une conclusion claire,
documentée dans un rapport complet. Cette automatisation permet aux équipes
humaines de se concentrer sur les alertes réellement critiques, réduisant ainsi
la charge de travail tout en augmentant l'efficacité.
Conclusion : une
approche équilibrée pour une sécurité renforcée
En conclusion, la réduction des faux positifs et la minimisation des faux négatifs sont des objectifs clés pour toute organisation de sécurité. Je crois en une approche équilibrée, utilisant l'IA pour augmenter les capacités des équipes de SOC, réduire les tâches manuelles et permettre une analyse plus approfondie et précise des alertes. Ne laissons pas les faux positifs nous aveugler ; l'urgence est de détecter et de gérer les menaces réelles avant qu'il ne soit trop tard.