Arrêtons de craindre les faux positifs, l’urgence est ailleurs

septembre 2024 par Ahmed Achchak, CEO et Co-Fondateur de Qevlar AI

Dans le domaine de la cybersécurité, les faux positifs sont souvent pointés du doigt comme la principale source de frustration pour les analystes des Centres Opérationnels de Sécurité (SOC). Cette surabondance d’alertes peut paralyser les équipes, rendant difficile la distinction entre les menaces réelles et les fausses alarmes. Cependant, je pense que l’accent mis sur les faux positifs masque un problème bien plus préoccupant : les faux négatifs. Ces menaces non détectées peuvent avoir des conséquences désastreuses pour les entreprises. Il est temps de redéfinir notre approche et de repenser la manière dont nous gérons les alertes de sécurité.

Les compromis dans la détection des menaces : un équilibre délicat

L’ajustement des systèmes de détection pour minimiser les faux positifs, souvent appelé « réglage de détection », est une pratique courante dans les SOC. L’idée est de réduire le nombre d’alertes pour que les équipes puissent les gérer plus efficacement. Cependant, cela ne signifie pas nécessairement que la sécurité est renforcée. En effet, réduire les faux positifs peut parfois augmenter le risque de faux négatifs, c’est-à-dire des menaces réelles qui passent inaperçues.

Les ingénieurs doivent constamment jongler entre deux objectifs : minimiser les faux positifs pour éviter de submerger les analystes et limiter les faux négatifs pour ne pas manquer de menaces critiques. Ce compromis repose sur des concepts tels que la précision, qui mesure la proportion de faux positifs, et le rappel, qui quantifie la capacité du système à identifier toutes les menaces présentes. Un ajustement trop poussé dans un sens peut laisser des failles béantes dans l’autre.

L’urgence des faux négatifs

La priorité accordée à la réduction des faux positifs ne doit pas occulter le danger des faux négatifs. La capacité de triage des SOC est vitale pour la couverture globale des menaces. De nombreuses violations de sécurité pourraient être évitées si les alertes de faible et moyenne gravité étaient examinées plus attentivement. Ignorer ces alertes peut entraîner des vulnérabilités significatives, car des menaces potentiellement critiques peuvent passer inaperçues jusqu’à ce qu’il soit trop tard.

Faux positifs vs faux négatifs : une réévaluation nécessaire

La réduction des faux positifs est souvent présentée comme un objectif prioritaire pour améliorer l’efficacité des SOC. Cependant, cette priorité peut conduire à sous-estimer les dangers liés aux faux négatifs. Ignorer des alertes de faible ou moyenne gravité sous prétexte de limiter le volume peut permettre à des menaces importantes de passer inaperçues jusqu’à ce qu’il soit trop tard. C’est ici que réside le véritable danger.

Un exemple concret de ce compromis est la gestion des activités suspectes liées à des outils légitimes comme Powershell. En choisissant de ne pas alerter sur des actions initiées par des comptes administratifs reconnus, on réduit le nombre d’alertes générées pour des usages légitimes. Cependant, cela augmente aussi le risque qu’une activité malveillante par des attaquants ne soit pas détectée.

L’avenir de la détection : dépasser les limitations avec l’IA

Face aux limites actuelles des systèmes de détection, il est temps de repenser notre stratégie en intégrant des technologies avancées comme l’intelligence artificielle. Imaginez un scénario où les SOC ne sont plus contraints par la nécessité de choisir entre précision et rappel. Avec l’IA, nous pouvons transformer radicalement la détection et la gestion des menaces, en permettant aux SOC d’améliorer la sensibilité de leurs systèmes tout en étendant la portée de leurs enquêtes sans craindre l’épuisement des ressources.

Les agents IA, capables de mener des investigations complexes de manière autonome, peuvent assumer la majeure partie du travail de triage et d’investigation des alertes. Formés pour imiter les méthodes des experts, ces agents utilisent un raisonnement récursif pour examiner chaque alerte jusqu’à parvenir à une conclusion claire, documentée dans un rapport complet. Cette automatisation permet aux équipes humaines de se concentrer sur les alertes réellement critiques, réduisant ainsi la charge de travail tout en augmentant l’efficacité.

Conclusion : une approche équilibrée pour une sécurité renforcée

En conclusion, la réduction des faux positifs et la minimisation des faux négatifs sont des objectifs clés pour toute organisation de sécurité. Je crois en une approche équilibrée, utilisant l’IA pour augmenter les capacités des équipes de SOC, réduire les tâches manuelles et permettre une analyse plus approfondie et précise des alertes. Ne laissons pas les faux positifs nous aveugler ; l’urgence est de détecter et de gérer les menaces réelles avant qu’il ne soit trop tard.