Etude Vectra AI : Le doute règne sur les solutions de détection des menaces alors que les SOCs peinent à identifier les véritables attaques

octobre 2024 par Vectra AI

Vectra AI, Inc. partage les conclusions de son étude sur la détection et la réponse aux menaces : Le Dilemme des Défenseurs.

Les équipes des centres d’opérations de sécurité (SOC) estiment qu’ils sont en train de perdre la bataille de la détection et de la priorisation des menaces réelles à cause du cloisonnement des outils et d’un manque de signaux précis. Basée sur une enquête menée auprès de 2 000 professionnels de la sécurité, l’étude explique pourquoi les outils actuels sont inadaptés et comment l’IA change la donne.

La confiance des SOC s’améliore, mais les solutions legacy les freinent

De nombreuses équipes SOC gèrent trop d’outils et sont confrontées à un nombre écrasant d’alertes, ce qui les amène à risquer de passer à côté de menaces critiques. Cette situation entraîne un manque de confiance dans les outils actuels de détection des menaces et les amène à rechercher des solutions alternatives, telles que les solutions de détection et de réponse étendues (XDR). C’est ce que révèle l’étude :

Près des trois quarts (71 %) des analystes craignent de manquer une attaque dans le flot d’alertes et 51% estiment qu’ils ne peuvent pas suivre le rythme de l’augmentation du nombre de menaces de sécurité.

Près de la moitié (47 %) des analystes ne font pas confiance à leurs outils pour fonctionner comme ils en ont besoin, tandis que 54 % déclarent que les outils qu’ils utilisent augmentent leur charge de travail au lieu de la réduire.

73 % des analystes ont plus de 10 outils en place et 45 % en ont plus de 20.

62 % des équipes ont récemment adopté des solutions de détection et de réponse étendues (XDR) ou sont en train de les étudier.

Les anciens outils de détection alourdissent la charge de travail et sont source de méfiance

Les équipes SOC sont de plus en plus frustrées par leurs outils de sécurité, qui posent plus de problèmes qu’ils n’en résolvent. De nombreux analystes mettent de côté des tâches essentielles pour gérer le volume écrasant d’alertes qu’ils reçoivent, le plus souvent peu précises et mal qualifiées, ce qui entraîne un mécontentement à l’égard des outils et des fournisseurs. L’étude a révélé que :

60 % des analystes estiment que les fournisseurs vendent des outils de détection des menaces qui créent trop de bruit et trop d’alertes, tandis que 71 % estiment que les fournisseurs doivent endosser une plus grande responsabilité s’ils ne parviennent pas à stopper une intrusion.

81 % des analystes passent plus de deux heures par jour à examiner et à trier les événements de sécurité.

50 % des analystes déclarent que leurs outils de sécurité sont plus un obstacle qu’une aide lorsqu’il s’agit de repérer de véritables attaques, notant qu’en réalité, ils ne sont capables de traiter que 38% des alertes qu’ils reçoivent et qu’ils classeraient seulement 16 % d’entre elles comme de « véritables attaques ».

60 % des analystes déclarent qu’une grande partie de leurs outils de sécurité sont achetés pour cocher des cases dans le cadre d’un exercice de mise en conformité.

L’adoption et la confiance dans l’IA pour la détection des menaces augmentent

Les SOC adoptent de plus en plus l’IA pour améliorer la détection et la réponse aux menaces, en raison d’une confiance croissante dans les capacités de l’IA. Mais ils restent préoccupés par l’ajout de complexité à un système déjà surchargé. Pour que l’IA soit vraiment largement acceptée, les fournisseurs doivent s’efforcer de rétablir la confiance en proposant des outils qui apportent une réelle valeur ajoutée sans alourdir le fardeau des équipes SOC. L’étude montre que :

85 % des analystes déclarent que leur niveau d’investissement et d’utilisation de l’IA a augmenté au cours de l’année écoulée, 67 % d’entre eux notant que l’IA a eu un impact positif sur leur capacité à identifier et à traiter les menaces.

75 % des analystes déclarent que l’IA a réduit leur charge de travail au cours des 12 derniers mois, 73 % des analystes déclarent que l’IA a réduit le sentiment d’épuisement au cours des 12 derniers mois.

89 % des analystes prévoient d’utiliser davantage d’outils alimentés par l’IA au cours de l’année à venir pour remplacer la détection et la réponse aux menaces traditionnelles.

Christophe Jolly, Directeur Europe du Sud chez Vectra AI, explique : « Les équipes SOCs sont surchargées. Elles reçoivent trop d’alertes peu qualifiées par les outils de détection. Cela les amène à négliger certaines alertes et à s’épuiser à la tâche. De leur côté, les fournisseurs de solutions préfèrent surcharger les équipes avec des alertes non pertinentes plutôt que de risquer de passer à côté d’une alerte légitime, même si cela n’aide pas réellement les équipes. Néanmoins, nous observons que l’intégration d’outils de détection alimentés par l’IA permet de rationaliser les processus, de mieux qualifier les alertes et de limiter le nombre d’alertes non pertinentes. Les analystes peuvent ainsi se concentrer sur les dangers réels. Désormais, l’enjeu est celui de l’intégration des technologies nourries à l’IA dans l’ensemble des technologies dédiées à la sécurité des infrastructures informatiques des organisations. »