Les alertes sont un élément important de la protection contre les cyberattaques. Malheureusement, toutes les alertes de sécurité ne sont pas utiles. Les logiciels de sécurité sont connus pour fournir des avertissements inutiles et des faux positifs. Finalement, cela peut provoquer une fatigue d’alerte.
La fatigue des alertes peut transformer le personnel informatique autrement attentif en personnes qui n’y prêtent pas vraiment attention. C’est évidemment idéal pour tout pirate informatique qui tente d’aller là où il ne devrait pas.
Alors, qu’est-ce que la fatigue d’alerte exactement et comment pouvez-vous la prévenir ?
Qu’est-ce que la fatigue d’alerte ?
La fatigue des alertes est ce qui se produit lorsque le personnel continue de recevoir des alertes de sécurité qui ne signifient pas nécessairement quoi que ce soit.
C’est une conséquence naturelle des logiciels de sécurité tels que les antivirus, les pare-feu et la gestion des informations et des événements de sécurité (SIEM). Ce type de logiciel est connu pour être trop sensible.
Lorsque le personnel de sécurité reçoit des alertes dénuées de sens, celles-ci doivent encore faire l’objet d’une enquête, même si le personnel ne pense pas nécessairement qu’il existe une menace réelle.
Cela finit par faire en sorte que les équipes accordent moins d’attention et ignorent les problèmes qui comptent. Un hacker peut alors déclencher des alertes et aucune action ne sera entreprise.
Pourquoi la fatigue d’alerte se produit-elle ?
La fatigue d’alerte est un phénomène naturel. Quelle que soit la qualité de la formation d’une équipe de sécurité, elle finira par devenir insensible aux informations qui ne l’obligent pas à prendre des mesures.
Cela est en partie dû au fait que les logiciels de sécurité ne font souvent aucune distinction entre les alertes d’importance différente. Si une équipe de sécurité reçoit des centaines d’alertes par jour et que seul un petit pourcentage d’entre elles méritent une attention, il est facile d’avoir l’impression de perdre du temps à enquêter.
Il convient de noter que le stress et un mauvais équilibre travail-vie personnelle peuvent également contribuer à la fatigue d’alerte. Le personnel de sécurité est particulièrement susceptible de rencontrer ces problèmes.
Combien d’alertes de sécurité nécessitent réellement votre attention ?
Une étude de 2021 montre que jusqu’à la moitié de toutes les alertes de sécurité sont des faux positifs. Ceci est particulièrement problématique si l’on considère le fait qu’une seule alerte peut facilement prendre 10 à 30 minutes pour enquêter.
Cela signifie que les fausses alertes ne provoquent pas seulement une fatigue d’alerte ; ils obligent également les employés à passer une grande partie de leur journée à ne rien faire.
Pourquoi y a-t-il autant de faux positifs ?
Les logiciels de sécurité sont généralement fournis avec des règles génériques sur ce qui constitue une menace. Cela lui permet d’être efficace dans n’importe quel environnement. Le problème avec cette approche, cependant, est qu’elle entraîne également le signalement de comportements innocents comme suspects.
Les éditeurs de logiciels gagnent à avoir trop d’alertes plutôt que d’en avoir trop peu. Le premier donne l’impression que le logiciel est puissant, tandis que le second entraînera sa désinstallation s’il ne parvient pas à empêcher une menace réelle.
Quelles sont les conséquences de la fatigue d’alerte ?
La fatigue des alertes est un gros problème même si une entreprise n’est confrontée à aucune menace. Cela amène les équipes de sécurité à ne pas se soucier de leur travail et cela a des effets prévisibles sur le roulement du personnel et la productivité.
La fatigue des alertes est également un risque pour la sécurité. Un tel logiciel est utilisé car lorsqu’il ne fournit pas de faux positifs, il fournit des alertes sur les menaces actives.
Si ces alertes passent inaperçues, les menaces actives peuvent ne pas être arrêtées. Le nombre de menaces détectées par un logiciel n’a évidemment pas d’importance si personne n’agit dessus.
Comment prévenir la fatigue d’alerte
La fatigue des alertes est particulièrement courante dans les grandes organisations, mais peut affecter toute équipe de sécurité répondant à un trop grand nombre de menaces perçues. Voici huit façons de l’éviter.
Réduisez votre surface d’attaque
Une surface d’attaque est constituée de tous les différents composants matériels et logiciels qui sont connectés à votre réseau. Plus il est large, plus l’équipe devra enquêter sur les problèmes potentiels. De nombreuses alertes peuvent donc être évitées en déconnectant simplement les appareils de votre réseau.
Optimiser le logiciel de sécurité
Vérifiez quelles alertes de sécurité sont envoyées. Si des problèmes mineurs provoquent des alertes inutiles, modifiez les paramètres du logiciel pour éviter que cela ne se produise. Il devrait être possible pour les membres du personnel de commettre des erreurs innocentes sans que l’équipe de sécurité ne soit alertée.
Réduire les faux positifs
Tous les logiciels de sécurité produisent des faux positifs. Chaque fois qu’un faux positif se produit, la raison doit être notée et des mesures doivent être mises en œuvre pour éviter que cela ne se reproduise.
Par exemple, si un fichier particulier continue de générer une alerte, ce fichier peut être ajouté à la liste blanche.
Prioriser les alertes par gravité
Dans la mesure du possible, les alertes doivent être hiérarchisées en fonction des dommages potentiels qu’elles peuvent causer. Par exemple, une attaque potentielle par force brute devrait provoquer une alerte de priorité plus élevée qu’une seule tentative de mot de passe incorrect.
Les alertes doivent également être classées selon qu’elles proviennent d’adresses IP internes ou externes.
Ajouter des informations aux alertes
Toutes les alertes de sécurité doivent fournir des informations détaillées sur leur cause. Cela évite une situation où deux alertes de niveaux de priorité différents apparaissent identiques. Par exemple, au lieu d’une alerte indiquant qu’un utilisateur n’a pas réussi à se connecter, la raison de cet échec doit être expliquée.
Diviser l’enquête d’alerte
La fatigue d’alerte est principalement causée par la répétition. La responsabilité d’enquêter sur les alertes doit donc être répartie à parts égales entre une équipe de sécurité. Si l’équipe de sécurité n’est pas assez nombreuse pour le faire, le problème ne peut être évité qu’en embauchant plus de personnes.
Automatiser là où c’est possible
De nombreux aspects de l’investigation des alertes peuvent être automatisés. Examinez les activités effectuées par l’équipe de sécurité et automatisez-les si possible. Cela évite les répétitions et devrait réduire le nombre d’étapes requises pour enquêter sur chaque alerte.
Optimiser le flux de travail
Examinez la manière dont les alertes sont actuellement étudiées et trouvez des moyens d’optimiser le flux de travail.
Les meilleures pratiques doivent être écrites dans la mesure du possible. Cela empêche différentes personnes d’essayer de résoudre la même alerte de différentes manières.
Toutes les organisations devraient viser à prévenir la fatigue d’alerte
La fatigue des alertes est une menace sérieuse pour toute organisation. Il transforme une équipe de sécurité par ailleurs efficace en un personnel facile à contourner pour les pirates.
La prévention de la fatigue liée aux alertes requiert l’attention des membres de l’équipe de sécurité et des propriétaires d’entreprise. Si les logiciels et les procédures de sécurité sont mal conçus, les équipes de sécurité elles-mêmes auront peu de capacité à les empêcher.
Lire la suite
A propos de l’auteur