Retour aux articles

Cybersécurité : comment réduire les faux positifs ?

04 février 2021

La surveillance de plus en plus rapprochée des infrastructures réseau a fait exploser le nombre d’alertes de sécurité. Or, à force d’entendre crier au loup, les équipes informatiques ont tendance à négliger ces alertes, faisant peser un risque critique pour la sécurité de leur entreprise.

Pour réagir dans l’instant en cas d’intrusion sur leur réseau informatique, de plus en plus d’entreprises identifient automatiquement les événements potentiellement dangereux grâce à des stratégies de corrélation. Problème : cette surveillance rapprochée génère souvent des centaines d’alertes par mois. Une situation contre-productive qui a pour conséquence de désensibiliser les équipes chargées de traiter ces alertes. Pour éviter que nos clients ne « croulent sous les messages », l’équipe Cybersécurité de POST est engagée dans une démarche de réduction drastique de faux positifs.

Qu’est-ce qu’un faux positif ?

C’est une alerte de sécurité qui résulte d’un comportement « normal ». À l’origine de la surveillance d’une infrastructure réseau, il y a l’enregistrement de dizaines de millions de logs. Des scénarii sont ensuite programmés pour que lorsqu’une suite d’actions considérées comme douteuses s’exécutent, cela génère une alerte de sécurité qui devra être vérifiée. On considère que pour être capable d’identifier les 3% d’incidents réels, il faut passer en revue les 97% d’alertes qui résultent de comportements légitimes, soit environ 150 par mois par client. Pour éviter de chercher une aiguille dans une botte de foin et qu’une menace réelle ne passe entre les mailles du filet, il est crucial de s’employer à réduire le nombre d’alertes.

Comment faire baisser le taux de faux positifs ?

Au moment d’implémenter le système de surveillance de votre infrastructure, nous déployons une série de règles prédéfinies par défaut, qui sont synonymes de danger dans la plupart des entreprises : connexions au réseau en dehors des jours et heures de travail par exemple. Après seulement une journée, l’outil d’enregistrement présente déjà une liste significative d’incidents constatés. Commence alors la phase de « tunning » durant laquelle nous rapportons chaque semaine à notre client les incidents relevés lors de « regular review ». Cette étroite collaboration pendant une période limitée est cruciale pour réussir à tracer une ligne de démarcation entre comportements légitimes et suspects. Concrètement, le département Cyberforce fait en sorte de comprendre en profondeur les habitudes de travail de l’entreprise pour réaliser un paramétrage sur-mesure du système de détection. Est-ce qu’une connexion à 20h est considérée comme légitime ? Est-ce qu’une connexion depuis le Maroc ou la Chine peut s’expliquer par la réalité de votre business ? Si oui, ce comportement est ajouté à une « whitelist ». D’après nos observations, cette analyse fine des données de comportements est en mesure de réduire de près de 90% le « bruit » généré par le monitoring de sécurité.

L’armée des ombres

La première phase du dispositif de réduction des faux positifs consiste donc à adapter les règles de détection à la réalité de vos méthodes de travail. Que faire ensuite de ces alertes ? Chez POST, elles sont transmises à une équipe d’analystes chargés de la vérification en temps réel. Formés en continu et aidés de procédures préétablies, ces analystes catégorisent les alertes aussi vite que possible. Car en cas de tentative d’intrusion, la rapidité est cruciale.

La meilleure défense c’est l’attaque

Chez POST, le département Cyberforce comprend plusieurs services dont deux éminemment complémentaires : une équipe de défense, la Blue Team (SOC) et une équipe d’attaque, la Red Team (COS). La Red Team procède régulièrement à des tests d’intrusion et collabore avec l’équipe de défense formant ainsi une Purple Team qui vise à améliorer en continu le niveau de précision de la détection.

Avec des menaces grandissantes, l’augmentation du volume d’informations en provenance des systèmes de détection est un enjeu de taille pour les entreprises. C’est en affinant au maximum cette détection que les services IT auront une chance de lutter efficacement contre les cyber-attaques.

Nos experts répondent à vos questions

Des questions sur un article ? Besoin de conseils pour trouver la solution qui répondra à vos problématiques ICT ?

Autres articles de la catégorie Cybersécurité

Attaques DDoS au Luxembourg en 2023

Découvrez les statistiques des attaques DDoS détectées au Luxembourg en 2023 par POST Cyberforce.

Lire cet article

Publié le

15 février 2023

Attaques DDoS au Luxembourg en 2022

Découvrez les statistiques des attaques DDoS détectées au Luxembourg en 2022 par POST Cyberforce.

Lire cet article

Publié le

11 octobre 2022

Cybersécurité : à bord du SOC de POST, l’esprit serein

Recourir à un Security Operations Center (SOC) en tant qu’organisation permet de s’assurer d’avoir un œil en permanence sur l’activité opérée au niveau de ses systèmes d’information dans l’optique de réagir efficacement et rapidement à toute attaque ou anomalie.

Lire cet article

Publié le

12 juillet 2022