Combien coûte la multiplication des alertes aux professionnels de la sécurité ?
Avec les cyberattaques qui ne cessent de prendre de l'ampleur, les professionnels de la sécurité informatique doivent faire face à un niveau d'alertes en constante augmentation.
Imaginez-vous avoir à traiter plus d'un million d'alertes de sécurité en seulement une journée ? Ce chiffre est si énorme qu'il peut sembler exagéré, mais c'est exactement ce à quoi sont confrontées de nombreuses équipes de sécurité actuellement. Les alertes en question peuvent prendre différentes formes : des alertes relatives aux logiciels malveillants, des alertes pour tentative de récupération de mots de passe ou d'accès aux comptes racines ou désactivés, une notification concernant l’installation d'un nouveau service… La liste est longue. Le problème est que la multiplication des alertes empêche les équipes de sécurité de réagir vite aux menaces et coûte donc de l'argent aux entreprises.
Trop de notifications d’alerte
Ce tsunami d'alertes peut engendrer une fatigue intense, un sentiment de frustration ou encore une forme de désensibilisation face à une situation impossible à gérer. La plupart d'entre nous sont déjà confrontés à une multitude de sollicitations permanentes au quotidien : le téléphone sonne pour la 20e fois d'affilée alors que vous essayez de vous préparer pour une présentation, les notifications relatives aux 50 messages par minute qui s’accumulent dans votre boîte mail alors que vous étiez en réunion ignorant le téléphone bourdonnant pour vous concentrer sur votre tâche etc. Ces multiples sollicitations ont cependant beaucoup moins de conséquences que pour les équipes de sécurité, où elles peuvent s'avérer très préjudiciable.
Efforts gaspillés sur les fausses alertes
Par exemple, une fausse alerte de sécurité ou tout autre type d'alerte erronée peut prendre beaucoup de temps à résoudre. La perte de temps entraîne inévitablement une perte d'argent et détourne les équipes informatiques de tâches plus urgentes qui peuvent contribuer à la croissance de l'entreprise.
Ainsi, dans le but d'être plus efficaces avec leur temps, de nombreux professionnels de la sécurité apprennent à les ignorer. Fait inquiétant, un récent sondage sur le sujet a révélé que lorsqu’un centre des opérations de sécurité (COS) a trop d'alertes à traiter pour le nombre d’analystes alloués, près de 9% de ces derniers déclarent désactiver complètement les notifications d'alerte. Un récent sondage d'Imperva sur Infosecurity Europe révèle aussi que 63% des entreprises ont souvent du mal à déterminer quels incidents de sécurité sont graves, tandis que 66% ont admis avoir ignoré une alerte en raison d'un résultat faux positif antérieur.
Si de nombreuses alertes parvenant aux équipes de sécurité représentent des faux positifs, un grand nombre d'entre elles les préviennent également d’incidents qui, s'ils sont ignorés, pourraient mettre l’entreprise en grand danger.
Faire face à la multiplication des alertes
Les équipes de sécurité informatique étant déjà dispersées et l'importance de ne pas manquer les alertes critiques ne font qu'accroître la pression, qui peut devenir écrasante. Mais toutes les entreprises n'ont pas le luxe d'embaucher plus de personnel lorsque le volume d'alertes devient trop élevé, et il n'est pas nécessairement rentable de le faire.
Pour faire face à cette charge, il faut un support cohérent qui non seulement regroupe, consolide et analyse des milliers d'alertes de sécurité dans différents environnements, mais identifie également avec précision les incidents de sécurité les plus critiques, réduisant ainsi le rapport signal/bruit grâce à des alertes moins nombreuses, mais plus précises. La précision et la fiabilité jouant ici un rôle crucial, de nombreuses entreprises tirent profit de la puissance de l'intelligence artificielle (IA) et du Machine Learning pour travailler aux côtés des équipes de sécurité dans la lutte contre la multiplication des alertes de sécurité.
Grâce à l’automatisation de l'investigation des alertes qui permet de traiter certaines des alertes les plus courantes (par exemple, échec des connexions, tentatives d'hameçonnage, détection des logiciels malveillants), l'IA peut simplifier la découverte des menaces, afin que les équipes de sécurité puissent concentrer leur temps et leurs efforts sur les menaces réelles. Au fur et à mesure que les entreprises continuent d'accroître leur empreinte mondiale de ressources informatiques et d'utiliser une variété d'outils de sécurité pour protéger ces ressources, on peut s'attendre à ce que les alertes atteignant les équipes de sécurité augmentent. Débordées par les alertes, le temps que les équipes de sécurité passent à filtrer les faux positifs des menaces réelles représente aussi du temps qui n'est pas passé à combattre les problèmes de sécurité importants auxquels l'entreprise est confrontée.
Les entreprises doivent encore reconnaître l'importance d'alléger les pressions qui pèsent sur leurs équipes de sécurité pour assurer le succès de leur business.