Quel est l’impact de la saturation d’alertes sur la sécurité ?
Bien souvent, lorsque l’on se penche sur les plus importantes fuites de données, les alertes signalant l’intrusion se sont bien déclenchées. Cependant, en raison d’un grand nombre d’alertes au même instant, elles ont été ignorées. Dans le cas de la fuite de données dont a été victime Target en 2014 – celle qui a coûté à l’entreprise 252 de millions de dollars et provoqué la démission de son DSI ainsi que de son PDG – un des produits de sécurité avait détecté correctement la menace. Pourtant, en raison du grand nombre d’alertes et de faux positifs, l’équipe de sécurité informatique l’a dramatiquement ignoré. La saturation d’alertes constitue un sérieux problème dans la lutte contre les menaces qui pèsent sur les données. 40,4 % des professionnels de la sécurité déclarent que les alertes qu’ils reçoivent manquent d’informations pertinentes permettant de mener une enquête. En parallèle, 27,7% des sondés précisent qu’ils sont victimes d’incidents pour lesquels aucune alerte n’est remontée. De façon alarmante, 31,9% rapportent qu’ils ignorent parfois des alertes en raison du grand nombre de faux positifs qui signalent par erreur des comportements qui se révèlent ne pas être des incidents de sécurité.
Alors comment différencier une fausse alerte d’une opération anormale ?
Une opération anormale est une action qui sort des normes comportementales et qui est donc susceptible d’indiquer une menace. Par exemple, la connexion d’un utilisateur à Salesforce depuis Seattle aux USA puis, 5 minutes plus tard à son compte OneDrive à Londres est anormale. Cela peut signifier que le compte est compromis. Pourtant, l’action pourrait indiquer aussi que l’utilisateur a utilisé un VPN (réseau privé virtuel). Sur 2.542 opérations anormales, seulement 23,2 sont se révélées être de réelles menaces. Ce ratio de 1/110 montre l’ampleur potentielle des alertes susceptibles d’être des faux positifs. Ainsi, sur 23,2 menaces liées au Cloud chaque mois, 10,9 menaces sont internes – par exemple un utilisateur qui télécharge des données sensibles de SharePoint Online et les emporte au moment où il rejoint un concurrent. 3,3 menaces sont causées par des utilisateurs à privilèges – par exemple un administrateur qui fournit un droit d’accès excessif à un employé. 6,2 sont des comptes compromis – par exemple un tiers non autorisé accède au compte Office 365 d’une entreprise, en utilisant des mots de passe volés. 2,8 sont des actions d’exfiltration furtive des données – par exemple un malware qui récupère les données d’une application SAP [le progiciel de gestion intégrée de l’allemand éponyme, leader mondial de ce secteur, NDLR] au travers de Twitter – par vague de 140 caractères.
Le Cloud sans saturation, est-ce possible ?
Une entreprise génère en moyenne 2,7 milliards d’opérations dans les services Cloud par mois (connexions, téléchargements, partages, commentaires), dont 2.542, en moyenne, sont suspectes. Ce chiffre reste trop élevé pour que les équipes de sécurité puissent enquêter sur chacune de ces alertes. Le défi consiste donc à savoir comment identifier les menaces sans enquêter sur chaque anomalie. Bien qu’il puisse être difficile pour une personne de différencier une fausse alerte d’une menace réelle, les avancées technologiques autour de la science des données permettent à des logiciels d’accomplir cette tâche avec beaucoup de précision. Des solutions technologiques basées sur l’analyse du comportement (UEBA) peuvent détecter des modèles de comportement qui s’éloignent de la norme, même de manière subtile et qui seraient difficiles à décrire dans une règle capable de couvrir toutes les activités des utilisateurs. En réduisant les événements anormaux à un petit nombre de menaces probables, ces modèles de Machine Learning permettent aux équipes de sécurité informatique de se concentrer sur les menaces réelles.
Propos recueillis par Eliane Kan
Commentez