En combinant une surface d’attaque de plus en plus importante (IoT, cloud,...), les solutions de sécurité chargées de détecter les menaces émettent de plus en plus d’alertes. Parfois ces dernières se révèlent être des faux positifs et donc mécaniquement leur nombre augmente aussi. Une étude menée par Neustar montre que 43% des entreprises sont victimes de faux positifs dans plus de 20% des cas. 15% des sondés affirment même ce taux peut atteindre 50% des alertes. La moyenne se situe à 26%, ce qui représente plus d’un quart des alertes reçues.

En investissant dans des solutions de surveillance des réseaux ou de renseignements, les rapports et les alertes se sont multipliés avec plus de faux positifs à traiter pour les équipes de sécurité. Un exemple de faux positif peut être un comportement jugé anormal par une solution de sécurité, mais qui est en fait légitime comme un robot, un objet connecté, un algorithme, ...

Des outils de sécurité trop verbeux ?

L’enquête a montré que 39% des entreprises disposent de sept outils ou plus générant des alertes. Elles sont 21% à en utiliser plus de dix. « Les solutions de sécurité de grandes quantité de données à analyser, sans contextualiser les menaces potentielles, contribuent à surcharger et à fatiguer les équipes sécurité », a déclaré Rodney Joffe, président du NISC et SVP et membre de Neustar. La question du bruit autour des produits de sécurité est récurrente. Ainsi, lors du FIC, le RSSI de Rémy Cointreau, Xavier Leschaeve, avait évoqué le côté « verbeux » des EDR.

En dehors des faux positifs, le niveau des alertes atteint un maximum comme l’a montré une autre étude menée par Vanson Bourne pour Dynatrace. En moyenne, les DSI reçoivent 2973 alertes chaque jour, soit une augmentation de 19% sur un an. Plus intéressant est de savoir si ces remontées d’informations sont pertinentes ? Non répondent les sondés à 75%. De même, 70% des entreprises estiment être démunies face à cet afflux de données. Au final, après traitement, seules 26% des notifications font l’objet d’une action de la part des équipes IT et cloud des entreprises.