La cybersécurité se focalise souvent sur les faux positifs, sources de frustration pour les analystes. Pourtant, la menace réelle provient des faux négatifs, ces attaques non détectées. Une révision de nos priorités s’impose pour renforcer la sécurité selon Ahmed Achchak. Le CEO et co-fondateur de Qevlar AI a ainsi émis ses appréhensions concernant les faux positifs et les faux négatifs.
Faux positifs : une fausse priorité ?
Dans les Centres Opérationnels de Sécurité (SOC), les faux positifs représentent une source majeure de frustration. Ces alertes, souvent injustifiées, perturbent les équipes et compliquent leur travail. Cependant, l’accent mis sur leur réduction cache une menace plus dangereuse : les faux négatifs. Ces derniers sont des alertes manquées qui permettent aux cyberattaques de se dérouler sans être détectées, ce qui cause des dégâts considérables.
Les systèmes de détection ajustent souvent leurs paramètres pour minimiser les faux positifs, une pratique appelée « réglage de détection ». Cela vise à réduire le volume d’alertes et à soulager les analystes. Mais ce réglage présente un risque : celui d’augmenter les faux négatifs. Ce compromis entre minimisation des faux positifs et prévention des faux négatifs repose sur deux concepts clés : la précision (nombre de faux positifs) et le rappel (capacité à détecter toutes les menaces). Un ajustement excessif dans un sens peut exposer des failles critiques dans l’autre.
Vous aimerez aussi cet article:
L’inquiétude croissante des faux négatifs
Prioriser la réduction des faux positifs ne doit pas éclipser le danger que représentent les faux négatifs. Ces alertes non détectées peuvent laisser passer des menaces sérieuses, invisibles jusqu’à ce qu’il soit trop tard. Selon Ahmed Achchak, CEO de Qevlar AI : « Il est temps de redéfinir notre approche et de repenser la manière dont nous gérons les alertes de sécurité. » Les violations de sécurité pourraient souvent être évitées si les alertes de faible et moyenne gravité recevaient plus d’attention.
Un exemple concret est la gestion des activités suspectes via des outils légitimes comme Powershell. Les SOC réduisent souvent les alertes lorsqu’ils ne signalent pas les actions initiées par des comptes administratifs reconnus. Si cela limite les alertes inutiles, le risque d’ignorer une activité malveillante s’accroît. Le véritable danger réside dans ces faux négatifs, capables de causer des vulnérabilités significatives.
Vous aimerez aussi cet article:
L’Intelligence Artificielle : une réponse innovante aux défis actuels
Pour surmonter les limites des systèmes actuels, l’intégration de l’intelligence artificielle (IA) s’impose comme une solution prometteuse. Imaginez des SOC où il n’est plus nécessaire de choisir entre précision et rappel. Les agents IA, capables de mener des investigations complexes de manière autonome, pourraient gérer la majorité des alertes et des enquêtes. Ces systèmes, formés pour imiter les experts, utilisent un raisonnement avancé pour analyser chaque alerte et générer des rapports complets.
Cette automatisation soulagerait les équipes humaines et leur permettrait de se concentrer sur les menaces vraiment critiques. Les capacités accrues des SOC réduiraient ainsi la charge de travail et augmenteraient l’efficacité globale. En d’autres termes, l’IA permettrait une approche équilibré selon Ahmed Achchak, CEO et co-fondateur de Qevlar AI. Elle réduit à la fois les faux positifs et les faux négatifs. Cela augmente la sécurité des entreprises.
La cybersécurité doit évoluer pour répondre aux menaces actuelles. Si la réduction des faux positifs reste un objectif, il ne faut pas négliger les dangers des faux négatifs. Une approche équilibrée, qui combine technologie avancée et expertise humaine, s’avère essentielle pour une protection renforcée. L’urgence réside dans la détection et la gestion des menaces réelles, avant qu’elles ne causent des dommages irréversibles.
Article basé sur un communiqué de presse reçu par la rédaction.
