Méthodologie

Gestion des alertes en cybersécurité : les faux positifs

Pouvoir réagir au plus vite en cas d’incident de sécurité est crucial, mais encore faut-il disposer des bonnes informations au bon moment avec des alertes pertinentes. A quoi sont dus les faux positifs ? Comment les limiter ?
9 min

Une étude réalisée par CybSafe indique que, de manière générale, plus de la moitié des employés de bureau ignorent les alertes et les messages liés à la sécurité en raison d’une sur-sollicitation à l’échelle de l’ensemble des outils numériques.
Si la veille sur les alertes de sécurité n’est pas du ressort des équipes métier, c’est le cœur de l’activité des responsables de la sécurité, et pour eux plus que pour quiconque, trop d’information est contreproductif et peut finalement mettre la sécurité en péril.

Le coupable à l’origine de ce qu’on appelle l’alert fatigue a un nom : les faux positifs. Et c’est ce que tout expert en cybersécurité tente de réduire à travers des process et des outils correctement paramétrés.

Voyons de plus près ce qui peut générer ces fausses alertes, les risques induits par ce bruit, mais aussi comment y remédier.

Définition des faux positifs en cybersécurité

Qu'est-ce qu’un faux positif ? C'est tout simplement une fausse alerte, en réponse à une situation interprétée à tort comme un problème ou une menace pour le parc informatique ou pour le réseau d'une organisation.  
Ces faux positifs résultent d'une interprétation incorrecte de la part des outils de cybersécurité (EDR, XDR...), des pares-feux, ou éventuellement de solutions DLP (Data Loss Protection)… ce qui peut induire en erreur les équipes de sécurité (RSSI, SOC Managers, ou DSI selon les organisations). 
 
Voici quelques exemples d’événements qui peuvent déclencher une fausse alerte :  

  • actions d’administration légitimes qui peuvent être interprétées comme des actions suspectes ou malveillantes ; 
  • scripts s'exécutant sur le SI et effectuant des actions comparables à des actions malveillantes (traitement de données, export, sauvegarde, nettoyage, etc.)... 

Ces fausses alertes ont encore plus de chances de se produire dans les cas où tous les utilisateurs sont administrateurs de leur poste, en raison de l’ouverture des droits et du grand nombre d’actions qu’ils peuvent réaliser. 

Faux positifs : les risques, et pourquoi les éradiquer totalement est difficile

Un faux positif est évidemment une nuisance puisqu’il capte l’attention pour rien, mais il a des effets néfastes qui vont bien au-delà du simple dérangement. 

Comme évoqué, il peut faire perdre du temps aux SOC ou aux RSSI, CERT, CSIRT... et les faire passer à côté d’informations importantes. Aussi, lorsque des règles de détection sont paramétrées de façon à bloquer des processus automatiquement, cela peut éventuellement mener au blocage du SI. 

Dans un tel cas, si la production est à l’arrêt pour rien, outre la perte de temps et de productivité, la conséquence est une baisse de confiance dans les outils, mais aussi dans les équipes chargées de la sécurité. Et comme pour Pierre qui criait au loup, la vigilance globale risque de diminuer, et les vraies alertes sont plus à même de passer à travers les mailles du filet. 

Alors, vaut-il mieux mettre en place des politiques de sécurité les plus restrictives possibles pour recevoir un maximum d’alertes et tout inspecter ? Ou au contraire, lâcher du lest au risque de laisser passer de vraies alertes ?  

 Gestion des faux positifs : l’art du compromis 

Pour les RSSI et les SOC Managers, les alertes sont source de stress, et le fait d’en recevoir un trop grand nombre est fortement redouté. Une étude de TrendMicro révélait en 2021 que plus de la moitié des RSSI rapportent que leurs équipes sont débordées par les alertes, et que près du tiers du temps est monopolisé par le traitement de faux positifs.  
Néanmoins, la crainte de passer à côté d’une vraie menace est bien présente, mais malheureusement, automatiser le blocage de tout un SI au moindre doute n’est pas une solution viable. Il faut avoir en tête que si des politiques trop strictes mènent à un blocage trop fréquent de l’activité, les utilisateurs du SI risquent de rejeter les solutions mises en place, et ils tenteront certainement de les contourner, notamment via du Shadow IT. En effet, quand les contraintes sont trop fortes, les utilisateurs se tournent vers du matériel personnel, ce qui entraîne forcément une perte de visibilité sur le SI. 

Le conseil d’expert

“[A la suite d’une attaque] nous avons déployé des scripts de protection sur les serveurs, via l'API d'HarfangLab. Ce dispositif est très apprécié par les utilisateurs et les gestionnaires du SI, car il permet automatiquement de renforcer les restrictions pendant le week-end et les heures non ouvrées, et d'assouplir les politiques le reste du temps pour permettre l'utilisation des applicatifs par les équipes métier.
Nicolas Zisswiller, Dirigeant Associé & Olivier Moreau, DevopsAktea

Vous l’aurez compris, une politique de sécurité solide, avec les outils qui permettent aux RSSI d’avoir les bonnes informations pour prendre les bonnes décisions est un véritable enjeu, ce qui implique de réussir à limiter les faux positifs sans réduire le niveau de protection.  

Il faut pour cela avoir une excellente connaissance de l’environnement technique et cyber, pouvoir contextualiser la donnée issue des outils de sécurité, et aussi assurer la communication entre la production et la sécurité pour s’accorder sur ce qui est légitime ou non.

En pratique, comment réduire les faux positifs 

Pour limiter le nombre de faux positifs, il est important de veiller à l'ajustement des règles de sécurité et à la mise à jour des politiques de protection via les outils de sécurité. 

C’est un processus continu de paramétrage des outils de sécurité et d’analyse des logs (d’un EDR, XDR, SOC ou via un service managé) pour maintenir une sécurisation optimale, mais aussi rester en phase avec les usages et les évolutions de l'infrastructure IT et du paysage des outils numériques. 

La PSSI et le durcissement du parc jouent également un rôle primordial, car plus le parc est propre (déploiements centralisés, restrictions nécessaires sur les postes de travail des utilisateurs pour garantir la sécurité...) plus le risque de faux positifs diminue. 

Le conseil d’expert

“Pour un ransomware, et de manière générale pour les attaques liées au cybercrime, les outils et les signaux sont relativement visibles, et connus comme étant problématiques (Mimikatz, Cobalt Strike...).  
Mais pour des menaces persistantes avancées (APT), l’objectif des attaquants est de rester sous les radars.  
Face à ce type de menace, maintenir un parc propre et de qualité est essentiel car cela aide à identifier les signaux faibles, ce qui fait que les attaquants ont alors plus de mal à se dissimuler.  
Il faut savoir que même pour du cybercrime, les attaquants utilisent des commandes ou des outils de prise en main à distance (RMM) qui sont souvent légitimes.  
Ainsi, une politique durcie permet de détecter si l’outil en question est bien celui qui est légitime sur le parc, pour faire la différence entre l’activité d’un attaquant et celle d’un administrateur.  
En somme, la gestion des faux positif est très dépendante de la PSSI et de la qualité du parc, en vue d'adapter les règles du produit de sécurité déployé.”
Emeric Boit, Lead CTI - HarfangLab

Parmi les bonnes pratiques de gestion et des processus SOC à avoir en tête, il y a notamment : 

  • une politique de sécurité durcie ; 
  • une stratégie claire sur ce qu'on veut détecter et hiérarchiser les alertes ; 
  • la mise en place soignée des whitelists ou des filtres dans sa solution de cybersécurité, et les maintenir dans le temps, car le SI vit. 

Vous vous demandez peut-être comment un EDR peut vous aider à mieux gérer les faux positifs ? Explications.

Comment diminuer les faux positifs  

Pour maîtriser le flux alertes et limiter les faux positifs, il est nécessaire de mettre en places des whitelists afin de rendre les règles de détection plus pertinentes. 

HarfangLab - Whitelists
Aperçu de l'onglet Whitelists dans la console d'HarfangLab

Pour l’EDR d’HarfangLab, les alertes sont issues de règles gérées et maintenues dans le temps, grâce au suivi de l’activité chez l'ensemble des clients SaaS. 
 
Si un faux positif est lié à une application métier, une whitelist peut être paramétrée afin d’éviter d’entraîner des faux positifs à l’échelle de tous les utilisateurs de la solution SaaS. 
Dans le cas d’une alerte générée par un script ou un binaire propre à un client, il peut lui-même mettre en place des whitelists pour éviter ces faux positifs. 

Par ailleurs, l'analyse de la télémétrie disponible permet de déployer des whitelists transverses pour l'ensemble des moteurs de détection, et de les mettre en place en amont, sans que les clients n’aient à le faire, pour pousser toujours plus loin l’optimisation de la détection et des alertes. 

Dans tous les cas, la supervision humaine reste essentielle pour suivre les règles en continu et les faire évoluer en fonction du contexte. 

Et pour soutenir ce travail des experts cyber, l'EDR d’HarfangLab tire pleinement parti de l’Intelligence Artificielle en complément des autres moteurs, pour être en mesure d’identifier les menaces inconnues. 

Pour en savoir plus sur le fonctionnement de notre moteur IA  
et ses améliorations au fil des versions de notre solution :