BTP / BUP / Cybersécurité / ERP/IGH / Industrie/ICPE / Sécurité privée / Sûreté
Comment le deep learning peut retenir le flot de faux positifs ?
À cause de la complexité de l’environnement informatique actuel, les cybercriminels ont à leur disposition un large choix d’outils, de scénarios pour initier une attaque. Pour contrer ces menaces, les entreprises doivent surveiller en permanence l’ensemble de leurs environnements informatiques à l’aide de diverses solutions de sécurité comme le deep learning.
Les alertes générées par ces outils arrivent le plus souvent dans la boîte de réception d’analystes de centres d’opérations de sécurité (SOC) extrêmement surchargés, qui doivent ensuite les évaluer manuellement.
Dans de nombreux cas, les outils de gestion des informations et des événements de sécurité (SIEM) qui regroupent les données sur les menaces et les transforment en alertes ne fournissent que peu de contexte, ce qui oblige les équipes à essayer de suivre un déluge constant d’alertes sans aucun moyen de les hiérarchiser.
Les équipes reçoivent souvent des milliers d’alertes par jour, bien plus qu’il n’est humainement possible d’en traiter.
Le problème des « faux positifs »
Ce problème est aggravé par le fait que la plupart, voire la totalité, de ces alertes s’avèrent être des faux positifs.
Les faux positifs sont des alertes qui ne correspondent pas à une menace réelle pour l’organisation. Ils sont généralement dus au fait que l’outil d’analyse n’est pas suffisamment fidèle ou que des indicateurs légitimes ressemblent de près à des signatures de menaces connues.
Les faux positifs constituent une crise croissante pour de nombreuses organisations, augmentant leur exposition au risque et consommant une quantité disproportionnée de temps et de ressources précieuses.
Quelle est l’ampleur du problème et que peut-on faire pour y remédier ?
La croissance des alertes
Les entreprises se noient dans le traitement des flots croissants d’alertes, dont la plupart sont des faux positifs.
600 décideurs et praticiens de la sécurité ont d’ailleurs été interrogés à ce sujet (d’après le rapport « Voice of SecOps » de Deep Instinct, juin 2021). Et la plupart ont indiqué qu’en moyenne 10 heures sur 39 dans une semaine de travail étaient consacrées au traitement des faux positifs… Ce qui signifie qu’environ un quart de la semaine est gaspillé en travail manuel fastidieux qui ne génère aucune valeur réelle.
Les véritables alertes aux menaces peuvent rapidement se perdre dans d’innombrables fausses alarmes. Le retard ainsi créé est souvent si important qu’il peut s’écouler plusieurs jours avant qu’une alerte ne soit évaluée par un membre de l’équipe SOC.
Dans le cas d’une alerte réelle fournissant les premiers signes d’une attaque sérieuse, cela signifie que les acteurs de la menace auront le champ libre dans les environnements pendant de longues périodes.
La fatigue des alertes
Outre le risque de sécurité plus évident, cette situation favorise également un environnement de travail extrêmement négatif pour le personnel de sécurité. 90 % des personnes interrogées dans le cadre de cette enquête* ont déclaré que les faux positifs contribuaient à la démoralisation du personnel.
En effet, les analystes passent une grande partie de la journée à effectuer un travail manuel répétitif et de faible valeur. Une équipe démoralisée est également plus susceptible de passer à côté de menaces réelles. Ce que l’on appelle souvent la fatigue des alertes.
La fatigue des alertes est l’une des principales causes du problème de l’épuisement professionnel dans le secteur de la sécurité, et il est courant de constater que les analystes ne restent dans une fonction que 12 à 24 mois avant de chercher un autre emploi ou de quitter complètement le secteur.
Se tourner vers l’automatisation
Il est clair que le problème des faux positifs ne peut être résolu par la seule action humaine. Il s’agit d’un cas d’école pour les capacités d’analyse de l’intelligence artificielle (IA), et en effet, un nombre croissant de SOC soutiennent désormais leurs analystes humains avec des outils automatisés.
Des recherches indiquent que des outils tels que l’IA, le machine learning (ML) et le deep learning (DL) peuvent réduire considérablement le nombre de faux positifs et améliorer les chances d’identifier des menaces inconnues.
Le machine learning
La forme la plus répandue d’IA actuellement utilisée est le machine learning, qui consiste à entraîner un outil sur des données d’attaque jusqu’à ce qu’il puisse reconnaître des modèles et des indicateurs de menace de manière indépendante.
Une solution de machine learning peut analyser rapidement de grands volumes de données d’alerte sur les menaces, évitant aux analystes humains des heures de travail fastidieux et peu gratifiant.
Les outils automatisés peuvent filtrer les faux positifs et laisser l’équipe s’occuper des véritables menaces. D’autres processus peuvent également être automatisés afin que les alertes réelles mais de faible niveau puissent être traitées, sans intervention humaine.
Une automatisation alimentée par l’IA bien appliquée peut à la fois réduire l’exposition au risque de l’entreprise et donner un puissant coup de fouet au moral et à la productivité de l’équipe SOC.
Les limites du machine learning
Si la plupart des organisations utilisent actuellement le machine learning pour alimenter leurs analyses et automatiser les processus de sécurité, il présente plusieurs failles que les criminels commencent à exploiter.
En particulier, les outils traditionnels de machine learning sont susceptibles d’être manipulés avec des ensembles de données “empoisonnées” créés par un autre outil d’apprentissage automatique. Ces ensembles alimentent la solution en “mauvaises données”, l’entraînant subtilement à ignorer les véritables données de menace et à créer des faux négatifs derrière lesquels les attaquants peuvent se cacher.
Les outils de Machine Learning sont aussi généralement tributaires des flux de données provenant des outils anti-virus, de détection et de réponse aux points d’accès (EDR) et d’autres outils de sécurité.
Cela signifie qu’ils ne peuvent que réagir aux menaces, plutôt que de les prévoir, ce que les adversaires sont de plus en plus capables d’exploiter avec des attaques conçues pour faire leurs dégâts avant qu’elles ne puissent être détectées.
Le deep learning est l’avenir
Ces failles sont résolues par le deep learning (DL). Bien qu’il partage le même principe de base que le ML, le DL va encore plus loin puisqu’il est capable de prendre des décisions non supervisées permettant d’identifier les fichiers comme bénins ou malveillants de manière autonome.
La solution commence par former des centaines de millions de fichiers bruts jusqu’à ce qu’elle puisse différencier les bonnes données des mauvaises de manière indépendante. Une fois appliquée à une pile de sécurité, cela lui permet d’aller au-delà de la simple réaction aux ensembles de données entrants et de commencer à anticiper le comportement des menaces.
Associé à cette capacité d’analyse prédictive, le deep learning a une vitesse de traitement fulgurante et peut identifier une violation potentielle en moins de 20 millisecondes, ce qui signifie que le nombre d’alertes reçues est réduit et que le risque de faux positifs est considérablement réduit.
Les bénéfices du deep learning
Les entreprises qui souhaitent commencer à incorporer le deep learning dans leur stratégie de sécurité doivent examiner attentivement la manière dont la solution va interagir avec les processus existants, en déterminant ce qui sera amélioré et ce qui devra probablement être remplacé.
Une fois la technologie correctement intégrée dans la pile de sécurité, les équipes SOC bénéficieront d’une réduction immédiate du volume de faux positifs et d’autres alertes de bas niveau qui occupent leurs journées.
Mieux encore, l’entreprise sera en mesure de passer de la réaction aux attaques entrantes à la prédiction proactive et à l’arrêt de celles-ci avant qu’elles ne commencent. L’assaut des attaques ne montrant aucun signe de cessation, les entreprises devraient chercher à préparer l’avenir de leurs opérations pour se donner une chance de lutter contre les attaques connues et inconnues.
La nature proactive du deep learning pourrait leur donner le bouclier dont elles ont tant besoin pour dévier les attaques paralysantes qui se dirigent vers elles.
Guillaume Maguet
Chargé du développement technique de l’Europe du Sud chez Deep Instinct, startup américaine spécialisée dans la prévention des menaces cyber.
Les plus lus…
Cette fiche réflexe a été créée dans un contexte où la menace drone est trop souvent ignorée, et où…
La société Rolland, spécialisée dans la conception et la fabrication de sprinkleurs pour les réseaux de protection incendie, obtient…
Le développement des mobilités électriques, notamment les vélos, trottinettes et voitures, fait peser un risque nouveau tant chez les…
La directive (UE) 2024/2831 du Parlement européen et du Conseil du 23 octobre 2024, relative à l’amélioration des conditions…
D’avis unanime, les JOP 2024 ont été une réussite sur le plan sécuritaire. Durant cet événement inédit, trois projets…
L'arrêté du 31 octobre 2024 relatif à l'analyse des substances per- et polyfluoroalkylées dans les émissions atmosphériques des installations…
