Sommaire
- Qu'est-ce que la désensibilisation aux alertes de sécurité (alert fatigue) ?
- Quelles sont les causes de la désensibilisation aux alertes de sécurité ?
- Conséquences et risques liés à l’alert fatigue
- La fatigue des alertes en cybersécurité : Un problème croissant
- Comment atténuer la fatigue des alertes et améliorer l'efficacité de la cybersécurité ?
- Réduisez la fatigue des alertes et renforcez vos systèmes de cybersécurité
La désensibilisation aux alertes, ou fatigue des alertes (alert fatigue en anglais), est un problème répandu dans de nombreux domaines, notamment les soins de santé, la construction et l'exploitation minière, les technologies de l'information et la cybersécurité.
Bien que l’alert fatigue touche ces différents secteurs de manière similaire, la fatigue des alertes de sécurité est peut-être la plus complexe et la plus problématique.
Qu'est-ce que la désensibilisation aux alertes de sécurité (alert fatigue) ?
L’alert fatigue est un phénomène qui se produit lorsque les professionnels de la cybersécurité sont inondés par tel volume d'alertes de sécurité que leur capacité à réagir efficacement et à enquêter sur les menaces réelles s'en trouve diminuée.
La désensibilisation aux alertes de sécurité se manifeste généralement par l'absence de filtrage ou de hiérarchisation des problèmes déclenchant les alertes, ainsi que par des notifications entrantes non gérées. Dans de nombreux cas, il s'agit d'une combinaison de ces raisons.
Dans le domaine de la cybersécurité, les alertes prennent de nombreuses formes et sont déclenchées par diverses activités et événements suspects. Parmi les activités ou les menaces potentielles les plus courantes susceptibles de déclencher une notification d'alerte, citons les suivantes :
- Une activité réseau suspecte telle que des violations de données, des intrusions dans le réseau et d'autres activités malveillantes.
- Une série de tentatives de connexion échouées pouvant indiquer une tentative d'accès non autorisé
- La détection de malware, de ransomware, de virus logiciels et d'autres codes malveillants.
Ces alertes ciblées sont conçues pour informer les professionnels de la cybersécurité de ces incidents, prendre des mesures en temps utile et empêcher qu'ils ne s'aggravent ou y remédier.
Les alertes sont déclenchées par des outils de sécurité sophistiqués, tels que les systèmes de détection des intrusions, les pare-feu et les systèmes de gestion des informations et des événements de sécurité (SIEM), qui travaillent ensemble pour surveiller en permanence l'activité du réseau et alerter les professionnels de la cybersécurité lorsque des menaces sont détectées.
Lorsqu'un système est doté de protocoles d'alerte et de surveillance de la sécurité trop sensibles ou mal définis, il peut en résulter une fatigue progressive des alertes.
L'efficacité de ces protocoles de cybersécurité peut s'en trouver diminuée, car le nombre d'alertes peut amener les professionnels de la cybersécurité à être submergés par des notifications fréquentes, au point de négliger des menaces sérieuses.
Quelles sont les causes de la désensibilisation aux alertes de sécurité ?
La raison sous-jacente de la fatigue des alertes est le volume de notifications qu'un système de cybersécurité génère. Ce phénomène peut être causé par divers facteurs, dont les suivants :
- Les faux positifs : Lorsque les systèmes de cybersécurité produisent des alertes continues pour des événements non menaçants (faux positifs), les professionnels se désensibilisent progressivement aux notifications.
- Systèmes de cybersécurité complexes : Lorsque plusieurs systèmes sont en place, comme dans les installations du gouvernement fédéral, les institutions financières et les entreprises, il peut être difficile de corréler et de consolider les alertes, ce qui entraîne un volume élevé et un ensemble complexe d'alertes.
- Manque de contexte : Si les notifications d'alerte ne sont pas accompagnées du contexte approprié, il peut être difficile pour les professionnels de la sécurité de déterminer la gravité d'une alerte, ce qui entraîne une ambiguïté et des réponses tardives.
- Processus de gestion mal définis : Un ensemble bien défini de processus et de procédures de réponse aux incidents peut permettre aux équipes de traiter efficacement les alertes. Cependant, des processus et procédures mal définis sont problématiques, car ils intensifient la lassitude face aux alertes.
- Manque de ressources : Un nombre limité de professionnels de la sécurité pour traiter un grand volume de notifications d'alerte peut rendre difficile le suivi et la réponse aux alertes en temps voulu.
- Personnalisation limitée : Les alertes de cybersécurité qui ne sont pas correctement personnalisées et filtrées peuvent donner lieu à des alertes non menaçantes ou non pertinentes, ce qui aggrave la lassitude à l'égard des alertes.
Dans de nombreuses organisations, une combinaison de ces causes contribue aux problèmes de fatigue des alertes. C'est particulièrement le cas dans les environnements où de multiples outils de sécurité sont mis en œuvre, chacun générant son propre ensemble d'alertes, ce qui conduit à un déluge et à une éventuelle lassitude des notifications.
Conséquences et risques liés à l’alert fatigue
Lorsque la fatigue des alertes se répand dans les environnements de cybersécurité, les répercussions s'accompagnent de plusieurs risques et conséquences, dont les suivants :
- Un faux sentiment de sécurité : Lorsque les professionnels de la sécurité sont progressivement inondés et désensibilisés aux alertes, ils peuvent supposer que les alertes sont des faux positifs et commencer à les ignorer, ce qui peut conduire à un faux sentiment de sécurité.
- Réponse tardive : Les professionnels de la sécurité qui sont submergés et fatigués par des alertes constantes peuvent être lents à réagir aux menaces critiques, ce qui entraîne un retard dans l'atténuation des risques réels.
- Augmentation de la charge de travail : Lorsque le personnel chargé de la surveillance des alertes est submergé par les notifications, il peut subir un stress et une tension supplémentaires, ce qui peut entraîner une augmentation de l'épuisement professionnel, une rotation du personnel et une baisse de la productivité.
- Problèmes de conformité juridique et réglementaire : Les failles de sécurité peuvent entraîner une conformité inadéquate et des problèmes de réglementation, ce qui peut entraîner des amendes et des pénalités coûteuses.
- Augmentation des coûts : Lorsque les systèmes de cybersécurité ne parviennent pas à filtrer et à hiérarchiser les alertes réelles, ils peuvent allouer des ressources supplémentaires au personnel pour gérer le volume élevé d'alertes, ce qui entraîne une augmentation des coûts pour l'organisation.
- Atteinte à la réputation : Une violation de la cybersécurité peut être extrêmement préjudiciable aux opérations d'une organisation et, par conséquent, à sa réputation, ce qui entraîne une perte de clients et de revenus.
- Baisse du moral : La fatigue des alertes peut avoir des conséquences coûteuses sur le moral de l'équipe de sécurité d'une organisation, car elle peut être démotivée, désengagée et improductive dans son travail.
La fatigue des alertes en cybersécurité : Un problème croissant
Il est indéniable que la fatigue des alertes et donc la désensibilisation à celles-ci devient un problème croissant en matière de cybersécurité.
Selon un livre blanc d'IDC, les équipes de cybersécurité sont confrontées à la lassitude des alertes dans les organisations de toutes tailles, et jusqu'à 30 % des alertes ne sont pas examinées ou sont complètement ignorées.
Selon le rapport d'IBM et du Ponemon Institute sur les coûts des violations de données, le coût moyen d'une violation de données en 2022 a atteint le chiffre record de 3,86 millions de dollars, et le temps moyen pour identifier et contenir une violation était de 277 jours.
Le temps de détection est le facteur qui contribue le plus aux coûts globaux associés aux violations de données. Plus une violation reste longtemps non détectée, plus de données sensibles peuvent être extraites.
Le rapport du Ponemon Institute intitulé “The Cost of Malware Containment” (le coût du confinement des logiciels malveillants) indique qu'en moyenne, les entreprises reçoivent environ 17 000 alertes de malware au cours d'une semaine normale, mais que seulement 19 % de ces alertes sont jugées fiables. Cela indique que la grande majorité des alertes sont des faux positifs qui contribuent directement à la fatigue des alertes.
Promon, un fournisseur de sécurité applicative de premier plan, a constaté que deux tiers des professionnels de la cybersécurité interrogés lors de l'expo Black Hat Europe ont affirmé avoir connu l'épuisement professionnel en 2022. Plus de 50 % des répondants ont attribué leur charge de travail comme la plus grande source de stress dans leur poste.
Alors, que peuvent faire les organisations et les équipes de cybersécurité pour minimiser la fatigue des alertes et optimiser l'efficacité des protocoles de surveillance des notifications ? Explorons quelques-unes des solutions potentielles pour lutter contre la fatigue des alertes.
Comment atténuer la fatigue des alertes et améliorer l'efficacité de la cybersécurité ?
Pour minimiser la fatigue des alertes et améliorer l'efficacité globale de la cybersécurité, les organisations et les équipes peuvent utiliser les solutions suivantes :
Fixer des seuils pour hiérarchiser les alertes en fonction de leur gravité
L'établissement de seuils est l'un des moyens efficaces et systématiques d'améliorer considérablement l'atténuation de la fatigue des alertes. Le principe de cette solution est d'établir un système qui attribue un niveau de priorité à certains types d'alertes.
Une équipe de cybersécurité peut attribuer différents niveaux en fonction de la gravité de l'alerte. Par exemple, le niveau 1 pour les alertes critiques exigeant une attention immédiate, le niveau 2 pour les alertes prioritaires nécessitant une action dans un délai déterminé, et le niveau 3 pour les alertes de faible priorité à traiter pendant les heures de travail normales.
Les solutions de réponse aux menaces de Proofpoint (Proofpoint Threat Response) relèvent ce défi en fournissant un contexte précieux autour des menaces et en automatisant les actions de réponse, telles que les activités de quarantaine et de confinement à travers l'infrastructure d'un système de sécurité.
Utiliser la corrélation et le triage automatisés
La “corrélation automatisée” identifie et regroupe les alertes connexes afin de minimiser les redondances et de permettre aux professionnels de la cybersécurité de se concentrer sur les alertes les plus critiques.
Par exemple, si la même adresse IP génère plusieurs alertes, la corrélation automatisée peut les regrouper, ce qui facilite considérablement les enquêtes.
Tout comme la définition de seuils de priorité, le “triage automatisé” fait remonter les alertes en fonction de leur niveau de gravité. En attribuant un niveau de priorité à chaque alerte, les équipes identifient et répondent rapidement aux alertes les plus critiques, telles que les violations de données majeures.
Cette mesure est ancrée dans l’Emerging Threats Intelligence (ET), la solution de Proofpoint pour aider les équipes de cybersécurité à mieux comprendre : le contexte historique de l'origine des menaces de sécurité, qui sont derrière elles, quelles méthodes ont été utilisées pour lancer l'attaque, et quelles informations sont recherchées.
Les outils de corrélation et de triage automatisés peuvent être intégrés aux systèmes de cybersécurité existants, tels que les systèmes de prévention et de détection des intrusions, les systèmes SIEM et les plateformes de renseignement sur les menaces.
Mettre en œuvre un plan de réponse aux incidents
Un plan de réponse aux incidents est un ensemble prédéterminé de procédures et de directives qu'une équipe de cybersécurité peut suivre lorsqu'elle réagit à un incident de sécurité.
Ce plan vise à garantir que les alertes hautement prioritaires sont traitées rapidement et efficacement, ce qui réduit le temps consacré à l'enquête et au dépannage de l'incident. Les principaux éléments d'un plan de réaction aux incidents sont les suivants :
- L'identification des actifs et des systèmes les plus critiques pour l'organisation et qui subiraient le plus de dommages en cas de compromission.
- La désignation d'une équipe de réponse aux incidents ou d'un groupe de personnes (par exemple, des professionnels de l'informatique, de la cybersécurité, du droit, etc.)
- La détermination des procédures de réponse aux incidents qu'une équipe suit lorsqu'elle traite une menace pour la sécurité, comme la détection, le confinement, l'éradication et la récupération.
- La définition des protocoles de communication qu'une équipe de cybersécurité suit lorsqu'elle transmet des informations et des mises à jour aux parties prenantes internes et externes (par exemple, la direction, les employés, les clients et les médias) dans le cadre d'une menace pour la sécurité.
- L'amélioration et la mise à jour permanentes du plan de réponse aux incidents permettent de s'assurer que les processus et les procédures restent pertinents et efficaces. Il s'agit également de tester les plans au moyen d'exercices et de manœuvres et d'apporter les ajustements nécessaires.
D'autres aspects entrent en ligne de compte dans l'atténuation de la lassitude des alertes, comme la révision et l'ajustement fréquents de l'ensemble des systèmes de cybersécurité afin de minimiser la fréquence des faux positifs et de garantir que seules les alertes pertinentes sont déclenchées.
Une autre méthode couramment utilisée consiste à mettre en place des systèmes pour que les employés soient bien formés aux meilleures pratiques en matière de sensibilisation à la sécurité, ce qui réduit la possibilité d'erreurs humaines, comme le fait de tomber dans le piège du phishing ou de négliger des alertes sérieuses.
Réduisez la fatigue des alertes et renforcez vos systèmes de cybersécurité
Pour en savoir plus sur la façon dont Proofpoint peut vous aider à réduire la fatigue des alertes et à éviter qu'elle ne perturbe vos protocoles de cybersécurité, explorez les solutions de réponse aux menaces (Threat Response Solutions) pour suivre toutes les alertes, quelle que soit leur source, et les organiser de façon transparente en incidents qui peuvent optimiser le flux de travail de votre équipe.