Qu'est-ce que la fatigue d'alerte ? 4 façons de l'atténuer et de prévenir l'épuisement professionnel
Publié: 2022-11-14Bip, bip, ding, ding - les origines de la fatigue d'alerte.
La fatigue d'alerte n'est pas un phénomène nouveau. Cela se produit lorsque les professionnels de la cybersécurité deviennent désensibilisés après avoir traité un nombre écrasant d'alertes, ils commencent donc à les négliger ou à les ignorer et ont des temps de réponse plus lents. Dans la plupart des cas de fatigue liée à l'alerte, les employés ne réagissent pas à temps en raison de l'épuisement qu'ils subissent à cause des alertes et des notifications.
On pense que la fatigue d'alerte est une cause majeure de la violation de données cible de 2013 qui a conduit au vol de la carte de crédit et des informations personnelles d'environ 40 millions de clients. C'est une préoccupation pour de nombreuses entreprises et nécessite une attention particulière. Mais comment atténuez-vous l'atténuation des alertes ? Découvrons-le.
Un vrai combat pour les professionnels de la cybersécurité
Le terme fatigue d'alerte a été inventé pour la première fois en 2004 par la Joint Commission, une organisation d'accréditation hospitalière à but non lucratif basée aux États-Unis, pour déclarer l'efficacité des alarmes cliniques comme norme pour les hôpitaux. Il est depuis devenu populaire pour de nombreuses entreprises traitant des alertes, y compris la cybersécurité.
Bien qu'ignorer les messages ou les notifications d'applications n'affecte pas négativement votre vie quotidienne, les ramifications peuvent être graves pour les professionnels de la cybersécurité et leurs organisations. Selon le rapport 2021 Evil Internet Minute Report 1 de RiskIQ, la cybercriminalité coûte aux entreprises 1,79 million de dollars toutes les 60 secondes.
Une enquête réalisée en 2018, il y a à peine quatre ans, a révélé que 27 % des professionnels de l'informatique reçoivent plus d'un million d'alertes de sécurité par jour (faites une pause et laissez-les pénétrer), tandis que la majorité (67 %) sont bombardées de 100 000 alertes par jour. Les PME ne sont pas non plus épargnées par le déluge d'alertes – frappées par 4 000 cyberattaques chaque jour.
Et ce nombre ne devrait pas baisser de si tôt. Une étude connexe de la même année a révélé que les alertes augmentaient et que le personnel de sécurité ne pouvait traiter qu'une moyenne de 12 000 alertes par semaine.
La grande démission de la cybersécurité
Il n'est pas surprenant que les professionnels de la cybersécurité soient confrontés à l'épuisement professionnel. Même avec une équipe importante, gérer plus de 2 000 notifications par jour est mentalement éprouvant. Imaginez être en mode pompier toutes les 8 heures d'une journée de travail typique, parfois même plus longtemps.
Un rapport récent de Panther Labs a révélé que jusqu'à 80 % des ingénieurs en sécurité souffrent d'épuisement professionnel. De plus, 45 % des répondants à la troisième édition du rapport annuel Voice of SecOps 2 de Deep Instinct envisagent de quitter complètement l'industrie en raison du stress. Quarante-six pour cent des mêmes répondants ont déclaré connaître au moins un pair qui a quitté la cybersécurité au cours de l'année écoulée en raison du stress.
Les responsables de la sécurité de l'information (CISO) s'épuisent et démissionnent à un rythme encore plus alarmant. Quarante-neuf pour cent des 1 000 répondants du même rapport envisagent de quitter l'industrie en raison de niveaux de stress croissants.
Il ne s'agit pas seulement de personnes qui quittent leur emploi, mais des dommages causés à l'industrie elle-même. L'industrie perd des talents pour de bon, et il est peu probable qu'il y ait un taux de remplacement équitable pour eux. Même si plus de personnes entrent dans l'industrie qu'elles ne la quittent, il faut du temps aux nouveaux entrants pour se mettre au courant.
Toutes les alertes ne se valent pas
Alors pourquoi y a-t-il autant d'alertes ? Des outils de surveillance tels que Cloud Security Posture Management (CSPM) et Security Information and Event Management (SIEM) émettent des alertes lorsque des anomalies sont détectées dans une infrastructure cloud. Cependant, toutes les alertes ne nécessitent pas d'action, ou du moins pas immédiatement. Certaines alertes indiquent des problèmes mineurs qui peuvent être résolus ultérieurement ou même ignorés.
Ensuite, il y a les faux positifs, qui représentent près de la moitié (45 %) de toutes les alertes de cybersécurité, selon un rapport publié par Fastly en 2021. Les faux positifs sont des alertes qui indiquent une attaque, une vulnérabilité ou un risque alors qu'il n'en existe pas réellement.
Pensez-y comme une fausse alerte ou le garçon qui a crié au loup. Par exemple, les anciens fichiers légitimes avec des certificats de sécurité manquants peuvent être signalés comme malveillants.
De même, une alerte peut être émise indiquant une connexion suspecte par un employé depuis un lieu inconnu lorsque l'équipe de sécurité de l'information (SI) ignore que l'employé est là en vacances.
Pour minimiser ces alertes, vous pouvez utiliser une politique de moindre privilège et ne partager l'accès qu'aux applications et données non sujettes aux menaces. Vous pouvez également utiliser un modèle de confiance zéro et restreindre complètement l'accès aux applications et aux données sensibles ou critiques.
Le rapport Fastly a également révélé que 75 % des organisations passent autant de temps, et parfois plus de temps, sur les faux positifs que sur les attaques réelles. Ces fausses alertes provoquent le même temps d'arrêt que les véritables attaques.
Le problème avec les faux positifs n'est pas qu'ils existent, mais :
- Le grand nombre d'entre eux
- Chacune nécessite du temps et des efforts pour examiner, enquêter et vérifier si l'attaque, la menace ou la vulnérabilité est réelle.
Ce sont les causes profondes de la fatigue d'alerte.
Imaginez un système d'alarme incendie défectueux qui se déclenche à plusieurs reprises dans votre maison. La première fois qu'il gémit, vous peignez minutieusement chaque recoin de la maison pour vérifier s'il y a un incendie et où il se trouve. Vous pouvez le faire pour quelques alarmes ultérieures, mais finalement, décidez simplement que cela ne vaut pas la peine d'enquêter sur une autre alarme et de l'ignorer.
De la même manière, les professionnels de la cybersécurité peuvent éventuellement ignorer complètement ou manquer des alertes importantes qui indiquent une menace ou une attaque réelle en raison de la fatigue des alertes. Ensuite, il faut déterminer quelles alertes sont les plus importantes et doivent être classées par ordre de priorité.
Certaines organisations utilisent des systèmes disparates pour surveiller leurs infrastructures cloud, ce qui signifie que chaque système reçoit sa juste part d'alertes. Ceux-ci ont souvent des effets multiplicatifs, laissant les professionnels de la cybersécurité se noyer dans un vaste océan d'alertes.
4 recommandations pour prévenir la fatigue d'alerte
Vous ne pouvez malheureusement pas éradiquer les fausses alertes. Le réglage fin des règles de surveillance permet de les réduire, mais la réduction est au mieux insignifiante. Cependant, l'utilisation d'un CSPM et d'autres outils de surveillance peut aider les professionnels de la cybersécurité à contextualiser les alertes ou à fournir suffisamment d'informations pour une enquête factuelle et une atténuation des menaces.
Une autre contre-mesure possible consiste à fournir une correction facile en un clic afin que le personnel de sécurité puisse atténuer rapidement et facilement les menaces courantes ou même fournir des instructions étape par étape sur la façon de remédier à ces menaces.
Vous trouverez ci-dessous quelques fonctionnalités à prendre en compte dans un outil CPSM pour aider à réduire la fatigue d'alerte de votre personnel de sécurité.
1. Contextualiser les alertes
Un CSPM doit vous permettre d'identifier et de zoomer rapidement sur les actifs suspects pour comprendre le contexte de la menace à la lumière des perspectives de configuration et d'activité associées à la gravité des événements.
Cela réduit considérablement le temps nécessaire pour enquêter sur chaque alerte. Vous pouvez rapidement identifier et rejeter une fausse alerte, prendre des mesures immédiates pour atténuer la menace ou corriger la vulnérabilité.
2. Fournir des informations exploitables
Prévenir vaut mieux que guérir. Pourquoi attendre que les alertes arrivent ? Imaginez voir un historique de toutes les modifications apportées à votre environnement multi-cloud, chacune accompagnée d'un aperçu exploitable qui vous aide à connaître les menaces potentielles pour votre infrastructure cloud et vous guide même dans la prise de mesures proactives pour atténuer les menaces potentielles.
Avoir une telle fonctionnalité permettra également à votre organisation de rester prête pour les audits pour les normes internationales telles que ISO 27001, SOC 2, les normes sectorielles et territoriales telles que PCI DSS pour l'industrie des paiements, MAS TRM de Singapour, POJK 38 d'Indonésie, APRA d'Australie , et le PDPA thaïlandais.
3. Règles personnalisées et signalisation du niveau de menace
Chaque organisation a des besoins uniques en matière de sécurité et d'activité ; le vôtre n'est pas différent. Vous pouvez avoir des règles de sécurité internes à surveiller. Certaines organisations disposent également d'actifs cloud plus importants que d'autres par rapport à leurs homologues du secteur.
Vous pouvez réduire la fatigue liée aux alertes en surveillant ces règles et actifs internes, en définissant les bons indicateurs de criticité pour chacun et en les hiérarchisant. Par exemple, vous souhaiterez peut-être recevoir des alertes chaque fois qu'il y a un changement sur un compartiment AWS S3 contenant des données d'informations personnelles identifiables (PII).
Pour aller plus loin, un CSPM devrait vous permettre de créer des groupes de surveillance où vous pouvez spécifier le niveau de criticité et l'appliquer automatiquement à d'autres actifs critiques signalés dans votre organisation. Cela vous aidera à réduire la fatigue d'alerte.
4. Correction rapide des menaces et des vulnérabilités
Votre personnel de sécurité doit également être en mesure de remédier rapidement et facilement aux vulnérabilités et menaces courantes et mineures et recevoir des instructions étape par étape pour atténuer des vulnérabilités spécifiques.
En fait, sélectionner toutes les vulnérabilités courantes et mineures, puis les corriger en masse d'un simple clic de souris réduira considérablement le temps que votre personnel de sécurité consacre à la correction.
Une autre façon d'aider votre personnel de sécurité à éviter la lassitude des alertes et à améliorer simultanément ses compétences consiste à vous assurer que l'outil CSPM propose des instructions étape par étape pour remédier aux vulnérabilités. Par exemple, votre personnel de sécurité peut choisir de corriger les vulnérabilités courantes et mineures avec l'option en un clic tout en utilisant le manuel étape par étape pour des corrections plus complexes et en tirer des leçons.
Restez vigilant, mais pas trop
La fatigue des alertes est un véritable problème auquel est confrontée l'industrie de la cybersécurité aujourd'hui. Non seulement cela affaiblit les défenses de votre organisation contre un nombre croissant et une sophistication croissante des cyberattaques, mais cela nuit également gravement au bien-être mental de votre personnel de sécurité.
La fatigue d'alerte a causé de nombreux exemples concrets d'infractions. De nombreux professionnels quittent ou envisagent de quitter complètement l'industrie. Cela n'augure rien de bon pour l'industrie de la cybersécurité dans son ensemble, étant donné que l'adoption du cloud est en hausse et que le besoin de tels talents est criant à l'échelle mondiale.
S'il faut admettre que la fatigue d'alerte ne peut jamais être éradiquée, nous pouvons au moins faire tout notre possible pour minimiser la pourriture, pour ainsi dire. L'introduction et l'adoption d'un bon outil CSPM est un bon moyen d'y parvenir.
Ce problème doit être résolu dès que possible et ne pas être laissé pourrir.
Cyberattaque en vue ! Découvrez ce qu'il faut faire en cas de violation de données et évitez de futures violations.