Utilisez le rasoir de Hanlon avant de crier au loup

Comment la panique nous déforce ?

Introduction

Lorsqu’une organisation est confrontée à un incident de sécurité, la réaction immédiate consiste trop souvent à mobiliser l’ensemble des parties prenantes : équipes techniques, direction générale, voire autorités compétentes. Cette approche, bien qu’empreinte de prudence, peut engendrer des effets pervers lorsqu’elle repose sur des hypothèses non vérifiées.

Une question se pose alors : faut-il systématiquement interpréter un événement inhabituel comme une attaque malveillante, ou convient-il d’adopter une démarche analytique avant d’alerter l’ensemble des acteurs ?

Dans le contexte de la cybersécurité, la surinterprétation des incidents peut nuire à plusieurs niveaux. Perte d'efficacité opérationnelle due à la mobilisation excessive des ressources pour des incidents mineurs ou mal caractérisés. Érosion de la crédibilité des responsables de la sécurité (CISO, RSSI), dont les alertes, si elles s’avèrent répétitivement infondées, peuvent être perçues comme excessives ou alarmistes. Détérioration de la posture sécuritaire globale, car un excès de faux positifs peut conduire à une banalisation des alertes et, in fine, à une moindre réactivité face aux véritables menaces.

Dans cette perspective, le Rasoir de Hanlon peut nous aider en nous offrant une approche heuristique pertinente : « Ne jamais attribuer à la malveillance ce que la bêtise ou l’incompétence suffisent à expliquer. » Appliqué à la cybersécurité, ce principe invite à examiner d’abord les hypothèses les plus probables – telles que l’erreur humaine ou une mauvaise configuration – avant de conclure à une attaque sophistiquée.

Explorons ensemble les implications de cette posture dans la gestion des incidents de sécurité, en mettant en lumière les risques associés à une alerte précipitée ainsi que les bonnes pratiques permettant d’articuler vigilance et discernement.

Comprendre le (véritable) danger

Au pays des incidents informatiques et en particuliers ceux étant qualifiés d'incidents de sécurité, les faux positifs – ces alertes signalant à tort une menace inexistante – constituent un défi majeur pour les équipes de sécurité. Selon une étude menée par FireEye, 37 % des grandes entreprises reçoivent plus de 10 000 alertes mensuelles, dont 52 % sont des faux positifs et 64 % des alertes redondantes.

Cette surabondance d'alertes erronées entraîne des conséquences néfastes sur la durée. D'abord parce qu'elle provoque une fatigue des alertes chez les analystes, les conduisant à ignorer ou à désactiver certaines notifications, augmentant ainsi le risque de manquer une véritable menace. En effet, face à un volume élevé d'alertes, 50 % des professionnels espèrent qu'un autre membre de l'équipe interviendra, 43 % désactivent les alertes de manière occasionnelle, et 40 % ignorent totalement l'incident.

De plus, cette situation peut entraîner une érosion de la confiance envers les outils de sécurité. Lorsque les systèmes génèrent fréquemment des alertes infondées, les équipes peuvent devenir désensibilisées, voire ignorer complètement les notifications, créant ainsi un environnement où de véritables menaces pourraient passer inaperçues. censys.com

Enfin, la mobilisation excessive des ressources pour traiter ces faux positifs détourne l'attention des analystes des menaces réelles, réduisant ainsi l'efficacité globale de la défense de l'organisation. Une étude de Trend Micro révélait en 2021 que plus de la moitié des RSSI rapportent que leurs équipes sont débordées par les alertes, et que près du tiers du temps est monopolisé par le traitement de faux positifs. harf

Le rasoir de Hanlon à notre rescousse

La cybersécurité repose sur la vigilance permanente nous le savons. Il est malheureusement tentant de voir des intentions malveillantes derrière chaque anomalie. Une connexion inhabituelle, un flux réseau inexpliqué, une élévation de privilèges imprévue : autant de signaux qui, à première vue, pourraient être interprétés comme les prémices d'une attaque ciblée. Mais pas que !

Comme le rappelle le Rasoir de Hanlon, il est essentiel de ne pas attribuer systématiquement à une cybermenace ce qui pourrait relever d’une erreur humaine, d’un problème technique ou d’une mauvaise configuration.