Fatigue d'alertes
Qu'est-ce que Fatigue d'alertes ?
Fatigue d'alertesDesensibilisation des analystes provoquee par un volume excessif d'alertes peu utiles ou repetitives, qui erode l'attention et ralentit la reponse aux vrais incidents.
La fatigue d'alertes apparait lorsqu'un SOC recoit plus d'alertes que son equipe ne peut analyser, avec une forte proportion de faux positifs ou de doublons. Avec le temps, les analystes developpent des reflexes pour fermer rapidement ou en lot, augmentant le risque qu'un vrai positif passe inapercu ou soit traite trop tard. Les causes incluent des regles bruyantes, des bases de reference faibles, des signatures trop larges, le manque d'enrichissement et le chevauchement d'outils. Les remedes : tuning, deduplication, scoring base sur le risque, automatisation via SOAR, suppression des detections sans valeur et suivi du rapport signal-bruit.
● Exemples
- 01
Des analystes ferment automatiquement les alertes de force brute parce que 99 pour cent sont du bruit d'internet.
- 02
Un flot d'alertes EDR en doublons apres un deploiement logiciel masque une vraie detection de mouvement lateral.
● Questions fréquentes
Qu'est-ce que Fatigue d'alertes ?
Desensibilisation des analystes provoquee par un volume excessif d'alertes peu utiles ou repetitives, qui erode l'attention et ralentit la reponse aux vrais incidents. Cette notion relève de la catégorie Défense et opérations en cybersécurité.
Que signifie Fatigue d'alertes ?
Desensibilisation des analystes provoquee par un volume excessif d'alertes peu utiles ou repetitives, qui erode l'attention et ralentit la reponse aux vrais incidents.
Comment fonctionne Fatigue d'alertes ?
La fatigue d'alertes apparait lorsqu'un SOC recoit plus d'alertes que son equipe ne peut analyser, avec une forte proportion de faux positifs ou de doublons. Avec le temps, les analystes developpent des reflexes pour fermer rapidement ou en lot, augmentant le risque qu'un vrai positif passe inapercu ou soit traite trop tard. Les causes incluent des regles bruyantes, des bases de reference faibles, des signatures trop larges, le manque d'enrichissement et le chevauchement d'outils. Les remedes : tuning, deduplication, scoring base sur le risque, automatisation via SOAR, suppression des detections sans valeur et suivi du rapport signal-bruit.
Comment se défendre contre Fatigue d'alertes ?
Les défenses contre Fatigue d'alertes combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Fatigue d'alertes ?
Noms alternatifs courants : Fatigue des notifications, Fatigue d'alarmes.
● Termes liés
- defense-ops№ 406
Faux positif
Alerte de securite qui classe une activite benigne comme malveillante, ce qui coute du temps aux analystes et erode la confiance dans la detection.
- defense-ops№ 405
Faux negatif
Activite malveillante que la detection n'a pas signalee, laissant la menace passer inapercue et permettant a l'attaquant de poursuivre sans alerter la defense.
- defense-ops№ 1039
SIEM
Plateforme qui agrège, normalise et corrèle la télémétrie de sécurité de toute l'entreprise pour la détection, l'investigation, la conformité et le reporting.
- defense-ops№ 1062
SOAR
Plateforme qui automatise et orchestre les workflows du SOC en enchaînant détections, enrichissements et actions de réponse dans des playbooks exécutés à travers les outils de sécurité.
- defense-ops№ 307
Ingenierie de detection
Discipline consistant a concevoir, tester, deployer et maintenir des detections de securite comme du code, avec une couverture mesurable des techniques adverses.