Glossaire
Table des matières
Lien d'en-tête de texte

Faux positif

Un faux positif est une alerte qui indique à tort qu'une vulnérabilité existe ou qu'une activité malveillante est en cours. Ces faux positifs ajoutent un nombre important d'alertes à évaluer, augmentant ainsi le niveau de bruit pour les équipes de sécurité.

Des faux positifs peuvent être déclenchés par divers incidents, tels que :

  • L'utilisateur saisit à plusieurs reprises un mot de passe incorrect, déclenchant une alerte de force brute
  • Les logiciels de scan et de sécurité identifient une opération légitime comme une attaque.
  • Une signature configurée pour identifier un type de logiciel malveillant identifie à tort une activité
  • Des bogues logiciels pris à tort pour une attaque
  • Trafic réseau non reconnu
  • Les outils de test de sécurité des applications identifient incorrectement des résultats comme des problèmes de sécurité

L'augmentation des outils de test et de surveillance de la sécurité accroît le nombre total d'alertes reçues par les équipes de sécurité, ce qui augmente à son tour le nombre de faux positifs à traiter. Ce type d'événements de sécurité accroît le bruit pour les équipes de sécurité déjà surchargées, les rendant plus susceptibles d'ignorer des événements de sécurité valides parce qu'elles supposent qu'il s'agit de faux positifs.

De manière réaliste, les équipes de sécurité ne peuvent pas, et n'ont pas besoin, de résoudre chaque problème signalé par les alertes, pas plus que les équipes de développement et de test de logiciels ne peuvent analyser chaque alerte. Ces équipes reçoivent un grand nombre d'alertes et il faut du temps pour enquêter sur chacune d'elles. Lorsque des équipes sous pression reçoivent continuellement un volume élevé d'alertes, elles sont plus susceptibles de souffrir de fatigue liée aux alertes et de se concentrer sur les cas où un problème clair doit être résolu.

Les faux positifs augmentent la probabilité que les équipes de sécurité internes manquent des événements de sécurité importants, soit parce qu'elles les considèrent comme non valides, soit parce qu'elles reçoivent trop d'alertes pour pouvoir toutes les examiner. Les faux négatifs sont tout aussi problématiques, car ils indiquent qu'aucune vulnérabilité ou problème de sécurité n'est présent alors qu'il existe en réalité un problème qui doit être résolu.

Bien qu'un certain nombre de faux positifs soient examinés afin de vérifier qu'ils ne représentent effectivement aucune menace pour l'organisation, les faux négatifs sont moins susceptibles d'être investigués, car les résultats des tests semblent indiquer que le logiciel fonctionne comme prévu. Les faux positifs comme les faux négatifs peuvent représenter une menace pour les équipes de sécurité et les organisations qu'elles protègent.

Termes associés

Sécurité des données

Découvrez comment la sécurité des données protège les informations numériques, réduit les risques de violation et assure la conformité dans le monde hybride et cloud d'aujourd'hui.

En savoir plus →
Prévention contre la perte de données

Qu'est-ce que le DLP ?

En savoir plus →