Quand les alertes de cybersécurité
nuisent à l’efficacité des équipes

Une vigilance de tous les instants particulièrement anxiogène

Le contexte serait si critique que les équipes dédiées à la sécurité informatique n’auraient jamais été aussi sollicitées, voire mises sous pression. Trend Micro, spécialiste en cybersécurité, a publié en mai 2021 une étude alarmante. Elle regroupe les résultats d’entretiens menés dans 21 pays et réalisés auprès de 2 303 décideurs et décideuses en sécurité informatique dans des entreprises de plus de 250 salarié·es.

70 % des personnes interrogées déclarent que leur vie personnelle est particulièrement affectée par la gestion des alertes de menaces informatiques au quotidien. La moitié d’entre elles (51 %) se disent submergées par un important volume d’alertes, et admettent ne pas être entièrement confiantes dans leur capacité à les hiérarchiser et à y répondre (55 %).

Le stress des équipes dédiées à la sécurité informatique est une tendance de fond du secteur, et est régulièrement documenté. Ainsi, juste avant la crise du Covid début 2020,, une étude de Vanson Bourne (spécialiste en nouvelles technologies), menée auprès de 800 responsables de la sécurité des systèmes d’information aux États-Unis et en Grande-Bretagne, montrait déjà que « 88 % se sentaient en situation de stress ».

Un impact réel sur l’efficacité des équipes

Or, ce fort niveau de sollicitation, outre qu’il dégrade la qualité de vie au travail des responsables de la sécurité des systèmes d’information (RSSI), n’est pas sans conséquences sur l’efficacité de leurs missions. 

L’étude Trend Micro apporte un éclairage inquiétant. Du fait du volume élevé d’alertes, 50 % d’entre eux espèrent qu’un autre membre de l’équipe interviendra, 43 % désactivent les alertes de manière occasionnelle, voire fréquente, et 43 % s’éloignent de leur PC. Pire, 40 % ignorent totalement l’incident.

En 2019, une étude Symantec zoomait déjà sur ce sujet ultrasensible. 82 % des RSSI européens se disaient « paralysés par la multiplicité des alertes sur les menaces ». Et face à une charge de travail extrêmement importante, 67 % des professionnels de la cybersécurité admettaient que leurs équipes n’avaient pas traité toutes les alertes en fin de journée…

Le flot quotidien de remontées est si important qu’il est presque impossible de distinguer les fausses alertes des signes potentiels d’attaque ciblée.

Le CTO de Symantec, Darren Thomson, pointait alors « l’approche actuelle en patchwork d’outils et de stratégies de sécurité qui crée davantage de problèmes qu’elle n’en résout. Le flot quotidien de remontées est si important qu’il est presque impossible de distinguer les fausses alertes des signes potentiels d’attaque ciblée ».

L’enjeu des bons outils de détection et de la hiérarchisation des alertes

Nul ne servirait d’être constamment sur le qui-vive. À la place, il faudrait disposer des bons outils et d’une stratégie adaptée pour mettre en évidence les alertes qui méritent vraiment de l’attention. Renaud Bidou, directeur Technique Europe du Sud chez Trend Micro estime effectivement que « pour éviter que leurs meilleurs éléments ne finissent par être victimes d’un burn-out, il est important que les entreprises se tournent vers des plateformes de détection et de réponse aux menaces en mesure de corréler et de hiérarchiser intelligemment les alertes. Cela leur permettra non seulement de renforcer le niveau de protection global de l’entreprise, mais également d’améliorer la productivité et le bien-être de leurs experts au quotidien ». De quoi remettre du baume au cœur des équipes de sécurité en abaissant leur niveau de sollicitation, tout en minimisant les risques cyber.

L’étude Trend Micro montre en effet que les trois quarts des équipes interrogées (75 %) ont une certaine défiance envers les capacités de leur organisation à hiérarchiser les alertes. Elles reconnaissent aussi qu’en moyenne, 30 % de leur temps est consacré à la recherche de faux positifs.