Plateforme
27 novembre 2024 Astuces .
Qu’est-ce qu’un faux positif ?
Ce contenu vous plait
Partagez-le sur les réseaux
Il s’agit de l’inverse d’un faux négatif. Voila. De rien :) Plus sérieusement, un faux positif est un résultat identifié comme pertinent par rapport à des critères de sélection, qui semble juste mais est en fait erroné. Par exemple, en cybersécurité, il peut s’agir d’un logiciel légitime et bénin qui est considéré comme un malware par un antivirus. Il peut aussi s’agir d’une alerte pour traiter une vulnérabilité qui n’en est pas une, ce qui est le propos de cet article.
Quoi, Patrowl ne remonte pas toutes vos vulnérabilités ?!
Oui et nous l’assumons : Patrowl ne vous remontera pas toutes les vulnérabilités identifiées. Pourquoi ? Parce que toutes les vulnérabilités ne représentent pas des dangers réels. Certaines peuvent être : des faux positifs, inexploitables ou encore de simples sujets de conformité ne nécessitant pas une action immédiate.
Exemple concret de faux positif
Imaginez le cas suivant : vous recevez cette alerte de vulnérabilité concernant un site web.
"Fuite de secret AWS Access Key. Un attaquant peut obtenir un accès non autorisé à votre environnement Cloud pour voler des données, altérer les configurations et déployer des ressources malveillantes. L’attaquant pourrait aussi assurer de la persistance sur vos systèmes, éteindre vos services, voler les données et réaliser des actions illégitimes comme du minage de cryptomonnaies."
Tous les voyants sont au rouge, il faut intervenir immédiatement !
En réalité, cette alerte concerne un jeton d'accès public AWS, disponible pour tous, et qui donne accès à des données publiques. C’est un fonctionnement normal d’AWS et documenté. Vous pouvez stocker vos images publiques et vos documents publics sur des espaces de stockage AWS S3. Pour y accéder, dans le code source de votre site web, vous devez spécifier un jeton qui permettra à AWS de savoir où se trouve le document :https://docs.aws.amazon.com/AmazonS3/latest/API/sigv4-query-string-auth.html
Rien de critique donc, juste un faux positif.
Les véritables coûts des faux positifs
Perte de temps et de ressources : Lorsque les équipes reçoivent des alertes concernant des faux positifs, ils doivent investiguer pour déterminer s'il s'agit d'une menace réelle ou pas. Cela entraîne une perte de temps dans un domaine où tout le monde en manque et une mobilisation de vos équipes sur un sujet non prioritaire.
Fatigue face aux alertes : Dans un écosystème cyber où les faux positifs sont de plus en plus fréquents, les experts en cybersécurité peuvent devenir insensibles aux alertes, un phénomène connu sous le nom de fatigue face aux alertes. À terme, cela peut entraîner de la négligence face aux véritables menaces, augmentant ainsi le risque de les laisser passer.
Érosion de la confiance : Les équipes informatiques comptent sur les logiciels de cybersécurité pour fournir des informations précises et exploitables. Si un logiciel signale constamment des faux-positifs, son efficacité peut être mise en doute et faciliter le désengagement par rapport à son utilisation. Les commentaires de vos équipes peuvent vite se transformer en : "mais ton outil, il ne marche pas, ça ne sert à rien qu’on l’utilise".
Interruption de service : Les faux positifs peuvent amener au déclenchement de mesures de sécurité inutiles, telles que le blocage de comptes ou encore des isolements de système, les rendant indisponibles.
La politique 0 faux positifs de Patrowl
Chez Patrowl, nous adoptons une politique de zéro faux positifs : une solution de cybersécurité doit être un allié fiable et non une source de confusion. Toutes les vulnérabilités remontées par notre plateforme sont qualifiées, contextualisées et priorisées pour garantir non seulement une efficacité accrue, mais aussi une confiance totale des utilisateurs envers la solution. Patrowl aide les équipes cyber à être plus rapide que les attaquants.
Concentrez-vous sur vos véritables missions sans vous perdre dans des signaux inutiles !