Fatigue d’alerte
TL;DR
La fatigue d’alerte se produit lorsque les équipes reçoivent tellement de notifications qu’elles cessent de leur prêter attention.
Qu’est-ce que la fatigue d’alerte ?
La fatigue d’alerte se produit lorsque les équipes de sécurité ou d’opérations sont submergées par des alertes chaque jour. Avec le temps, les gens se fatiguent, se stressent et commencent à les ignorer.
En matière de sécurité, cela provient généralement d’outils qui alertent sur tout, les vrais problèmes, les petits problèmes et les choses qui ne sont pas des problèmes du tout.
Lorsque chaque alerte semble critique, aucune d’entre elles ne semble vraiment urgente. Le cerveau apprend à les ignorer, comme une alarme qui se déclenche trop souvent.
Pourquoi la fatigue d’alerte est-elle dangereuse ?
La fatigue d’alerte n’est pas seulement ennuyeuse. Elle est risquée.
De nombreuses violations de sécurité majeures se sont produites même si des alertes ont été déclenchées. Le problème était que personne ne les a remarquées ou n’a réagi à temps.
Principaux risques :
1. Les véritables menaces sont ignorées.
Lorsque la plupart des alertes sont des fausses alarmes, les véritables attaques semblent identiques et passent inaperçues.
2. Réponse lente
Le temps passé à examiner des alertes inutiles est du temps non consacré à résoudre de vrais problèmes.
3. Erreurs humaines
Les équipes fatiguées font des erreurs, sautent des étapes ou jugent mal les risques.
Pourquoi la fatigue d’alerte se produit-elle ?
La fatigue d’alerte provient généralement d’un mélange de mauvais outils et de mauvaise configuration.
Causes courantes :
- Trop de faux positifs
- Les outils signalent des problèmes possibles sans vérifier s’ils peuvent réellement être exploités.
- Pas de véritable priorisation
- Tout reçoit la même gravité, même lorsque le risque est très différent.
- Alertes en double
- Plusieurs outils signalent le même problème de différentes manières.
- Règles rigides
- Les alertes se déclenchent sur la base de limites fixes au lieu d’un comportement réel.
Comment réduire la fatigue des alertes
La seule véritable solution est de réduire le bruit et de se concentrer sur ce qui est important.
Se concentrer sur le risque réel
Tous les problèmes ne sont pas égaux. Plexicus fournit quelques métriques pour vous aider à prioriser les vulnérabilités :
1) Métriques de priorité
Ce qu’il mesure : Urgence globale pour la remédiation
C’est un score (0-100) qui combine la gravité technique (CVSSv4), l’impact sur l’entreprise et la disponibilité de l’exploitation en un seul chiffre. C’est votre file d’attente d’actions - triez par priorité pour savoir quoi traiter immédiatement. Une priorité de 85 signifie “laissez tout tomber et corrigez cela maintenant”, tandis qu’une priorité de 45 signifie “planifiez-le pour le prochain sprint.”
Exemple : Injection SQL dans un outil de productivité interne, accessible uniquement depuis le VPN de l’entreprise, ne contenant pas de données sensibles
- CVSSv4 : 8.2 (gravité technique élevée)
- Impact sur l’entreprise : 45 (outil interne, exposition limitée des données)
- Disponibilité de l’exploitation : 30 (nécessite un accès authentifié)
- Priorité : 48
Pourquoi chercher la priorité : Malgré un CVSSv4 élevé (8.2), la priorité (48) réduit correctement l’urgence en raison de l’impact commercial limité et de la faible exploitabilité. Si vous ne regardiez que le CVSS, vous paniqueriez inutilement. La priorité dit : « Planifiez cela pour le prochain sprint, » avec un score d’environ 45.
Cela rend la recommandation « prochain sprint » beaucoup plus raisonnable - c’est une véritable vulnérabilité qui nécessite une correction, mais ce n’est pas une urgence car elle se trouve dans un outil interne à faible impact avec une exposition limitée.
2) Impact
Ce qu’il mesure : Conséquences commerciales
L’impact (0-100) évalue ce qui se passe si la vulnérabilité est exploitée, en tenant compte de votre contexte spécifique : sensibilité des données, criticité du système, opérations commerciales et conformité réglementaire.
Exemple : Injection SQL dans une base de données client accessible au public a un impact de 95, mais la même vulnérabilité dans un environnement de test interne a un impact de 30.
3) EPSS
Ce qu’il mesure : Probabilité de menace réelle
EPSS est un score (0.0-1.0) qui prédit la probabilité qu’un CVE spécifique soit exploité dans la nature au cours des 30 prochains jours.
Exemple : Une vulnérabilité vieille de 10 ans pourrait avoir un CVSS de 9.0 (très sévère), mais si personne ne l’exploite plus, l’EPSS serait faible (0.01). À l’inverse, un CVE plus récent avec un CVSS de 6.0 pourrait avoir un EPSS de 0.85 car les attaquants l’utilisent activement.
Vous pouvez vérifier ces métriques pour la priorisation en suivant ces étapes :
- Assurez-vous que votre dépôt est connecté et que le processus de scan est terminé.
- Ensuite, allez dans le menu Findings, où vous trouverez les métriques nécessaires pour la priorisation.
Différences Clés
| Métrique | Réponses | Portée | Plage |
|---|---|---|---|
| EPSS | « Les attaquants utilisent-ils cela ? » | Paysage mondial des menaces | 0.0-1.0 |
| Priorité | « Que dois-je corriger en premier ? » | Score d’urgence combiné | 0-100 |
| Impact | « Quel est le risque pour MON entreprise ? » | Spécifique à l’organisation | 0-100 |
Ajouter du Contexte
Si une bibliothèque vulnérable existe mais que votre application ne l’utilise jamais, cette alerte ne devrait pas être une priorité élevée.
Ajuster et Automatiser
Apprenez aux outils au fil du temps ce qui est sûr et ce qui ne l’est pas. Automatisez les corrections simples pour que les gens ne gèrent que les menaces réelles.
Utiliser Une Vue Claire
Utiliser une plateforme unique comme Plexicus aide à supprimer les alertes dupliquées et montre uniquement ce qui nécessite une action.
Fatigue des Alertes dans la Vie Réelle
| Situation | Sans contrôle du bruit | Avec alertes intelligentes |
|---|---|---|
| Alertes quotidiennes | 1,000+ | 15–20 |
| Moral de l’équipe | Débordé | Concentré |
| Risques manqués | Courants | Rares |
| Objectif | Alertes claires | Corriger les vrais problèmes |
Termes Connexes
FAQ
Combien d’alertes sont trop nombreuses ?
La plupart des gens ne peuvent correctement examiner qu’environ 10 à 15 alertes par jour. Plus que cela conduit généralement à des problèmes manqués.
La fatigue des alertes est-elle uniquement un problème de sécurité ?
Non. Cela se produit également dans les soins de santé, les opérations informatiques et le support client. En matière de sécurité, l’impact est pire car les alertes manquées peuvent entraîner des violations graves.
Désactiver les alertes aggrave-t-il les choses ?
Si les alertes sont désactivées sans réflexion, oui.
Si les alertes sont réduites en fonction du risque réel et du contexte, la sécurité s’améliore en réalité.