Faux Positifs
TL;DR
En sécurité, un faux positif se produit lorsqu’un outil signale un problème qui n’existe pas réellement.
Qu’est-ce qu’un Faux Positif ?
Un faux positif est lorsque un outil de sécurité signale un problème qui n’existe pas réellement.
Exemple simple :
- Problème réel : L’alarme incendie se déclenche parce qu’il y a un feu.
- Faux positif : L’alarme incendie se déclenche à cause de la vapeur de cuisson.
L’alerte est réelle, mais il n’y a pas de danger réel.
Pourquoi les Faux Positifs sont un Problème
Les faux positifs font plus que perdre du temps. Ils peuvent entraîner de vrais problèmes au fil du temps.
Ils entraînent :
- Perte de temps à résoudre des problèmes qui n’existent pas
- Frustration entre les équipes de sécurité et de développement
- Risque accru car les vrais problèmes sont ignorés
Pourquoi les Faux Positifs se Produisent
Les outils de sécurité sont conçus pour être prudents. Il est plus sûr pour eux de donner trop d’avertissements que de manquer une véritable attaque.
Raisons courantes :
-
Pas de contexte
Un outil voit un mot de passe codé en dur, mais il est seulement dans un fichier de test.
-
Code complexe
L’outil pense que l’entrée utilisateur est dangereuse, mais le code la nettoie déjà.
-
Règles anciennes
Un nouveau logiciel sûr ressemble à une ancienne menace.
-
Règles trop larges
Par exemple, signaler chaque utilisation de eval() même quand c’est sûr.
Le Coût Réel des Faux Positifs
Le vrai problème survient lorsque trop d’alertes s’accumulent.
- Les équipes cessent de prêter attention aux alertes.
- Les constructions et les sorties ralentissent.
- Les ingénieurs qualifiés perdent du temps à examiner de faux problèmes.
Faux Positifs vs Faux Négatifs
| Terme | Ce que cela signifie |
|---|---|
| Vrai Positif | Un problème réel est correctement identifié |
| Faux Positif | Un problème est signalé mais n’est pas réel |
| Vrai Négatif | Un code sûr est correctement ignoré |
| Faux Négatif | Un problème réel est manqué (ceci est dangereux) |
Termes Connexes
- Fatigue d’Alerte
- SAST
- Triage
- EPSS
FAQ
Comment savoir si une alerte est un faux positif ?
Vous devriez examiner le code pour déterminer si un utilisateur réel pourrait déclencher le problème.
Les outils peuvent-ils avoir zéro faux positif ?
Non. L’objectif est de les réduire, pas de les éliminer complètement.
Dois-je arrêter d’utiliser un outil avec de nombreux faux positifs ?
Pas immédiatement. La plupart des outils nécessitent un ajustement pour correspondre à votre base de code.