Skip to the content

Comment gérer les faux positifs dans la supervision ?

La question à propos des faux positifs est souvent posée en des termes erronés : l’approche ne doit pas être celle de l’élimination de tous les faux-positifs des journaux de supervision mais bien leur gestion. Voici quelques pistes pour gérer les faux positifs dans un dispositif de supervision.

Comment les faux positifs impactent-ils vos rapports ?

Il serait illusoire de vouloir éliminer totalement les faux positifs de vos journaux de supervision : cela pourrait même indiquer que votre supervision est trop permissive. Il est toutefois nécessaire de les limiter autant que possible, et surtout d’être en mesure de gérer les faux positifs : ils sont en effet une source de dépense d’argent et d’énergie. La proportion entre le nombre d'alertes réelles et vérifiées, de faux négatifs et de faux positifs va permettre de déterminer le bon paramétrage des indicateurs.

Limiter le nombre de faux positifs dans vos logs, tout en mettant en place des traitements automatisés, vous permet d’être beaucoup plus efficace dans vos supervisions : le temps d’analyse consacré à un faux positif vous fera peut-être passer à côté d’une vraie alerte, et perdre le temps que vous pourriez consacrer à l’identification et à l’analyse des faux négatifs.

Une vraie stratégie pour gérer les faux positifs

La réduction du nombre de fausses alertes dans les journaux de supervision suppose la mise en place d’une stratégie reposant sur la formation et une connaissance exacte de la configuration des systèmes et du réseau, à condition que les logiciels de supervision soient à jour. Du point de vue de la formation, celle-ci doit être continue pour le personnel en charge de la sécurité, et notamment celui qui évalue la fiabilité des systèmes.

Pour gérer les faux positifs, il est primordial de les traiter en y accordant le moins de temps possible. Pour cela, vous serez gagnant à tendre vers l’automatisation en vous basant sur le regroupement des données identiques et répétitives, et enfin recouper entre eux les événements provenant de différentes sources.