2023-10-14, 14:00–14:20, Workshops & Speed
Language: French
Le phénomène de la "fatigue des alertes" ("alert/ticket fatigue" en anglais) est bien réel et affecte probablement la majorité des organisations possédant un SOC. Les différentes solutions de sécurité génèrent de plus en plus d'alertes et afin d'éviter au maximum l'épuisement de nos équipes qui peuvent traiter des faux positifs à répétition, il faut repenser à notre stratégie vis-à-vis celles-ci. Une piste intéressante est la mise en place des alertes basées sur le risque, sommairement, les deux principaux avantages seraient de réduire le nombre de faux positifs et d'également détecter des événements qui individuellement n'auraient potentiellement pas levé d'alertes.
- Introduction (~1min)
- Qu'est-ce que la fatigue des alertes et pourquoi il faut en tenir compte? (~2min)
- Comment gérer la balance entre le volume d'alertes à traiter et la réduction des faux positifs? (Est-ce dangereux de réduire nos seuils pour recevoir moins d'alertes? Risque-t-on de manquer des alertes importantes?) (~4min)
- Pourquoi est-il possible pour une organisation de ne pas détecter certaines activités suspectes malgré la présence de centaines de cas d'usage (Use Case)? (~4min)
- Alerte vs. événement notable (~3min)
- Attribuer des scores de risque à des objets via les événements notables et générer des alertes selon un seuil prédéfini (Les scores peuvent se multiplier selon les phases de l'attaque (MITRE/Cyber Kill Chain) ou la sévérité des événements, notre imagination est la limite.) (~4min)
- Conclusion et questions (~2min)
Non
La carrière de Jean-François a débuté dans la gestion de systèmes informatiques il y a un peu plus d’une dizaine d’années avant de se spécialiser en cybersécurité. Il a passé quelques années à agir à titre de consultant (KPMG Egyde) et à répondre à des situations de crises à travers le monde dans des organisations d’envergures lors de cyberattaques. Jean-François s’est ensuite joint à l’équipe de la Banque Nationale du Canada afin d’appuyer leur équipe de cyberdéfense et aider à faire progresser la pratique de réponse aux cyberincidents. Sa motivation a toujours été de contribuer, en utilisant ses compétences, à prévenir les cyberattaques et de compliquer, le plus possible, la vie des cybercriminels.