Pourquoi nous demandons aux mauvaises personnes de nous sauver.
Il existe une phrase devenue évangile en matière de cybersécurité : « Les employés sont la dernière ligne de défense ».
Nous avons construit toute une industrie autour de cela. Des milliards de dollars en programmes de sensibilisation à la sécurité, en simulations obligatoires et en workflows de reporting utilisateur sur les points finaux, les applications et les outils de collaboration. Tout cela repose sur une prémisse qui semble raisonnable jusqu’à ce que vous examiniez ce que nous demandons réellement.
Voici ce que nous demandons : que le coordonnateur du marketing, le commis aux comptes créditeurs et le représentant commercial sachent ce que les outils de sécurité sophistiqués et les professionnels formés ont manqué.
Ce n’est pas une stratégie de sécurité. Cela revient à demander aux agriculteurs de repousser les mercenaires.
La hiérarchie dont on ne parle pas
Pensez aux capacités défensives réelles d’une organisation typique.
Votre équipe de sécurité possède des années de formation spécialisée, un accès aux plateformes SIEM, des flux de renseignements sur les menaces et des outils d’investigation. Leur travail à temps plein est la défense.
Votre RSSI possède des décennies d’expérience, une visibilité stratégique à travers l’organisation et le pouvoir de prendre des décisions architecturales. La défense est toute leur identité professionnelle.
Vos employés disposent d’un court module de formation annuel, d’un flux de travail de reporting et de toute l’attention qu’ils peuvent accorder au travail pour lequel ils ont été embauchés.
Nous avons bâti une industrie multimilliardaire autour de l’idée que le troisième groupe réussira là où les deux premiers échoueront.
Les preuves sont déjà disponibles
Il ne s’agit pas d’une plainte théorique : elle apparaît dans les recherches sur le fonctionnement réel des SOC. Une étude de l’Université d’Oxford basée sur des enquêtes et des entretiens avec des praticiens du SOC a révélé qu’elles « confirmaient les taux élevés » de faux positifs des outils utilisés, et que de nombreux « faux positifs » sont en réalité des déclencheurs bénins qui nécessitent encore une validation humaine.
Ce n’est pas un échec d’employé. Cela signifie que les employés font exactement ce pour quoi nous les avons formés – et la formation produit du volume plutôt que de la clarté.
Les systèmes de signalement des utilisateurs sont devenus des amplificateurs de bruit. Les employés sont encouragés à signaler tout ce qui semble inhabituel : invites d’accès inhabituelles, messages système inattendus, flux de travail automatisés, nouvelles intégrations, demandes urgentes. Ces signaux indiquaient autrefois un risque. Aujourd’hui, ils reflètent souvent le fonctionnement réel des entreprises modernes et automatisées. Les signaux de méfiance que nous avons enseignés aux employés décrivent de plus en plus un travail normal.
Pendant ce temps, les équipes SOC se noient. Il ne s’agit pas seulement des files d’attente, mais aussi du coût humain. L’étude de 2024 de l’ISACA révèle que 66 % des professionnels de la cybersécurité déclarent que leur travail est plus stressant aujourd’hui qu’il y a cinq ans, citant un paysage de menaces plus complexe ainsi que des contraintes de ressources.
Et notre réponse est : les comptables nous sauveront.
La vraie couche humaine
Voici le point de vue à contre-courant que l’industrie doit entendre : la « couche humaine » qui compte, ce ne sont pas vos employés. C’est votre équipe de sécurité.
Lorsque nous parlons de l’élément humain dans la sécurité, nous devrions parler des RSSI qui dorment quatre heures pendant un incident. Les analystes effectuent une correspondance de modèles sur des milliers de signaux. Les chasseurs de menaces qui remarquent quelque chose de légèrement anormal dans les journaux d’authentification. Les architectes qui voient la faiblesse structurelle avant qu’elle ne devienne une brèche.
Ce sont des défenseurs d’élite. Professionnels formés. La véritable intelligence humaine dans votre posture de sécurité.
S’ils ne peuvent pas suivre le rythme – si leur capacité est consommée par le tri des faux positifs, les rapports soumis par les utilisateurs, les escalades opérationnelles et la pression constante pour éliminer les files d’attente – alors aucune formation de sensibilisation destinée aux utilisateurs finaux ne pourra combler cet écart.
On ne compense pas les forces spéciales débordées en remettant des fusils aux agriculteurs.
Les mathématiques inconfortables
Permettez-moi de passer en revue ce qui se passe réellement dans la plupart des organisations :
L’équipe de sécurité reçoit quotidiennement des centaines d’alertes. Beaucoup proviennent de contrôles automatisés, de flux de travail de reporting des utilisateurs et de détections préventives conçues pour pécher par excès de prudence. Un pourcentage important nécessite une enquête : vous ne pouvez pas savoir si quelque chose est inoffensif tant que vous n’avez pas regardé. Chaque enquête dure 15 à 20 minutes. Les calculs consomment rapidement 100 % de la capacité disponible des analystes.
Lorsque le volume de faux positifs atteint sa capacité, la chasse stratégique aux menaces tombe à zéro. Il n’y a plus de temps pour la reconnaissance de modèles sur plusieurs signaux, la corrélation avec les renseignements sur les menaces ou l’analyse lente et minutieuse qui détecte les attaques sophistiquées.
Les attaques sophistiquées ne s’annoncent pas. Ils font la queue, ressemblant à tout le monde. La détection devient aléatoire – une fonction de la chance et non de la conception.
C’est la crise à laquelle est confrontée la véritable couche humaine de défense. Et nous y répondons en demandant aux employés de première ligne d’identifier les anomalies subtiles dans les systèmes et les flux de travail qui ont déjà traversé des niveaux de contrôles automatisés.
Qu’est-ce que cela signifie
Je ne dis pas que l’hygiène de base en matière de sécurité ne vaut rien. Les employés doivent suivre des pratiques raisonnables et éviter les comportements manifestement risqués. La discipline de base est importante.
Mais nous avons élevé la formation de sensibilisation de « l’hygiène de base » à la « défense stratégique », et cette élévation est dangereuse. Cela crée un faux sentiment de couverture. Cela permet aux organisations de sous-investir dans leurs capacités défensives réelles parce qu’elles ont « pris en compte l’élément humain ».
L’élément humain à prendre en compte est la capacité de votre équipe de sécurité. Leurs outils, leurs processus, leur capacité à effectuer un travail stratégique au lieu de se noyer dans le bruit.
Même les régulateurs et les organismes de normalisation reconnaissent implicitement le même goulot d’étranglement : la surveillance doit être mise en œuvre de manière à minimiser les faux positifs et les faux négatifs, car la capacité d’examen humain est limitée.
La question qui mérite d’être posée
Chaque RSSI devrait se demander : quel pourcentage de la capacité de mon équipe de sécurité est consacré à des tâches qui ne réduisent pas réellement les risques ?
Si la réponse est « la majeure partie » – si vos analystes passent leurs journées à éliminer les alertes de précaution, à examiner les activités bénignes et à répondre aux escalades internes motivées par l’incertitude plutôt que par la menace – alors vous avez un problème de couche humaine.
Mais la solution ne réside pas dans davantage de formation pour les utilisateurs finaux. Il s’agit de restaurer la capacité des personnes réellement formées à vous défendre.
Les agriculteurs ont des champs à entretenir. Laissez-les cultiver.
La question est de savoir si vos mercenaires ont la possibilité de se battre.
Cet article est publié dans le cadre du Foundry Expert Contributor Network.
Voulez-vous nous rejoindre ?
