Les systèmes de gestion des fraudes et des risques sont souvent envahis de faux positifs, mais la cybersécurité c’est l’art d’avoir moins de fausses alertes pour plus de sécurité.
Dans son livre Megatrends publié en 1982, John Naisbitt a écrit : « Nous sommes noyés dans l’information, mais affamés de connaissances. » C’est l’une de mes citations préférées, car je trouve qu’elle dépeint parfaitement l’état de bien des choses propres à notre vie moderne.
Il décrit notamment l’état de nombreux programmes de gestion des fraudes et des risques dans les entreprises. Malheureusement, nombre de ces programmes présentent un grand nombre de faux positifs qui réduisent leur efficacité.
Pour comprendre pourquoi ces « fausses information » sont un tel problème dans la gestion de la fraude et du risque, il faut d’abord comprendre ses conséquences pour l’entreprise. Bien que la liste ne soit pas exhaustive, en voici quelques exemples :
* Des cycles gaspillés :lorsque les équipes chargées de la fraude construisent un flux de travail autour d’une file d’attente centralisée, tous les événements de la file d’attente doivent être classés par ordre de priorité et examinés. Le bruit remplit cette file d’attente avec des éléments qui doivent être examinés, mais qui n’apportent aucune valeur ajoutée au programme de lutte contre la fraude et le risque. En d’autres termes, un trop grand nombre d’alertes gaspille les précieux cycles de l’équipe.
* Des vrais positifs qui passent à la trappe : l’expression « trouver une aiguille dans une botte de foin » décrit bien ce qu’est la recherche de la fraude parmi le grand volume de données et d’événements que reçoivent les entreprises. Dans cette analogie, l’aiguille représente les vrais positifs (incidents de fraude), tandis que la botte de foin représente les faux positifs qui ne sont pas des fraudes. Plus il y a de faux positifs, plus il est difficile de trouver les vrais positifs.
* Une augmentation des coûts d’infrastructure : le nombre de faux positifs s’accompagne également d’un coût d’infrastructure. Chaque journal, chaque alerte et chaque événement, qu’ils apportent ou non une valeur ajoutée au programme de lutte contre la fraude et les risques, doivent être conservés. Ainsi, si l’équipe recueille une grande quantité d’informations qui n’apportent que peu ou pas de valeur ajoutée, elle ne fait qu’utiliser une infrastructure excédentaire. Le coût de cette infrastructure prive d’un budget d’autres domaines où il pourrait apporter une valeur ajoutée significative.
* Des métriques biaisées :les faux positifs faussent généralement les mesures. Certaines mesures, notamment celles qui portent sur le pourcentage de temps consacré aux véritables incidents de fraude, le rapport entre les vrais et les faux positifs, le volume des événements, le nombre d’événements traités, le temps d’analyse par événement, et d’autres analyses encore, seront fortement affectées. Plus le taux de faux positifs est faible, plus les résultats de ces mesures seront précis et favorables.
Sur la base de ces exemples, nous avons alors élaboré un plan pour palier au problème. Voici quelques suggestions que je trouve utiles de vous partager :
* Commencer par le risque : Évaluer les risques et les menaces qui pèsent sur l’entreprise, comprendre ce qu’ils affectent au sein de l’entreprise et connaître les coûts/pertes potentiels associés à chacun d’eux est clé.
* Fixer des objectifs et des priorités : choisir ce qu’il faut traiter et à quel moment il faut le traiter est l’une des décisions stratégiques les plus importantes qu’une équipe de lutte contre la fraude puisse prendre. Il convient pour cela de classer par ordre de priorité les risques et les menaces énumérés à l’étape précédente et fixer des objectifs et des priorités qui seront traités à court et à long terme.
* Évaluer l’impact : l’identification des actifs critiques, des ressources clés et des magasins de données importants, entre autres, aide l’équipe à comprendre l’impact potentiel d’un incident. Savoir identifier les biens, les ressources et les données les plus sensibles et les plus importants permet à l’équipe de se concentrer sur les lacunes de la télémétrie.
* Identifier les données et les lacunes : Comprendre la collecte de télémétrie en place et évaluer si chaque source de données contribue au programme de fraude et de risque. Si ce n’est pas le cas, la collecte ne fait qu’augmenter les coûts d’infrastructure sans apporter de valeur ajoutée. Il faut alors identifier les lacunes de la télémétrie qui rendent l’équipe aveugle à une fraude potentielle, et élaborer un plan pour y remédier.
* Tenir compte de la technologie et des lacunes :examiner attentivement la technologie en place et déterminer dans quelle mesure elle est utile, par exemple pour détecter les fraudes de manière fiable avec un faible nombre de faux positifs, pour recueillir des données télémétriques précieuses et/ou pour rendre les processus et le flux de travail plus efficaces. Garder un œil sur les domaines où la technologie freine l’équipe de lutte contre la fraude plutôt que de l’aider, ainsi que sur les lacunes en matière de télémétrie et de détection.
* Abandonner les règles et les signatures bruyantes : les règles, signatures et autres techniques de détection qui génèrent un grand volume de bruit n’apportent aucune valeur ajoutée au programme de lutte contre la fraude. Au contraire, ils noient l’équipe sous les faux positifs et nuisent activement à la détection rapide et précise des incidents de fraude. Cela peut sembler radical, mais abandonner ces mécanismes de détection bruyants présente bien plus d’avantages que d’inconvénients.
* Mettre en place une détection rigoureuse : l’adoption de la philosophie « moins, c’est plus » implique de comprendre la nécessité d’interroger les données de manière incisive et de produire des alertes et des événements de haute fiabilité. Bien que la mise en œuvre d’approches de détection plus sophistiquées exige d’y consacrer un temps considérable au départ, le retour sur investissement est important. Plus les alertes et les événements sont efficaces, plus la file d’attente recevra de signaux et moins elle recevra de bruits.
* Se concentrer sur le processus : la meilleure file d’attente au monde ne servira à rien si les processus sont défaillants ou inexistants. Une équipe internationale de lutte contre la fraude dispose de processus matures, efficaces et efficients qui guident et régissent son travail.
* S’améliorer continuellement : aucune équipe de lutte contre la fraude n’est parfaite, et les meilleures équipes sont tout à fait conscientes de leurs faiblesses et de leurs possibilités d’amélioration. Tirer les leçons de chacun des points ci-dessus et les utiliser pour améliorer continuellement le programme de lutte contre la fraude est essentiel au succès à long terme de l’équipe dédiée.
L’idée reçue selon laquelle plus de données, plus d’événements et plus d’alertes permettent de mieux détecter les fraudes est obsolète et infondée. En se concentrant stratégiquement sur le risque et en adoptant une approche méthodique pour réduire le nombre de faux positif, les entreprises peuvent améliorer à la fois l’état de leur détection de la fraude et la maturité de leurs programmes de lutte contre la fraude. En améliorant le rapport signal/bruit et en adoptant la philosophie « moins, c’est plus » pour la détection des fraudes, les entreprises peuvent alors identifier davantage de fraudes tout en gaspillant beaucoup moins de ressources pour traiter les faux positifs. Une gageure pour que toutes les organisations puissent lutter contre le risque et la fraude.
___________________
Par Joshua Goldfarb, architecte de solutions de lutte contre la fraude (EMEA et APCJ) chez F5