Qu'est-ce qui est pire en détection de sécurité : un faux positif ou un faux négatif ?
Réponse courte
D'un point de vue purement sécurité, un faux négatif est généralement pire : il signifie qu'une vraie attaque n'a pas été détectée, donc pas de réponse, pas de confinement, et la brèche peut rester tapie sans être découverte. Mais les faux positifs ne sont pas anodins : en grand nombre, ils provoquent la fatigue d'alerte, où les analystes commencent à ignorer les alertes et manquent la vraie. La bonne réponse nomme le compromis, pas seulement un gagnant.
Cette question semble vouloir un gagnant en un mot. Le piège est de répondre avec une assurance absolue dans un sens ou l'autre : l'examinateur teste si vous savez raisonner sur le compromis comme un ingénieur de détection.
Définissez d'abord les termes
- Un faux positif est un événement bénin signalé comme malveillant : une alerte gaspillée.
- Un faux négatif est un événement malveillant qui n'a pas été signalé : un manquement.
Pourquoi les faux négatifs sont généralement pires
Un faux négatif signifie qu'une attaque est passée sans détection ni réponse. Il n'y a pas d'investigation, pas de confinement, et l'adversaire peut rester tapi, escalader et exfiltrer pendant que vous vous croyez en sécurité. Le coût d'une seule brèche manquée peut éclipser celui du tri de nombreuses fausses alertes. D'un point de vue purement risque, l'attaque non détectée est le scénario cauchemar.
Pourquoi on ne peut pas écarter les faux positifs
Voici la subtilité qui distingue les bons candidats : trop de faux positifs provoquent la fatigue d'alerte. Des analystes noyés sous le bruit commencent à valider machinalement ou à ignorer les alertes, et ils manquent alors la vraie. Donc un excès de faux positifs fabrique des faux négatifs. Les deux modes de défaillance sont liés, pas indépendants. Le distracteur qui dit « le réglage élimine les deux » ignore que chaque seuil de détection arbitre l'un contre l'autre.
La réponse mature
Affirmez qu'un faux négatif est généralement pire, puis reconnaissez immédiatement que des faux positifs non maîtrisés érodent la capacité de détection et créent de fait des faux négatifs. Mentionnez le réglage, la priorisation basée sur le risque et le contexte (une balise de rançongiciel manquée est bien pire qu'un scan de faible gravité manqué).
Ce que recherchent les recruteurs
Le cadrage par le compromis, le lien avec la fatigue d'alerte, et le refus de donner un absolu hors contexte.
Questions de suivi probables
- Comment la fatigue d'alerte due aux faux positifs provoque-t-elle indirectement des faux négatifs ?
- Comment régleriez-vous une règle de détection bruyante sans créer d'angles morts ?
- Quand pourriez-vous délibérément tolérer davantage de faux positifs ?