Skip to content

Votre SIEM déclenche 500 alertes « échec de connexion » par jour, presque toutes du bruit, et les analystes ignorent désormais la règle. Quel est le bon réflexe ?

Réponse courte

Réduisez les faux positifs par l'ingénierie de détection, pas en vous aveuglant. Réajustez pour que les alertes ne se déclenchent que sur les motifs qui comptent — un même mot de passe testé sur de nombreux comptes (spraying), un compte attaqué de nombreuses fois (stuffing/force brute), voyage impossible — tout en gardant les événements bruts consultables sur un tableau de bord. Mesurez ensuite la précision des alertes dans le temps. Désactiver la règle supprime un signal réel, une suppression globale crée un angle mort permanent, et embaucher des gens pour trier du bruit pur ne passe pas à l'échelle et les épuise.

Une règle qui se déclenche 500 fois par jour et qu'on finit par ignorer est pire que pas de règle du tout — elle entraîne les analystes à écarter précisément la catégorie d'événement qui compte, et la vraie attaque se cache dans le bruit. Cette question teste si vous optez pour l'ingénierie de détection plutôt que pour les deux extrêmes paresseux : tout couper, ou jeter du personnel sur le problème.

Pourquoi l'ajustement est la bonne réponse

Les échecs de connexion ne sont pas intéressants en soi ; ce sont les motifs d'échecs qui le sont. Ré-ingénieriez la détection pour qu'elle n'alerte que sur du signal :

  • Password spraying — un mot de passe essayé sur de nombreux comptes dans une courte fenêtre.
  • Credential stuffing / force brutede nombreux échecs sur un seul compte, ou une rafale depuis une IP source.
  • Voyage impossible ou un échec de connexion immédiatement suivi d'un succès depuis une nouvelle géo/ASN.

Surtout, vous gardez les événements bruts vers un index ou un tableau de bord consultable — simplement pas en alertes. Cela préserve la donnée pour la chasse et le cadrage post-incident tout en supprimant le bruit événement par événement. Puis vous mesurez la précision (vrais positifs / total des alertes) pour prouver que l'ajustement a fonctionné et continuer à l'affiner.

Pourquoi les autres options échouent

  • Désactiver la règle — vous supprimez le signal entièrement. La force brute et le spraying sont des techniques d'accès initial courantes ; rester aveugle là-dessus est un cadeau aux attaquants.
  • Tout supprimer et se fier à l'EDR — l'EDR surveille les postes, pas votre fournisseur d'identité ni votre surface d'authentification cloud. Un spraying contre un VPN ou un portail M365 peut ne jamais toucher un hôte surveillé par l'EDR. C'est un angle mort, pas une stratégie.
  • Embaucher plus d'analystes — payer des humains pour écarter du bruit ne corrige pas le rapport signal/bruit cassé ; cela ne fait que diffuser la fatigue et ne passe pas à l'échelle avec le volume.

Ce que le recruteur évalue

Il veut un candidat qui traite le SOC comme un problème d'ingénierie : les faux positifs sont un défaut ajustable, pas une fatalité. La bonne réponse nomme les motifs d'attaque à détecter, préserve les données brutes pour l'investigation, et s'engage à mesurer la précision dans le temps — la différence entre un analyste qui subit les alertes et un qui améliore la détection.

Questions de suivi probables

  • Quels seuils distinguent le password spraying du credential stuffing dans votre logique de détection ?
  • Comment mesureriez-vous si votre ajustement a amélioré la précision sans laisser passer une vraie attaque ?
  • Comment gardez-vous les données brutes disponibles pour la chasse sans qu'elles génèrent d'alertes ?

Sources

Recevez 100 questions d'entretien en cybersécurité + réponses

Laissez votre e-mail et nous vous enverrons le pack PDF gratuit et le jeu de flashcards.

Pas de spam. Désabonnez-vous à tout moment.