Rapport

SANS Detection & Response Survey

Angles morts, lacunes en matière d'automatisation et transition vers une défense renforcée par l'IA

The new SANS Detection & Response survey reveals a security landscape under strain. 

  • EDR is used by the majority of organizations, yet overreliance on the endpoint is creating new blind spots.
  • L'automatisation continue de se développer, mais la confiance reste faible.  
  • Les équipes SOC sont confrontées à une augmentation des faux positifs, à une pénurie de compétences et à un durcissement des réglementations. 

Découvrez pourquoi la détection doit intervenir plus tôt dans la chaîne d'attaque, quel type d'analyse comportementale doit être mis en œuvre et comment l'IA doit compléter le travail des analystes sans le remplacer. 

Partager ce rapport

Principaux résultats

The SANS data uncovers widening gaps caused by endpoint-heavy security postures, rising complexity,
and inconsistent intelligence sharing.

89%

L'EDR reste un outil « fourre-tout »

Une attention excessive portée aux terminaux laisse le périmètre et l'accès au cloud largement sans protection, ce qui crée des lacunes dans la détection post-compromission (
).

73%

Les faux positifs sont en forte augmentation

Les faux positifs submergent les équipes SOC déjà limitées par le manque de personnel.

13%

Baisse de l'adoption de l'automatisation complète 

Bien que 90 % utilisent des outils de détection automatisés, seule une fraction d'entre eux font entièrement confiance à une réponse automatisée.

Zones Endpoint

L'EDR n'offre une visibilité qu'une fois que les fichiers malveillants ont atteint le terminal. Les entreprises passent à côté des menaces à un stade précoce au niveau du périmètre, dans le cloud et tout au long des chemins de transfert des fichiers.

Adoption élevée, faible réalisation de l'

Les équipes SOC manquent souvent de confiance dans l'automatisation, car les outils ne s'intègrent pas dans les flux de travail humains. Une automatisation efficace doit enrichir, corréler et hiérarchiser, et non remplacer le jugement.

La pression réglementaire modifie la collaboration

Seuls 37 % partagent leurs règles de détection en externe, alors même que les normes NIS2 et DORA poussent les organisations à partager obligatoirement les incidents et les IOC.

Pourquoi ce rapport est-il important ?

L'enquête révèle les changements architecturaux nécessaires pour faire évoluer les capacités SOC.
Comprenez où moderniser les pipelines de détection et comment réduire la charge de travail tout en améliorant la précision.

Les analystes sont dépassés par le bruit (
)

Les équipes doivent adopter le sandboxing comportemental et la recherche de similitudes entre les menaces par apprentissage automatique.

La complexité accélère l'
ation plus rapidement que l'expertise

Découvrez l'impact sur la sécurité de la fragmentation multicloud et des lacunes en matière d'intégration.

L'IA doit renforcer les talents humains en matière d'

Les équipes de sécurité ont besoin de requêtes en langage naturel, d'une extraction automatisée des IOC et d'une corrélation des menaces basée sur la similarité.

Renforcez votre stratégie de détection

Obtenez le rapport complet de l'enquête SANS et découvrez comment réduire les angles morts, augmenter les capacités des analystes et adopter un pipeline de détection multicouche.

Télécharger le rapport