Rapport

Enquête SANS sur la détection et la réponse

Angles morts, lacunes en matière d'automatisation et transition vers une défense renforcée par l'IA

La nouvelle enquête « Detection & Response » du SANS met en lumière un paysage de la sécurité sous pression. 

  • L'EDR est utilisé par la plupart des entreprises, mais le fait de trop se fier aux terminaux crée de nouveaux angles morts.
  • L'automatisation continue de se développer, mais la confiance reste faible.  
  • Les équipes SOC sont confrontées à une augmentation des faux positifs, à une pénurie de compétences et à un durcissement des réglementations. 

Découvrez pourquoi la détection doit intervenir plus tôt dans la chaîne d'attaque, quel type d'analyse comportementale doit être mis en œuvre et comment l'IA doit compléter le travail des analystes sans le remplacer. 

Partager ce rapport

Principaux résultats

Les données du SANS mettent en évidence des lacunes croissantes dues à des stratégies de sécurité trop axées sur les terminaux, à une complexité grandissante, à l'
e et à un partage d'informations incohérent.

89%

L'EDR reste un outil « fourre-tout »

Une attention excessive portée aux terminaux laisse le périmètre et l'accès au cloud largement sans protection, ce qui crée des lacunes dans la détection post-compromission (
).

73%

Les faux positifs sont en forte augmentation

Les faux positifs submergent les équipes SOC déjà limitées par le manque de personnel.

13%

Baisse de l'adoption de l'automatisation complète 

Bien que 90 % utilisent des outils de détection automatisés, seule une fraction d'entre eux font entièrement confiance à une réponse automatisée.

Zones Endpoint

L'EDR n'offre une visibilité qu'une fois que les fichiers malveillants ont atteint le terminal. Les entreprises passent à côté des menaces à un stade précoce au niveau du périmètre, dans le cloud et tout au long des chemins de transfert des fichiers.

Adoption élevée, faible réalisation de l'

Les équipes SOC manquent souvent de confiance dans l'automatisation, car les outils ne s'intègrent pas dans les flux de travail humains. Une automatisation efficace doit enrichir, corréler et hiérarchiser, et non remplacer le jugement.

La pression réglementaire modifie la collaboration

Seuls 37 % partagent leurs règles de détection en externe, alors même que les normes NIS2 et DORA poussent les organisations à partager obligatoirement les incidents et les IOC.

Pourquoi ce rapport est-il important ?

L'enquête révèle les changements architecturaux nécessaires pour faire évoluer les capacités SOC.
Comprenez où moderniser les pipelines de détection et comment réduire la charge de travail tout en améliorant la précision.

Les analystes sont dépassés par le bruit (
)

Les équipes doivent adopter le sandboxing comportemental et la recherche de similitudes entre les menaces par apprentissage automatique.

La complexité accélère l'
ation plus rapidement que l'expertise

Découvrez l'impact sur la sécurité de la fragmentation multicloud et des lacunes en matière d'intégration.

L'IA doit renforcer les talents humains en matière d'

Les équipes de sécurité ont besoin de requêtes en langage naturel, d'une extraction automatisée des IOC et d'une corrélation des menaces basée sur la similarité.

Renforcez votre stratégie de détection

Obtenez le rapport complet de l'enquête SANS et découvrez comment réduire les angles morts, augmenter les capacités des analystes et adopter un pipeline de détection multicouche.

Télécharger le rapport