En tant que concepteur d’une solution de cybersécurité, vous avez intégré l’Intelligence Artificielle (IA) dans votre produit afin d’améliorer la détection des attaques. Hélas, vos clients vous font part d’un grand nombre de faux-positifs rendant ainsi votre solution moins attractive que celle de vos concurrents. Dans ce contexte, quelle est la meilleure façon de procéder pour minimiser le nombre de faux positifs ?

[A] En utilisant des listes noires de faux positifs

[B] En utilisant des listes blanches dynamiques générées par l’IA

[C] En appliquant des seuils de déclenchement plus élevés pour les alertes

[D] Par un entraînement de l’IA en continu avec un feedback des données de vrais et faux-positifs


reponse linkedin

CBK7 Q09 LINK


Un entraînement continu avec des données de feedback est essentiel pour ajuster et affiner les modèles d’IA. Cela permet d’améliorer la précision et de réduire le nombre de faux-positifs.

Cela nécessite une rétro-alimentation des résultats des analyses dans le processus d’apprentissage du modèle afin qu’il puisse mieux discerner les vraies menaces et ne pas les confondre avec une simple anomalie inoffensive.

L’utilisation de listes noires/blanches peut contribuer à réduire le nombre de faux positifs mais cette méthode ne permet pas une amélioration continue des capacités prédictives du modèle d’IA et ne constitue donc pas la meilleure approche.

On pourrait également agir sur les seuils de détection et c’est ce que l’on fait généralement avec les technos classiques. En augmentant les seuils de détection on pourra constater immédiatement une baisse du nombre de faux positifs mais hélas au détriment de la qualité de détection des vraies attaques. En tant que concepteur d’une solution de sécurité ce n’est pas vraiment ce que l’on recherche. Sinon à quoi bon parler d’IA ? Uniquement à des fins marketing ? Et c’est justement ce feedback en continu qui permettra une amélioration permanente des capacités prédictives du modèle d’IA et in-fine une baisse régulière du nombre de faux positifs sans dégrader la qualité de la détection.

Je rajouterai que le réglage des seuils de détection est la plupart du temps paramétrable par le client qui opère ce type de solution. Ici dans l’énoncé, on se place côté fournisseur et donc encore une raison pour ne pas opter pour l’option des seuils.

La bonne réponse est la proposition [D]

tip

Pour en savoir plus sur la détection et la réponse aux incidents de sécurité nous vous recommandons de suivre le module n°17 de la formation CISSP de VERISAFE.


Questions et réponses rédigées par VERISAFE selon le programme officiel du CISSP actuellement en vigueur
© VERISAFE – Utilisation ou reproduction (même partielle) strictement interdite sans l’accord écrit de VERISAFE