Des équipes submergées par la multiplication des alertes et des outils qui s’empilent dans un millefeuille ingérable, les équipes SOC peinent à gérer la sécurité et la réponse aux attaques. La solution se trouverait dans l’externalisation selon Trend Micro.
Ces dernières années, les responsables de la sécurité et les décideurs ont dû modifier leurs attentes quant à ce que peut apporter une cybersécurité efficace. L’époque où toutes les ressources étaient consacrées à la protection du périmètre du réseau de l’entreprise est révolue. Grâce à l’adoption généralisée de l’infrastructure et des services dans le cloud, de la mobilité et du BYOD, et maintenant du travail à distance en masse, ce périmètre est beaucoup plus fluide, flexible et poreux. Parallèlement, la multiplication et la sophistication des attaques ont considérablement augmenté. Sachant que personne n’est à l’abri, les RSSI et les décideurs doivent donc accepter que leur organisation soit victime d’une intrusion, ou qu’elle l’ait déjà été. L'essentiel reste de débusquer ces attaques avant qu’elles n’aient la possibilité de causer de sérieux dommages.
C’est là que le centre d’opérations de sécurité (SOC) prend tout son sens. Il offre un hub centralisé et toujours aux aguets pour surveiller, détecter et répondre aux attaques. En théorie, il devrait s’agir d’un moyen efficace de gérer les risques croissants liés à l’activité des menaces. En réalité, de nombreuses équipes peinent à fournir le soutien que les RSSI attendent d’elles. C’est la conclusion principale de l’étude menée par Trend Micro auprès de 2 303 décideurs en sécurité informatique dans 21 pays, dont la France. L’échantillon comprend 85 % de dirigeants d’équipes SOC et 15 % de ceux qui gèrent SecOps au sein de leur équipe de sécurité informatique.
Soc-as-a-Service, la panacée ?
L’étude met en évidence les difficultés auxquelles sont confrontées les équipes SOC en charge de la détection et de la réponse à la menace. Face à la multiplication des outils dans un millefeuille cybersécuritaire qui devient de plus en plus complexe, les équipes se sentent submergées. Plus de la moitié (55 %) des personnes interrogées a admis ne pas avoir confiance dans ses capacités à hiérarchiser ces alertes ou à y répondre. Les répondants déclarent passer en moyenne plus d’un quart (27 %) de leur temps à traiter les faux positifs. De fait, ils craignent de laisser passer les faux négatifs, c’est-à-dire que des alertes provenant de menaces réelles passent inaperçues.
« Les entreprises, notamment les plus internationales d’entre elles, multiplient et empilent les solutions de cybersécurité. Lorsqu’il s’agit d’outils de détection et de réponse aux incidents, cela entraîne une hausse des coûts, sans que le service apporté donne une pleine satisfaction », analyse Nicolas Arpagian, Director Cybersecurity Strategy, Trend Micro. Conséquence, les équipes parent au plus pressé : un peu plus de la moitié (51 %) des personnes interrogées dans le cadre de cette étude a déclaré ne plus utiliser la plupart de ces outils pour diverses raisons. Le manque d’intégration avec 42 % des réponses vient en premier, suivi par le manque d’experts qualifiés (39 %) puis de la difficulté à rendre ces outils opérationnels (38 %).
Conséquence, les dirigeants envisagent de plus en plus d’adopter des solutions d’externalisation, notamment en mode Soc-as-a-Service. Une écrasante majorité (92 %) des professionnels interrogés déclarent avoir envisagé de recourir à des services gérés pour externaliser leurs capacités de détection et de réponse à incidents. « L’avantage de ces solutions, outre le fait de décharger les équipes internes de la pression, est de permettre aux entreprises de s’affranchir du manque de compétences internes, en leur proposant une visibilité centralisée sur la situation permettant d’améliorer la réponse à incidents », conclut le rapport.