Selon un rapport de 2021 de l’assurance Hiscox, 43 % des entreprises françaises ont subi au moins une cyberattaque - soit 5 % de plus qu’en 2020. Parmi celles-ci, 1 attaque sur 6 était accompagnée d’une demande de rançon. Cela reflète une constante augmentation de la menace dans un paysage fourmillant de groupes de cyber attaquants en évolution continue. Toutefois, les entreprises ont bien conscience du besoin d’investir dans la cybersécurité. Le budget associé à cette problématique atteint aujourd’hui plus de 20 % de leur budget informatique. Mais à défaut de pouvoir sans cesse augmenter le nombre d’employés dans leurs effectifs, ces dernières ont besoin d’externaliser leurs services vers des entreprises spécialisées dans le domaine, notamment dans le cadre de services de détection d’incidents de sécurité.
Vous envisagez d’externaliser votre service SOC (Security Operation Center) à un MSSP (Managed Security Services Provider) ? Voici 5 points à retenir.
Choisir une solution adaptée à votre besoin
EDR, NDR, XDR, SIEM, SOAR... Aujourd’hui, il est impossible de faire un pas dans le monde de la détection d’incidents de sécurité sans tomber nez à nez avec ces acronymes. Alors que pour certains, ils peuvent sembler limpides, d’autres pourraient s’y perdre. Un petit tour d’horizon s’impose.
Si vous souhaitez vous concentrer sur la protection de vos points d’extrémité (postes de travail, serveurs ou encore terminaux mobiles) les solutions d’EDR (Endpoint Detect & Response) sont votre parfait allié. Si votre objectif est d’améliorer votre capacité de détection de votre infrastructure réseau, les technologies NDR (Network Detect & Response) sont à privilégier. Ces solutions nouvelles générations offrent une visibilité très précise de leurs périmètres concernés et des capacités d’investigations, de chasse aux menaces et de réponses avancées.
D’autres structures, déjà équipées de ce type de solutions ou souhaitant avoir une vision globale de leur périmètre, se tourneront davantage vers des solutions de type SIEM (Security Information and Event Manager) ou XDR (eXtended Detect & response). Ces solutions permettent de collecter tous types de journaux (log) pour en faire un élément central de vos outils de détection. Au-delà des journaux et des alertes émises par les équipements supervisés, ces solutions permettent d’ajuster la capacité de supervision en créant des scénarios de détection plus spécifiques aux enjeux de l’entreprise - notamment sur des problématiques orientées métiers telles que la fraude. Le SOAR (Security Orchestration, Automation & Response) quant à lui permet, comme son nom l’indique, d’orchestrer des actions automatiques à des fins d’analyse (enrichissement de données à partir de marqueurs d’attaques ou encore réalisation de recherches SIEM spécifiques), mais également à des fins de réponse (isolation d’un poste de travail, blocage d’un compte compromis, etc.).
Gardez en tête que la clé de tous vos cyber-maux se trouve dans votre besoin ! L’identifier vous permettra de sélectionner une ou plusieurs de ces solutions en fonction de votre budget ou de votre stratégie. N’hésitez donc pas à solliciter un audit pour identifier les dysfonctionnements de vos moyens actuels afin d’échanger et de challenger vos partenaires concernant vos capacités de détection.
Sans réaction, la détection ne sert à rien
Un service de SOC a pour objectif de détecter des incidents de sécurité de tous types et de niveaux de sévérité multiples. Pour chaque incident, des actions de remédiation ou d’investigation plus poussées peuvent être demandées. Ces actions peuvent être plus ou moins longues selon leur complexité et nécessitent leur prise en compte dans l’établissement du plan de charge de votre équipe.
Pour les équipes ne pouvant répondre à l’ensemble des incidents remontées par le SOC, il est conseillé de ne se focaliser que sur les menaces les plus critiques pouvant viser votre organisation. Cela vous permettra de faire évoluer votre capacité de détection en cohérence avec la montée en charge, ou en compétence, de votre équipe. Toutefois, une supervision des incidents en 24/7 est également possible - que celle-ci soit réalisée en astreinte ou non. Cette option vous offrira une certaine sérénité, et la promesse d’une première réaction en cas d’incidents critiques. Attention cependant à bien organiser vos équipes pour pouvoir réagir rapidement, de nuit comme de jour, si vous choisissez ce mode de supervision.
L’accompagnement de votre montée en maturité
Il existe une multitude de solutions, toutes ayant des avantages et des inconvénients bien marqués. Alors que la promesse d’une réponse totalement automatique peut être prometteuse, elle nécessite néanmoins une certaine maturité dans le domaine et une bonne connaissance de son système d’informations (SI). Bien que les solutions de types EDR ou NDR offrent une détection avancée sur leurs périmètres, elles restent malgré tout sensiblement aveugles sur la globalité de votre infrastructure.
Quel que soit le type de service managé choisi, qu’il soit spécialisé sur un périmètre spécifique ou plus global, une évolution de celui-ci est naturelle : par l’extension du périmètre de supervision, par l’ajout de scénarios de détection sur des risques métier ou encore la mise en place de la remédiation automatisée. Ainsi, il va de la responsabilité de votre MSSP de vous accompagner, d’une part, sur le choix de la solution adaptée au démarrage de votre service, mais également à la planification d’une évolution en cohérence avec votre montée en maturité.
Une stratégie financière claire
Pour donner suite au choix du service MSSP le plus adapté à vos problématiques, et en dehors du service proposé, l’un des points essentiels à étudier est la clarté du modèle financier proposé, tant sur la partie service que sur la licence de la solution envisagée. Certaines solutions ont des modèles de licencing totalement différents, basés sur un volume d’actifs à superviser, sur du volume de données à collecter… D’un autre côté, le service managé proposé peut lui aussi être calculé sur un ensemble de métriques tout aussi disparates - tels que le nombre de tickets traités ou encore indexés sur le modèle de la solution.
Une maîtrise de la stratégie financière est plus que nécessaire pour vous permettre d’en comprendre sa méthode de calcul. De plus, votre périmètre supervisé pourrait augmenter, que cela soit par la croissance naturelle de votre entreprise ou par l’évolution de votre besoin en supervision. Comprendre cette stratégie financière en devient alors essentielle pour éviter tous coûts cachés !
Un partenariat solide
Quel que soit le service MSSP choisi, son périmètre, ou encore le type de technologie implémentée, ce qui fait la réussite de votre service SOC est votre relation de confiance avec le fournisseur. Une confiance dans la stratégie proposée, dans les solutions proposées mais également - et surtout - dans les équipes qui vous accompagnent au quotidien.
Un service de type MSSP est une prestation qui est faite pour durer - en moyenne 3 ans minimum. C’est donc bien plus qu’un projet, c’est un réel partenariat !
Par Julien Ceraudo, Manager Sécurité Opérationnelle chez Synetis