Personnalisez votre partenariat MSSP: Équilibrer la flexibilité et le contrôle

Pour les RSSI, l'objectif de cyber-résilience - la capacité de se préparer à une cyber-attaque, d'y résister et de s'en remettre rapidement - implique de modifier la façon dont ils s'engagent avec les fournisseurs de services de sécurité gérés (MSSP). Il ne s'agit plus d'acheter un service statique. Il s'agit d'établir un partenariat de collaboration.

Dans de récents articles, nous avons mis en contexte les idées partagées par les responsables de la sécurité lors d'une série de conversations que nous avons eues avec eux. En prenant leurs idées collectivement, nous avons constaté que la réalisation d'un partenariat mutuellement bénéfique nécessite un équilibre délicat et essentiel avec la flexibilité de la part du MSSP et le contrôle de la part du CISO.

Cette relation dynamique va au-delà d'un simple échange transactionnel pour devenir une véritable collaboration. Sans la flexibilité du partenaire, le service est rigide et donne un faux sentiment de sécurité. Sans le contrôle du RSSI, votre organisation risque des failles de sécurité, un chaos opérationnel et une perte de direction stratégique.

Nous examinons ci-dessous comment ces deux dynamiques se conjuguent pour créer un partenariat adapté à votre environnement spécifique, à votre équipe, à votre contexte commercial et industriel, et à votre feuille de route en matière de cyber-résilience. Et nous examinons ce qui pourrait se produire en cas de déséquilibre.

Le pouvoir de la flexibilité : S'adapter à votre monde

La flexibilité d'un MSSP est le moteur d'un partenariat résilient. Elle repose sur la volonté du fournisseur d'adapter son service à votre environnement unique, et non l'inverse.

Bien menée, la flexibilité est un impératif stratégique. Elle peut inclure

Flexibilité commerciale et contractuelle

La capacité d'ajuster les services fournis en fonction de la croissance de l'entreprise ou de la maturité des équipes internes. Le fait de proposer une large gamme de services dans le cadre d'offres groupées flexibles, telles qu'un contrat d'honoraires que vous pouvez utiliser pour différents services, témoigne d'un engagement en faveur de la réussite du client. Les environnements évoluent, tout comme les objectifs et les menaces de l'entreprise. La rigidité est une contrainte inutile qui met en péril votre résilience et votre capacité à garantir que les opérations de sécurité favorisent la croissance et l'innovation.

Sans cette flexibilité, vous risquez d'être confronté à

• L'inefficacité et le gaspillage de ressources dus à l'enfermement dans des services dont vous n'avez plus besoin ou qui ne s'adaptent pas à la croissance de votre entreprise.
• Difficulté à soutenir de nouvelles initiatives commerciales en raison d'un contrat rigide qui fait de votre posture de sécurité un goulot d'étranglement plutôt qu'un catalyseur.
• Une exposition croissante aux risques à mesure que votre paysage commercial évolue sans que les services de sécurité gérés ne soient modifiés en conséquence.

Le modèle d'engagement hybride

Travailler dans un modèle de services partagés avec des responsabilités clairement définies permet une collaboration transparente avec votre équipe interne. Les experts en sécurité de votre MSSP doivent être prêts à transférer leurs connaissances et à contribuer au développement des capacités internes du client au fil du temps. Un partenaire MSSP solide complète l'équipe existante, au lieu de fonctionner comme une boîte noire.

Sans ce modèle, vous risquez d'être confronté à

• Un manque de transparence sur ce que fait le MSSP ou sur la manière de vérifier son efficacité.
• Des lacunes dans les connaissances qui rendent votre équipe dépendante du MSSP, ce qui crée un risque opérationnel si vous mettez fin au partenariat, sans parler de la frustration de l'équipe interne.
• Une réponse aux incidents peu efficace en raison de la confusion et du manque de clarté des transferts et des responsabilités.

Intégration technique et opérationnelle indépendante des fournisseurs

La capacité de se connecter et d'utiliser le SIEM, le système de ticketing et les diverses technologies existantes d'un client. L'établissement d'un nouveau partenariat MSSP ne devrait pas nécessiter d'investir dans un tout nouvel ensemble d'outils. Il devrait plutôt renforcer les investissements déjà réalisés dans vos outils et systèmes de sécurité, ainsi que la mise à niveau des processus, des runbooks et de la documentation.

Sans ce niveau d'intégration, vous risquez d'être confronté aux problèmes suivants

• Des dépenses d'investissement inutiles pour de nouveaux outils qui éliminent la valeur de vos investissements antérieurs et créent des frais généraux de mise en œuvre importants.
• Les perturbations opérationnelles détournent les ressources des opérations de sécurité de base et créent un environnement de sécurité plus complexe et plus fragmenté.
• Un temps de retour sur investissement plus lent retarde la réalisation d'un retour sur investissement tout en vous laissant potentiellement vulnérable pendant la transition.

Offres de services sur mesure

La capacité d'offrir des services spécifiques à la demande, comme la chasse aux menaces ou l'expertise IT/OT, en fonction de votre goût du risque, de vos actifs critiques, des capacités de votre équipe interne et de votre maturité en matière de sécurité.

Sans services adaptés à vos besoins, vous risquez d'être confronté aux problèmes suivants

• Une posture de sécurité sous-optimale en raison d'une offre de services générique et universelle qui pourrait ne pas répondre à vos risques spécifiques.
• Un manque de partenariat stratégique parce que la relation est transactionnelle au lieu d'être un ajout significatif à vos opérations de sécurité.
• Une utilisation inefficace des ressources si les services ne s'alignent pas sur vos capacités internes, ce qui signifie que vous risquez de surinvestir là où vous êtes forts et de sous-investir là où vous avez besoin d'être renforcés.

L'impératif de contrôle : L'orientation de votre partenariat

Si la flexibilité est essentielle à l'efficacité d'un service, le contrôle est ce qui garantit que le partenariat reste aligné sur la vision stratégique du RSSI en matière de cyber-résilience. Il ne s'agit pas de faire de la microgestion, mais de maintenir l'autorité sur des domaines clés pour protéger les actifs de l'organisation et assurer la continuité des activités.

Les RSSI qui établissent un contrôle dans ces domaines critiques créent un bon équilibre dans leurs partenariats avec les MSSP :

Contrôle de l'étendue des services et des responsabilités

L'ambiguïté des rôles peut entraîner des lacunes dangereuses dans la gestion des vulnérabilités et la réponse aux incidents. Un cahier des charges bien défini, avec des transferts de responsabilité et des flux de communication explicites, est essentiel pour assurer la fluidité des opérations, la collaboration des équipes et un rétablissement rapide.

En l'absence d'un cahier des charges bien défini, vous risquez d'être confronté à

• Des lacunes opérationnelles dues à la confusion des responsabilités, ce qui permet aux menaces de s'intensifier.
• L'absence de flux de communication peut transformer un événement de sécurité en une violation majeure.
• Un manque de transfert de connaissances entre les experts en sécurité du MSSP et votre équipe interne.

Contrôle de la plateforme de sécurité, des données et de la propriété intellectuelle

Le RSSI doit avoir un accès complet à la plateforme et conserver la propriété de toute la propriété intellectuelle, y compris les règles et les configurations personnalisées. Le RSSI doit également définir les préférences en matière de résidence des données et les sources de logs ingérées et activement exploitées.

En l'absence de contrôle de la plateforme et des données, vous risquez d'être confronté aux problèmes suivants

• Un verrouillage des fournisseurs, où la fin du partenariat nécessite une reconstruction complète et entraîne une posture de sécurité plus faible jusqu'à ce qu'elle soit reconstruite.
• Perte des connaissances en matière de sécurité et de la propriété intellectuelle qui ont servi de base à vos opérations de sécurité.
• Une ingestion limitée des sources de logs laissant des zones de votre surface d'attaque non surveillées, introduisant une visibilité limitée pour détecter les anomalies.

Contrôle des performances et de la qualité

Sans KPI et SLA clairs, le CISO ne peut pas mesurer la valeur du MSSP. Des indicateurs robustes sur les vrais positifs/faux positifs et le temps moyen de réponse (MTTR) sont essentiels pour responsabiliser le partenaire et favoriser l'amélioration continue.

En l'absence d'indicateurs clés de performance clairs, vous risquez d'être confronté aux problèmes suivants

• L'impossibilité d'obtenir une évaluation claire de votre posture de sécurité et de votre cyber-résilience.
• Un manque de responsabilisation qui permet d'aligner les activités du MSSP sur vos priorités.
• Une stagnation qui ne permet pas de faire avancer votre feuille de route en matière de cyber-résilience.

Contrôle des actions de réponse

Bien que le MSSP doive être capable d'un confinement rapide, le RSSI doit conserver l'option d'un "humain dans la boucle" pour les actions critiques afin d'éviter les conséquences involontaires et d'assurer l'alignement avec l'appétit pour le risque de l'organisation.

Si vous ne définissez pas de protocoles de réponse, vous risquez d'être confronté aux problèmes suivants

• Perturbation des processus opérationnels critiques en raison des mesures de confinement automatisées prises par le MSSP.
• Un manque d'équilibre entre la sécurité et la continuité de l'activité sans l'implication du CISO pour s'assurer que les actions correspondent à la tolérance au risque de votre organisation.
• Une nouvelle série de problèmes dus à l'absence de calibrage de l'"agressivité" des actions du MSSP.

Un bon équilibre se traduit par une cyber-résilience plus forte

Les RSSI et les responsables de la sécurité avec lesquels nous nous sommes entretenus s'accordent à dire que la cyber-résilience n'est pas un événement unique. Il s'agit d'un parcours continu. Un partenariat MSSP personnalisable, fondé sur les principes fondamentaux de flexibilité et de contrôle, est le moyen le plus efficace de parcourir ce chemin. Un partenariat fondé sur la transparence, la confiance et le respect mutuel permet à votre organisation de s'adapter à l'évolution des menaces tout en maintenant un contrôle stratégique de son dispositif de sécurité.

Exigez un partenaire qui soit à la fois suffisamment flexible pour répondre à vos besoins uniques et suffisamment transparent pour vous donner le niveau de contrôle dont vous avez besoin. C'est la meilleure façon de mettre en place un programme de sécurité véritablement résilient. L'alternative est un fournisseur qui risque de compromettre l'efficacité à long terme de votre programme de sécurité.