Au-delà de la boîte : Les RSSI exigent des MSSP plus que la norme

Le terme "services gérés" a longtemps été associé à une approche rigide et universelle. Pour les responsables de la sécurité de l'information (CISO), une solution pré-packagée qui ne correspond pas à leur environnement technique unique, à leur budget ou à leur vision stratégique n'est pas envisageable. L'objectif n'est pas seulement d'acheter un service, mais de renforcer la cyber-résilience : la capacité de l'organisation à se préparer, à répondre et à se remettre des cyber-menaces sans interruption importante de l'activité.

Une analyse récente de nos conversations avec les responsables de la sécurité révèle que les RSSI des PME et des grandes entreprises ne se contentent plus de simples comparaisons de fonctionnalités. Ils recherchent activement une caractéristique essentielle auprès de leurs fournisseurs de services de sécurité gérés (MSSP) pour les services de détection et de réponse gérés (MDR) et les centres d'opérations de sécurité (SOC) : la flexibilité.

Il ne s'agit pas seulement d'une offre de prix personnalisée. Il s'agit d'un changement fondamental dans la relation vendeur-client. Les RSSI dont l'objectif est de parvenir à la cyber-résilience réalisent qu'ils doivent passer d'un accord transactionnel à un partenariat MSSP collaboratif.

Examinons la différence entre les RSSI des grandes entreprises et ceux des PME.

Le RSSI d'entreprise : un appel à l'agilité stratégique et à la résilience

Pour les grandes entreprises, la "flexibilité" est une exigence stratégique nuancée. Votre environnement est complexe, vos équipes internes sont sophistiquées et vos besoins en matière de sécurité sont en constante évolution. Vous ne recherchez pas un fournisseur. Vous recherchez un partenaire capable de s'adapter à votre croissance et de soutenir directement votre stratégie de cyber-résilience.

Voici ce que la flexibilité signifie pour le RSSI d'entreprise et comment elle renforce la résilience :

• Flexibilité commerciale et contractuelle : Les contrats rigides peuvent devenir un handicap lorsque les besoins de l'entreprise ou les capacités internes évoluent. Les RSSI insistent sur la flexibilité des prix et des conditions pour s'assurer que le service s'adapte à l'évolution de leur profil de risque. Il s'agit de renforcer la résilience financière, en permettant à l'organisation d'ajuster ses dépenses de sécurité sans s'enfermer dans un contrat statique et obsolète. Un partenaire qui absorbe les changements mineurs sans avoir recours à un ordre de modification coûteux prouve qu'il partage le même engagement envers la mission à long terme, et pas seulement envers le cahier des charges initial.

"Lorsque nous avons commencé à travailler avec le MSSP, nous étions en train de constituer notre équipe de sécurité, et la répartition était donc de 80/20. Au fur et à mesure que l'équipe s'étoffait au cours des deux années suivantes, nous sommes passés à une approche plus hybride, notre équipe s'occupant des 2/3 et le fournisseur d'1/3. Ils ont commencé à ne pas atteindre les KPI. Ils avaient la possibilité de nous aider à continuer à innover, mais ils ne l'ont pas fait. Nous avons donc décidé de mettre fin plus rapidement au contrat. Nous pensons que le besoin d'un partenaire dans ce domaine est essentiel..."RSSI, Entreprise CPG

• Le modèle d'engagement hybride : L'équipe de sécurité de l'entreprise part rarement de zéro. Les RSSI recherchent un MSSP capable d'opérer dans un modèle de service hybride ou partagé, en définissant de manière transparente les transferts et les responsabilités. Cela nécessite un partenaire prêt à travailler en étroite collaboration avec votre équipe interne et à s'adapter au contexte de votre entreprise. Cette approche collaborative renforce la résilience opérationnelle en permettant une réponse plus fluide et mieux coordonnée aux incidents et en évitant la dynamique "nous contre eux" qui peut entraîner des retards dans les moments critiques.

"Notre équipe du laboratoire de cyberdéfense (CDL) aime avoir accès à la plateforme afin de voir le type de règles en place et l'évaluation. Elle veut pouvoir apprendre des experts ce qui se passe et injecter tout contexte supplémentaire qu'elle a sur l'industrie et qui pourrait être utile en dehors des offres standard du MSSP. Ce partenariat est donc très important. Responsable principal de l'ingénierie de la sécurité, Global Energy

• Intégration des techniques et des processus sans perturbation : Les piles technologiques des entreprises sont une forteresse construite au fil des ans. Le MSSP ne peut pas être une solution cloisonnée. Il doit au contraire faire preuve de flexibilité technique en adoptant une approche indépendante des fournisseurs et en s'intégrant aux systèmes existants, tels que Microsoft, Google et Cisco, y compris les diverses plateformes de gestion des informations et des événements de sécurité (SIEM) et les outils d'émission de tickets. La capacité de la plateforme du MSSP à prendre en charge et à fonctionner avec les outils choisis par le client est essentielle. Cette intégration garantit la résilience technique, évitant qu'un nouveau service de sécurité ne devienne un autre point de défaillance ou une source de friction opérationnelle.

"La première question est de savoir ce que l'on collecte. S'agit-il d'EDR ? S'agit-il d'une passerelle de courrier électronique ? Est-ce une passerelle web ? Est-ce le CASB ? Quels sont les éléments que vous collectez ? Vous connectez-vous à mon SIEM ? Prenez-vous en charge mon SIEM ? Prenez-vous en charge mon système de billetterie ? L'intégration est la question la plus importante. Êtes-vous en mesure de travailler avec ce que j'ai ou vais-je devoir investir dans un tout nouveau système ?RSSI, entreprise du secteur de la santé

• Des offres de services sur mesure : Du point de vue du RSSI, la flexibilité signifie la capacité d'adapter les services en fonction des besoins spécifiques. Cela inclut un contrôle granulaire de la couverture (par exemple, 24x7 contre 5x12), des services à la demande comme la chasse aux menaces, et une expertise spécialisée dans des environnements uniques comme l'IT/OT et l'IoT. Le MSSP doit s'adapter à la vision et à la stratégie du client, et non l'inverse. Cette flexibilité renforce la résilience aux menaces en garantissant une focalisation sur les menaces et les risques spécifiques auxquels l'organisation est confrontée, plutôt que de dépenser des ressources pour une couverture générique.

"Le MSSP ne couvre peut-être pas un certain système, mais il nous aide à en définir l'architecture et la forme. Il s'agit de nous aider à examiner la posture et l'architecture de sécurité globale et ce que nous avons en place, où sont les lacunes, et s'ils ont un moyen d'utiliser nos autres outils pour compléter ce qu'ils fournissent. Il s'agit vraiment de savoir s'ils sont flexibles dans la construction de la relation. RSSI d'une entreprise de santé grand public

Pour les RSSI d'entreprise, le bénéfice d'un partenariat MSSP flexible est la combinaison de la résilience financière, opérationnelle, technique et de la résistance aux menaces, qui contribuent toutes à votre objectif d'atteindre la cyber-résilience.

Le RSSI de taille moyenne : une demande de partenariat pratique et de résilience

Dans nos conversations, les RSSI de taille moyenne n'ont pas utilisé le mot "flexibilité" aussi souvent, mais leurs besoins en font une demande plus urgente. Pour eux, un MSSP n'est pas seulement un partenaire stratégique ; c'est une extension d'une équipe souvent plus petite et surchargée. Pour ces organisations, la flexibilité est un ingrédient clé pour construire la résilience à partir de la base.

Voici ce que la flexibilité signifie pour le RSSI de taille moyenne et comment elle favorise la résilience :

• Intégration opérationnelle transparente : Les entreprises de taille moyenne ont besoin d'un MSSP capable de s'intégrer à leur environnement existant, et non de les obliger à migrer. Cela inclut la capacité d'utiliser l'environnement cloud du client et de s'intégrer en profondeur avec les SIEM existants. Le MSSP doit être prêt à apprendre et à s'adapter à l'environnement spécifique du client afin de réduire le bruit et de fournir de véritables alertes. Cette approche pratique et adaptable renforce la résilience de l'environnement, en améliorant plutôt qu'en perturbant l'écosystème opérationnel existant.

"Le MSSP que nous avons choisi s'est intégré à notre environnement en nuage. Et nous sommes en mesure d'utiliser nos emplacements et nos systèmes dans le nuage pour construire. Le processus de collecte des données pour construire un SIEM dans notre environnement en utilisant leur expertise, puis ils nous ont aidés très spécifiquement à construire les livres d'exécution, la documentation nous permettant de transférer à partir d'eux au fil du temps et nous parlons de cela au cours de l'accord." Senior VP of Information Security, Midsize Technology

• Le modèle du partenaire en tant que membre de l'équipe : L'équipe du RSSI de taille moyenne est souvent constituée d'un petit groupe de personnes très dévouées. Ils recherchent un MSSP qui agisse comme un véritable partenaire. Il s'agit d'un MSSP dont les experts en sécurité sont prêts à transférer leurs connaissances, à fournir de la documentation et à aider le client à renforcer ses capacités internes au fil du temps. Ce modèle de collaboration renforce la résilience de l'organisation en donnant à l'équipe interne les moyens d'agir grâce au partage des connaissances essentielles en matière de sécurité. Il s'agit d'aider l'équipe interne à se développer et de la préparer à gérer davantage de choses par elle-même au fil du temps.

"Ce que j'ai constaté dans tous les cas, c'est que l'on s'efforce de parvenir à un modèle hybride dans lequel [le MSSP] vous fournit un service en conjonction avec votre équipe interne qui va travailler en collaboration en tant qu'équipe. Responsable informatique, services financiers de taille moyenne

• Des offres de services étendues et adaptables : Le RSSI de taille moyenne cherche à tirer le meilleur parti de son investissement. Il a besoin d'un MSSP qui propose une large gamme de services spécifiques - de la chasse aux menaces au red teaming - sous forme d'offres groupées ou de paliers pour répondre à ses besoins. Un exemple concret est un forfait flexible qu'ils peuvent appliquer à d'autres services, s'ils ne sont pas entièrement utilisés pour la réponse aux incidents, montrant ainsi leur engagement envers le succès du client. Cette adaptabilité renforce la résilience de la réponse en fournissant un filet de sécurité de divers services, garantissant que l'organisation peut faire pivoter ses ressources pour faire face aux menaces les plus pressantes à tout moment.

"L'une des choses que nous recherchions dans le cadre de l'ensemble des services de réponse aux incidents était la flexibilité dans la manière dont cela s'appliquerait. Ainsi, si nous n'utilisons pas le contrat tout au long de l'année, à la fin de l'année, pouvons-nous l'utiliser pour d'autres types de services ?Directeur de l'ingénierie de sécurité, services financiers de taille moyenne

En établissant une relation flexible avec un MSSP, les RSSI de taille moyenne établissent la résilience environnementale, organisationnelle et de réponse dont ils ont besoin pour assurer la continuité de leurs activités face à un événement de sécurité.

Conclusion: Priorité à la cyber-résilience avec un partenariat MSSP flexible

Le message qui ressort de nos conversations avec les responsables de la sécurité est clair. Les RSSI recherchent plus qu'un service MDR ou SOC standard. Ils exigent un nouveau type de partenariat, qui soit commercialement, opérationnellement et techniquement flexible.

Pour les MSSP, la mesure de leur valeur n'est pas l'étendue de leur liste de fonctionnalités, mais leur volonté de s'adapter, de s'intégrer et de collaborer avec les clients pour construire une véritable cyber-résilience.

Pour les RSSI, il s'agit d'un rappel puissant de donner la priorité aux fournisseurs qui démontrent un véritable engagement à être un partenaire flexible et évolutif, et non un simple fournisseur.