Reprendre le contrôle : comment les RSSI renforcent la cyber-résilience avec les MSSP

Pour les RSSI des moyennes et grandes entreprises, le partenariat avec un fournisseur de services de sécurité managés (MSSP) pour la détection et la réponse managées (MDR) et les opérations du centre d'opérations de sécurité (SOC) est une démarche stratégique pour atteindre la cyber-résilience. Il ne s'agit pas seulement de sécurité, mais aussi de la capacité d'une organisation à résister aux cybermenaces, à y répondre et à s'en remettre avec un minimum de perturbations.

La simple externalisation des opérations de sécurité ne garantit pas la résilience. Les idées des responsables de la sécurité avec lesquels nous nous sommes entretenus et qui ont conclu des partenariats avec des MSSP révèlent un thème constant et essentiel : la nécessité de garder le contrôle.

Il ne s'agit pas de micro-gérer le MSSP. Il s'agit de s'assurer que le MSSP agit comme une véritable extension de votre équipe de sécurité. L'objectif est de l'intégrer profondément dans votre stratégie globale de cyber-résilience plutôt que de le faire fonctionner comme une "boîte noire" isolée.

Six domaines de contrôle aident les RSSI à établir des partenariats intelligents avec les MSSP

Examinons ce que le terme "contrôle" signifie réellement dans ce contexte et comment chaque domaine contribue à vos objectifs de cyber-résilience en utilisant les informations tirées de nos conversations avec les responsables de la sécurité.

Définir les limites : Contrôle de l'étendue des services et des responsabilités

Des rôles et des responsabilités clairs sont la base d'une réponse efficace aux incidents et d'une reprise d'activité. L'ambiguïté dans ces domaines peut provoquer des retards critiques, entraînant des temps d'arrêt prolongés et un impact plus important lors d'un incident de sécurité. Lorsque tout le monde, y compris l'équipe du MSSP, connaît son rôle, votre organisation peut se rétablir plus rapidement et plus efficacement, ce qui renforce la cyber-résilience.

Les responsables de la sécurité insistent sur la nécessité de

• détailler les activités de réponse spécifiques: Définir précisément qui, entre votre équipe interne et le MSSP, gère quoi pendant un incident. Cela comprend toutes les étapes, de l'alerte initiale à la résolution complète de l'incident.
• Clarifier les modèles de services partagés: Définissez explicitement les transferts et les responsabilités, qu'il s'agisse du triage L1, L2 ou L3, de la réponse aux incidents, des correctifs ou de la gestion des vulnérabilités. Par exemple, si votre MSSP gère le triage L1/L2, à quelle vitesse fait-il remonter l'information à votre équipe interne L3 pour les incidents critiques ?
• Éviter de lancer des alertes qui manquent de contexte "par-dessus le mur": Sans cette clarté, les tâches de sécurité critiques peuvent passer entre les mailles du filet et entraver votre capacité à réagir efficacement.
• Gérer les flux de communication: Définissez des attentes claires en matière de communication et de suivi. Lors d'un incident, une communication rapide et précise de la part du MSSP est essentielle pour maintenir la continuité des activités et gérer les attentes des dirigeants.

Un cahier des charges bien défini, avec des rôles et des responsabilités explicites, est votre principal outil pour garantir des opérations de sécurité sans faille. Il permet également une reprise rapide en cas d'incident, ce qui contribue directement à votre cyber-résilience.

Un responsable de la sécurité dit :

"Le coût, la valeur et la performance sont importants. Avec notre dernier MSSP, nous étions un peu lâches sur les KPI au début de l'engagement. Ils ont organisé des examens trimestriels et mes directeurs ont travaillé quotidiennement avec eux, mais du point de vue de la direction, ils n'étaient pas à la hauteur de certains KPI. La tendance allait dans la mauvaise direction, nous avions donc besoin d'un peu plus de responsabilité..." RSSI, Biens de consommation emballés

Posséder ses actifs : Contrôle de la plateforme de sécurité, des données et de la propriété intellectuelle

Votre plateforme de sécurité, les données qu'elle recueille et la propriété intellectuelle qui en découle sont des éléments fondamentaux de votre position de sécurité à long terme et de votre capacité d'adaptation. Perdre le contrôle de ces actifs peut gravement nuire à vos capacités d'investigation, compliquer les transitions avec les fournisseurs et entraver votre cycle d'amélioration continue de la résilience.

Les RSSI accordent désormais la priorité aux partenaires qui fournissent :

• Un accès complet à la plateforme: Vous devez être en mesure d'inspecter les alertes, de valider les décisions et de surveiller votre environnement en temps réel. Cette transparence est cruciale pour valider le travail du MSSP, comprendre le contexte des alertes et évaluer de manière indépendante votre posture de sécurité.
• Résidence et contrôle des données: Idéalement, les données de sécurité devraient résider dans votre propre environnement. Cela minimise les problèmes de gravité des données, simplifie la conformité et garantit que vous gardez un contrôle total sur votre télémétrie de sécurité pour les enquêtes et l'analyse post-incident, améliorant ainsi la résilience.
• Propriété des règles et des configurations: Si la relation avec le MSSP prend fin, vous devez posséder toute la propriété intellectuelle développée au cours de l'engagement, y compris les règles personnalisées, les playbooks et les configurations. Imaginez que vous perdiez toute la logique de détection finement élaborée au fil des ans.
• Intégration à votre réseau de cyberdonnées: L'intégration des données de sécurité dans votre réseau de cyberdonnées fournit un environnement centralisé et contrôlé pour l'analyse, la corrélation et le stockage à long terme. Vous augmentez ainsi votre visibilité et votre contrôle sur vos données.

Insistez sur la transparence et sur des clauses de propriété claires dans votre contrat. Vos données et les configurations mises en place pour protéger votre environnement sont essentielles pour soutenir un programme de sécurité adaptable et résilient.

Pourquoi c'est important :

"...nous avons aussi les données qui entrent dans notre propre cyber-maillage de données, ce qui est un gros problème dans les cyber-boutiques maintenant. Vous voulez que votre MSSP soit conscient de ce qu'il transmet au SIEM, car il est très coûteux d'y introduire des données. Vous payez pour les données. Donc, si vous pouvez éliminer le bruit, vous pouvez réduire les coûts de façon spectaculaire. RSSI, industrie manufacturière

Faire confiance, mais vérifier : Contrôle de l'accès et des activités du MSSP

Vous accordez à votre MSSP un accès privilégié, ce qui en fait une extension de votre équipe de sécurité interne. Sans contrôle de leur accès et de leurs activités, ils peuvent devenir un vecteur de risque important. S'assurer que leurs opérations sont sécurisées et vérifiables permet d'éviter de nouvelles vulnérabilités ou des brèches potentielles qui minent votre résilience.

Les attentes sont les suivantes

• Des journaux d'accès et une documentation complets: Des journaux détaillés sont essentiels pour les pistes d'audit, les enquêtes sur les incidents et la garantie de la conformité, autant d'éléments qui favorisent une reprise rapide des activités.
• Respect des processus de gestion du changement: Les MSSP doivent suivre vos protocoles de gestion du changement. Des changements non autorisés ou mal gérés peuvent introduire des vulnérabilités ou perturber des systèmes critiques, ce qui affecte directement la résilience.
• Transparence avec les sous-traitants: Si votre MSSP fait appel à des sous-traitants, vous devez comprendre comment ils gèrent la sécurité et l'accès de ces tiers. La résilience de votre chaîne d'approvisionnement est aussi forte que son maillon le plus faible.

Traitez l'accès à votre MSSP avec la même rigueur que vos équipes internes. Exigez des contrôles de sécurité rigoureux et une auditabilité complète pour réduire les risques et renforcer votre cyber-résilience.

Un responsable de la sécurité met en garde :

"Sont-ils en mesure de fournir un journal indiquant chaque fois qu'ils ont accédé à notre environnement ? Sont-ils en mesure de documenter ce qu'ils ont fait pendant qu'ils accédaient à notre environnement ? Car c'est quelque chose que nous voyons. Le MSSP se connecte et fait des choses sans que personne ne le sache. Vous vous en apercevez plus tard lorsqu'il y a un problème". RSSI, services financiers

Mesurer le succès : Contrôle des performances et de la qualité

L'efficacité des opérations de sécurité se mesure à leur capacité à détecter rapidement les menaces, à réagir efficacement et à minimiser l'impact. En l'absence de mesures et de responsabilités claires, vous ne pouvez pas évaluer la contribution de votre MSSP à votre cyber-résilience, ni conduire l'amélioration continue nécessaire pour garder une longueur d'avance sur l'évolution des menaces.

Cela implique

• Des indicateurs clés de performance et des accords de niveau de service solides: Des indicateurs de performance clés (KPI) et des accords de niveau de service (SLA) clairement définis sont essentiels pour mesurer l'efficacité de votre MSSP. Ils doivent s'aligner sur vos objectifs de résilience, en se concentrant sur les mesures de détection, de réponse et de récupération.
• Conséquences en cas de non-respect des accords de niveau de service: Le non-respect des accords de niveau de service doit avoir des conséquences tangibles, qu'il s'agisse de sanctions pécuniaires ou de crédits de service. Cela incite le MSSP à donner la priorité à vos objectifs de résilience.
• Des données et des rapports pertinents: Exigez des rapports réguliers et complets (hebdomadaires, mensuels, trimestriels) comprenant des mesures clés telles que les vrais positifs/faux positifs, le temps moyen de détection (MTTD) et le temps moyen de réponse (MTTR). Vous devez également aller au-delà de ces mesures standard pour en adopter d'autres plus pertinentes, notamment le retour sur investissement des règles de sécurité, les ratios de faux positifs, la résolution au premier contact et la couverture de MITRE ATT&CK. Vous avez besoin de ce niveau de données pour superviser la qualité du service et identifier les domaines d'amélioration de votre posture de sécurité.

Ce que vous mesurez est géré. Assurez-vous que votre contrat inclut des mesures de performance et des mécanismes de reporting clairs qui sont directement liés à vos objectifs de cyber-résilience.

Pourquoi c'est important :

"Avec notre dernier MSSP, il était impossible d'obtenir des données significatives sur les vrais positifs par rapport aux faux positifs, sur le temps nécessaire à la détection et à la remédiation, sur les données significatives issues du service. Ils faisaient également de la maintenance technique. Mais il était impossible d'obtenir des données sur ce qu'ils faisaient, sur la quantité de travail ou d'efforts qu'ils fournissaient et sur le type d'améliorations qu'ils apportaient. Il n'y avait aucune transparence. Directeur de l'ingénierie de sécurité, services financiers

Engagement stratégique : Contrôle des actions de réponse

Bien que vous souhaitiez que votre MSSP agisse de manière décisive, il est essentiel de garder le contrôle ultime sur les actions de réponse à fort impact afin de minimiser les perturbations de l'activité et d'assurer l'alignement avec la tolérance au risque de votre organisation. Les réponses automatisées sont puissantes, mais pour les actions critiques, un humain dans la boucle peut prévenir les conséquences involontaires et assurer l'alignement avec votre plan de réponse à l'incident pour la reprise.

À prendre en compte

• Capacité d'action immédiate: Votre MSSP doit être capable de prendre des mesures d'endiguement immédiates, telles que l'isolement d'un appareil ou le blocage d'une adresse IP, plutôt que de se contenter d'envoyer une alerte. Le confinement rapide est la pierre angulaire de la cyber-résilience.
• L'homme dans la boucle pour les actions critiques: Pour les actions à fort impact telles que les arrêts de système, de nombreux RSSI préfèrent qu'un humain soit dans la boucle. Cela nécessite des alertes et une approbation explicite avant de procéder à une résolution automatisée.

Trouver un équilibre pragmatique entre la réponse automatisée et la supervision humaine. Définir des voies d'escalade et des processus d'approbation clairs pour les actions critiques afin de gérer les risques et d'assurer une reprise rapide, mais contrôlée.

La frustration d'un responsable de la sécurité :

"[Le MSSP existant] était inflexible et opaque en termes de règles, de manière d'ingérer et d'interagir. Nous leur envoyions des données et c'était comme une boîte noire. L'équipe interne ne pouvait donc pas vraiment collaborer avec eux de manière significative". Responsable principal de l'ingénierie de la sécurité, société énergétique mondiale

Un véritable partenariat : Contrôle de la relation

Votre partenariat avec un MSSP est un engagement à long terme essentiel à votre posture de sécurité. Une relation solide et transparente favorise la confiance et la collaboration, permettant aux deux parties de travailler efficacement à la réalisation d'objectifs de résilience communs. Les conflits ou le manque de transparence peuvent entraver l'adaptabilité et la réactivité face aux nouvelles menaces.

Cela signifie

• Un engagement clair en faveur de votre réussite: Recherchez des partenaires qui s'engagent véritablement à atteindre vos objectifs de résilience spécifiques, qui comprennent le contexte unique de votre entreprise et votre appétence au risque.
• Communication, réactivité et transparence: Privilégiez les fournisseurs dont le personnel, des analystes à la direction, est constamment communicatif, réactif et transparent. Des lignes de communication ouvertes sont essentielles pour s'adapter aux nouvelles menaces et améliorer votre résilience collective.
• Des conversations stratégiques significatives : C'est une chose d'avoir des mesures et des indicateurs clés de performance solides, c'en est une autre d'explorer leurs implications stratégiques pour votre feuille de route en matière de cybersécurité et votre stratégie de résilience. Les revues trimestrielles d'activité (QBR) pour discuter des progrès, des victoires et des préoccupations permettent de consolider l'alignement. Un MSSP doté d'un programme d'assurance client travaille en collaboration pour s'assurer que vos attentes sont satisfaites et pour traduire les programmes de sécurité et les résultats en impact commercial afin de vous aider à montrer la valeur des opérations de sécurité à votre conseil d'administration et à votre équipe de direction.
• Éviter l'effet de levier: Construisez un véritable partenariat sur la base d'un respect mutuel. Les conflits surviennent lorsque les fournisseurs tentent d'utiliser leur position pour exercer une influence indue, ce qui peut faire dérailler les efforts de collaboration en vue d'atteindre la maturité en matière de sécurité.

Considérez votre MSSP comme un partenaire stratégique dans votre parcours de cyber-résilience. Favorisez un environnement de collaboration fondé sur une communication claire, des objectifs communs, une relation stratégique évolutive et un respect mutuel afin de maximiser la valeur du partenariat.

Ce qu'il faut rechercher :

"Il ne s'agit pas seulement pour un MSSP de vous présenter tous ces outils et fonctionnalités géniaux et de vous proposer une bonne affaire. Cela dure quelques mois et puis après ? Qu'en est-il du long terme ? Une partie de l'évaluation consiste à me montrer comment vous nous aiderez à établir une relation de travail à long terme. Comment investissez-vous dans ce domaine ? Il ne s'agit pas seulement de réunions périodiques. Qu'en est-il de l'ingénierie des processus et comment gérez-vous l'escalade ? Quelles sont les autres responsabilités du fournisseur par rapport à celles du client ? D'après mon expérience, de nombreux fournisseurs ne réussissent pas très bien ce test". Responsable de l'informatique et de la sécurité, services financiers

Le contrôle permet la cyber-résilience

Pour les RSSI, le "contrôle" dans les partenariats MSSP se traduit directement par une meilleure cyber-résilience. Il s'agit de maintenir la visibilité, la propriété, les responsabilités définies, l'influence sur les actions et la surveillance de vos opérations de sécurité, de la technologie, des données et de la relation de service.

Cela garantit que votre MSSP agit comme une extension contrôlée et efficace de votre équipe de sécurité, soutenant la capacité de votre organisation non seulement à protéger, mais aussi à détecter rapidement les cybermenaces, à y répondre et à s'en remettre.