Votre centre d'opérations de sécurité (SOC) est le centre de gestion et de visibilité de vos opérations de cybersécurité. Votre équipe de sécurité est confrontée à un éventail continu de nouvelles tactiques, techniques et procédures de la part des acteurs de la cybermenace. Plus que d'habitude, grâce aux technologies émergentes telles que l'IA.
Alors que les cybercriminels développent des moyens plus ingénieux pour infiltrer votre périmètre, vos points finaux et vos systèmes, les RSSI se rendent compte qu'une focalisation étroite uniquement sur la sécurité en tant que prévention n'est pas suffisante. Ce n'est peut-être pas une coïncidence si le rapport Capturing the Cybersecurity Dividend révèle que seulement 51 % des organisations estiment que leur modèle opérationnel de sécurité actuel est efficace.
Une récente enquête menée auprès de 500 RSSI basés aux États-Unis a révélé que le soutien à la déréglementation est élevé, que les inquiétudes concernant les risques liés à l'IA augmentent et que les approches traditionnelles de la sécurité cèdent la place à des stratégies axées sur la résilience d'abord. Preuve de cette évolution, 83 % des RSSI déclarent que la cyber-résilience est plus importante que les mesures traditionnelles de cybersécurité, et 90 % affirment avoir mis en œuvre une stratégie de résilience.
Adopter la cyber-résilience, c'est acquérir la capacité et la préparation nécessaires pour anticiper les incidents de sécurité, y résister et s'en remettre sans perturber l'activité de l'entreprise et en limitant les dommages causés à ses finances et à sa réputation. La résilience met l'accent sur la nécessité d'équilibrer la gestion des risques avec les objectifs de l'entreprise et l'inévitabilité des violations.
La plupart des PME et des grandes entreprises faisant appel à des fournisseurs de services de sécurité gérés (MSSP) pour au moins certains services SOC, elles adaptent leurs attentes et leurs exigences à l'égard de ces partenariats, conformément à leur objectif de renforcement de la cyber-résilience.
Nous voulions mieux comprendre ce que les responsables de la sécurité attendent des services SOC gérés - et où ils sont frustrés - alors qu'ils se concentrent sur des stratégies de résilience. Pour ce faire, nous nous sommes entretenus avec des responsables qui avaient évalué ou changé de MSSP au cours des 12 à 18 derniers mois dans différents secteurs d'activité.
Tout d'abord, nous voulions comprendre ce qui ne fonctionnait pas dans leurs relations avec les MSSP et qui les mettait en danger. Au cours de ces conversations, nous avons identifié des domaines de risque que les responsables de la sécurité cherchent à résoudre dans les futurs partenariats MSSP alors qu'ils recherchent la cyber-résilience et renforcent leur maturité en matière de sécurité.
Manque de données significatives.
"J'ai demandé des informations pour comprendre une situation, les points de données dont ils disposent pour les partager avec moi afin que je puisse savoir ce qui se passe en ce qui concerne les problèmes avec les serveurs et d'autres dispositifs dans notre environnement et la santé des systèmes. Ils me répondent qu'ils n'ont pas ces données parce qu'il y a des problèmes. Cela crée un manque de surveillance qui nous met en danger". RSSI, commerce de détail
Problèmes de résidence des données.
"Le modèle du MSSP regroupe toutes mes données en dehors de mon environnement, ce qui entraîne des frais cachés que je n'avais pas prévus. Même si le service lui-même est peu coûteux et de haute qualité, ces frais posent problème. Il ne s'agit pas seulement des coûts, mais aussi des problèmes de performance liés au déplacement de gros volumes de données." Directeur de l'ingénierie de la sécurité, services financiers
L'incapacité à s'intégrer suffisamment à notre pile technologique en constante évolution.
"Notre MSSP a une visibilité limitée parce qu'il n'a pas l'expertise nécessaire pour s'intégrer pleinement à l'un de nos environnements en nuage. Par conséquent, mon équipe identifie souvent les événements 24 heures avant qu'ils ne se produisent, s'ils se produisent. Bien que nous ayons ajouté cet environnement après avoir passé un contrat avec eux, leur incapacité à prendre le relais nous expose à un risque plus élevé". Responsable de l'informatique et de la sécurité, secteur de la santé
Délai pour les corrections ponctuelles.
"La réparation des problèmes ponctuels est coûteuse et c'est là que je vois les MSSP trébucher. Ils ne sont pas nécessairement prêts à investir le temps nécessaire pour nettoyer les problèmes ponctuels. La gestion des incidents ponctuels est importante, en particulier lorsqu'ils soutiennent un processus commercial essentiel". RSSI, services financiers
Contrôles de sécurité inefficaces.
"Prouver l'efficacité d'un contrôle de sécurité signifie savoir s'il fait ce qu'il est censé faire. S'il est censé rechercher les vulnérabilités, trouve-t-il les vulnérabilités qu'il est censé trouver, ou dit-il non, il n'y a pas de vulnérabilités ici alors qu'il y a des menaces. C'est ce qui crée un faux sentiment de sécurité". Directeur de l'ingénierie de la sécurité, services financiers
Défaut de conformité.
"Le MSSP n'a manifestement pas rempli sa part du contrat en ce qui concerne la conformité de l'environnement. Et quand je dis conforme, je veux dire que les rapports des agents sur l'EDR ne montrent que 125 appareils, alors que j'en ai 150, et que 10 % de ces appareils ont des exceptions actives. Si ces appareils étaient compromis, serions-nous vraiment au courant ?" RSSI, services financiers
Manque de suivi de la gestion des vulnérabilités.
"Je constate un manque d'attention à la gestion des vulnérabilités. Un manque de suivi. C'est comme si nous en avions détecté 90 %. Bon, d'accord, mais il y en a 10 % qui datent de deux semaines ou plus. Alors, quand est-ce qu'on les corrige ?" Responsable de l'informatique et de la sécurité, secteur de la santé
Bien que les exemples ci-dessus montrent que l'externalisation des services SOC est une source de frustration pour les responsables de la sécurité et qu'elle augmente les risques au lieu de les minimiser, il y a encore de l'espoir. Au vu de ces expériences, nous avons demandé à ces responsables de la sécurité de nous faire part de ce qu'ils attendaient d'une relation de services SOC gérés.
Voici les six principaux éléments extraits de ces conversations.
Une surveillance complète, une escalade claire, une analyse comportementale et un traitement des incidents rapide et orienté vers l'action qui réduit le bruit et se concentre sur les événements réellement critiques. Les personnes interrogées s'accordent à dire que les services SOC gérés idéaux maintiendront la visibilité sur l'ensemble de l'infrastructure, y compris l'accès au cloud, tout en signalant et en faisant remonter les activités de sécurité de manière claire et opportune.
Lorsque des incidents se produisent, il doit y avoir une collaboration continue entre les parties pour un confinement, une évaluation et une remédiation efficaces. Après la remédiation, ils veulent des commentaires et des recommandations sur ce qu'il faut améliorer pour renforcer la résilience avant le prochain incident, y compris l'analyse des causes profondes.
La plupart des responsables de la sécurité avec lesquels nous nous sommes entretenus ont insisté sur le fait qu'ils recherchaient un partenaire, et pas seulement un fournisseur. Beaucoup ont déclaré qu'ils pensaient qu'un partenaire SOC devrait être un partenaire stratégique. La différence qu'ils ont citée est qu'ils vont investir en vous et veulent sentir qu'ils font partie de votre équipe. Parce que vous gagnez ensemble.
Les responsables de la sécurité s'attendent à une optimisation de la qualité des alertes par la réduction des faux positifs et des notifications non pertinentes basées sur des opérations normales. Ils s'accordent à dire qu'un MSSP doit investir dans la compréhension de leur environnement, de leurs modèles d'activité et de leur contexte commercial spécifique. Les MSSP doivent effectuer une corrélation et une analyse appropriées pour identifier les événements réellement exploitables.
Après avoir reçu des alertes sans contexte ni recommandations, nos responsables de la sécurité ont unanimement déclaré que les responsabilités et les processus de transfert devaient être clairement définis dans l'accord de niveau de service. Si un MSSP fonctionne comme une extension de l'équipe de sécurité de ses clients, la collaboration et la familiarité contribuent également à créer un processus informé et transparent.
Les MSSP qui orientent de manière proactive les clients vers les technologies et pratiques émergentes et les aident à valider leur feuille de route en matière d'architecture de sécurité à l'aide des meilleures pratiques et de conseils pour une mise en œuvre plus efficace figurent en bonne place sur la liste des responsables de la sécurité avec lesquels nous nous sommes entretenus. Ils estiment que le point de vue externe et objectif du MSSP sur les recommandations architecturales est précieux pour obtenir l'adhésion des dirigeants au sein de leur organisation.
L'une des personnes interrogées a donné un exemple de la manière dont elle prouve la valeur de la cyber-résilience pour la croissance du chiffre d'affaires en montrant comment ses protocoles de sécurité aident son équipe de vente à vendre 10 % plus vite en réduisant le temps d'examen de la sécurité des contrats de 40 à 2 jours.
Cette tendance est confirmée par l'objectif similaire que s'est fixé l'un de nos nouveaux clients, à savoir que son dispositif de sécurité aide l'entreprise à générer 10 millions de dollars de nouveaux revenus.
Si vous souhaitez vous associer à un type différent de MSSP pour vous aider à passer de manière proactive de la prévention à la cyber-résilience sans perdre votre élan, nous vous invitons à considérer nos services gérés Custom SOC.
Trouver le bon fournisseur de services de sécurité gérés qui s'associe à vous pour renforcer vos opérations SOC et votre résilience s'avère payant en protégeant la voie vers une croissance et une innovation accrues.