Cybersécurité as a Service : jusqu’où peut-on externaliser ?

0

La cybersécurité migre dans le cloud et de plus en plus de solutions sont disponibles en mode as a service. Pour autant, toute la complexité n’a pas disparu et faire le choix de l’externalisation est de plus en plus fréquent pour gérer ces infrastructures.

Tous les dirigeants ont compris ces derniers mois qu’il devenait urgent de hausser le niveau de sécurité de leur entreprise. Celles-ci se sont équipées d’EDR pour contrer la menace des ransomware, mais beaucoup n’ont ni les moyens ni la volonté de former des équipes de sécurité capable de traiter les alertes remontées par ces outils en 24/7.

Les DSI se sont mises à la recherche d’un partenaire afin de réaliser cette tâche astreignante et très coûteuse. Le modèle « managé » a le vent en poupe et les éditeurs de solutions de sécurité ont mené, ces dernières années, d’intenses campagnes de recrutement de MSSP (Managed Security Service Provider) pour développer leur marché, notamment auprès du midmarket et de PME.
Le marché des services managés en cybersécurité se porte bien.

Sous la pression des ransomwares

« L’explosion des attaques par ransomware a conduit à une accélération très forte des demandes pour des services de détection et de réponse seuls en mesure de contrer ce fléau. Nous avons ainsi déployé, parfois en pleine gestion de crise, des solutions d’EDR pour plusieurs centaines de clients ces derniers mois », explique Laurent Célérier, Executive Vice-President Technology & Marketing d’Orange Cyberdefense.

Cette entreprise mise sur des services qui vont bien au-delà du seul maintient en conditions opérationnelles des équipements de sécurité.  » Notre service de MicroSOC EDR surveille efficacement les terminaux (ordinateurs, tablettes, mobiles, serveurs) et afin d’élargir la surface de couverture, nous venons de lancer notre service MicroSOC XDR (eXtended Detection and Response) qui couvre les terminaux, le réseau et le cloud. C’est une réponse parfaitement conforme aux entreprises de taille moyenne ayant des architectures relativement simples. Le recours au SIEM apporte une couverture encore plus grande, mais reste une approche plutôt adaptée aux grands comptes. »

Cloud et MSSP : la recette gagnante  ?

De plus en plus de briques de sécurité sont proposées as a service par leurs éditeurs et sont assorties d’offres managées pour en assurer le fonctionnement.
C’est le cas des EDR et des SIEM, mais aussi de toutes les briques de gestion d’identité cloud, les firewall as a service et leurs cousines cloud les WAF et même les solutions de protection des endpoints qui ne peuvent se passer du cloud pour le sandboxing ou faire tourner leurs algorithmes d’IA les plus avancés.

Dans certains domaines, comme la threat intelligence, la mutualisation du service entre de multiples clients est même une composante clé de son business model. Ceux qui poussent le concept du modèle managé le plus loin sont certainement les opérateurs de SD-WAN qui proposent de plus en plus de briques de sécurité embarquées dans leurs offres réseau.

« Le marché se transforme », souligne Benoît Vérove, associé chez Rampar, une ESN spécialisée en cybersécurité. De plus en plus de solutions de sécurité sont disponibles dans le cloud. « L’exemple typique est le proxy cloud pour le filtrage d’URL qui a été intégré aux firewalls, puis a migré vers le cloud avec des acteurs, tels que ZScaler, mais aussi Check Point », appuie-t-il.

Du côté des éditeurs, ce modèle de distribution à valeur ajoutée est devenu stratégique pour conquérir de nouveaux clients sur des marchés encore sous-équipés, en particulier le midmarket et les PME. Ils ont pour la plupart mis en place des offres affûtées pour les MSSP, avec des consoles de supervision leur permettant de gérer plusieurs clients. « Aujourd’hui, dans l’univers du cloud, près de 20 % des acteurs proposent des activités de MSSP. Il y a 18 mois, ils n’étaient que 14 %… », résume Magali Mauduit, Cloud & MSP Business Development Manager pour l’Europe du Sud, chez Bitdefender. « Nos offres MSP et cloud se sont étoffées et, aujourd’hui, nous adressons les MSP et les MSSP directement par notre équipe dédiée. »

EDR : locomotive des services managés ?

La hantise du ransomware a littéralement imposé l’EDR dans le portefeuille des solutions de cybersécurité des entreprises. Mais, pour de nombreux experts, l’EDR managé est considéré comme un premier pas vers la mise en place d’un SOC managé et l’arrivée d’offres XDR managées. Cependant, les besoins et les stratégies cyber des entreprises sont loin d’être uniformes.

« De nombreuses entreprises ne possèdent pas les compétences internes pour gérer correctement leur cybersécurité, et font appel à des offres packagées as a service, pensant se décharger ainsi de leurs problèmes de sécurité », explique Vincent Tostain, directeur technique cybersécurité chez Devoteam, « mais elles doivent prendre en compte tous les aspects réglementaires inhérents à leur activité, ainsi que les aspects contractuels qui vont garantir que leur fournisseur de sécurité va respecter leur politique de sécurité et les bonnes pratiques en vigueur ».

Cependant, c’est uniquement avec une solide gestion des tiers que le RSSI peut contrôler la sécurité de son entreprise. « Si cette gestion des tiers est maîtrisée, alors une offre as a service couplée à une offre de service managée peut s’avérer être le meilleur choix », conclut Vincent Tostain.

Des offres diversifiées

Vincent Tostain – Devoteam

 

« La pertinence d’une externalisation d’une partie de ses services pour une entreprise est dépendante de sa politique de sécurité du SI, de son domaine d’activité et des normes et réglementations qu’elle doit respecter. De façon générale, l’entreprise doit garder en interne les informations relatives à son cœur de métier et à ses actifs fondamentaux. Il est plus judicieux d’externaliser les fonctions transverses, et les nouveaux périmètres que les spécialistes de la sécurité ne maîtrisent pas bien en interne. Un excellent exemple est l’externalisation des fonctions de sécurité du cloud et des containers (IaaS, PaaS et SaaS), des domaines qui sont rarement parfaitement pilotés en inte rne et qui peuvent affaiblir l’ensemble de la sécurité du SI. »
Vincent Tostain , directeur technique cybersécurité chez Devoteam

 

David Boucher – Adista

« Notre métier historique d’opérateur télécom nous a naturellement amenés à proposer des solutions de protection périmétrique pour nos clients, mais nos services ont évolué. Si nous proposons généralement les services d’administration des solutions, de plus en plus nous allons vers la mise en œuvre de services de supervision de la sécurité. Les compétences requises par ces besoins de supervision sont très spécifiques et le marché du travail en forte tension. Nous aidons ainsi nos clients à résoudre un véritable casse-tête grâce à notre entité dédiée. La demande de services managés est croissante, mais très dépendante de l’organisation considérée. Les grands groupes ont souvent mis en place des équipes dédiées qui sont susceptibles de prendre à leur charge des solutions complémentaires, en revanche dans les ETI/PME nous trouvons régulièrement des situations où les équipes IT sont très réduites. »
David Boucher, Responsable du Pôle d’Expertise Cybersécurité chez Adista

 

Laurent Célérier- Orange Cyberdefense

"Orange Cyberdefense propose un large éventail d’offres pour tous types de clients, quelle que soit leur taille ou leur activité, mais aussi adaptées à leur niveau de maturité Cyber. Certaines structures de petite taille, comme des banques privées, des filiales de grands groupes ou des petits opérateurs d’importance vitale peuvent avoir des niveaux d’exigence très élevés. À l’inverse, certaines grandes entreprises peuvent n’être qu’au début de leur transformation digitale et de la prise en compte de la cybersécurité. Sur la base d’éléments standardisés et optimisés pour proposer les meilleurs prix, nous arrivons à adapter nos services aux besoins de nos clients. Pour les offres à destination des clients les moins matures nous fournissons des packs associant du conseil et des services managés considérés comme essentiels."
Laurent Célérier, Executive Vice-President Technology & Marketing chez Orange Cyberdefense

Crédit photo  principale : @Fsecure