Cybersécurité : pourquoi l’externalisation va s’imposer

0

Confier au moins en partie la sécurité du système d’information de l’entreprise est une tendance forte du marché. Complexité des technologies, maîtrise des coûts, mais aussi le manque de ressources humaines explique un mouvement de fond des entreprises vers l’externalisation.

Intuitivement, la cybersécurité devrait constituer le dernier bastion, le dernier domaine dont l’entreprise devrait assurer une maîtrise complète. Pourtant, devant la complexité sans cesse croissante des attaques et des infrastructures de sécurité à mettre en place, devant aussi la pénurie et le coût des ressources humaines nécessaires pour assurer une protection en 24/7, les entreprises se tournent de plus en plus vers l’externalisation pour assurer la protection de leur système informatique.

MarketsandMarkets estime ce marché à 31,6 milliards de dollars à l’échelle mondiale, avec une croissance annuelle de l’ordre de 8% jusqu’en 2025, soit la bagatelle de 46,4 milliards de dollars à se partager par les MSSP (Managed Security Service Platform) dans 5 ans. 

Les analystes estiment que cette croissance soutenue s’explique par le nombre sans cesse croissant des attaques et fuites de données, un risque accru qui va naturellement pousser les entreprises à rehausser le niveau de sécurité de leur système d’information.

Autre moteur de ce marché, l’essor du Cloud et de l’IoT, des domaines qui constituent de nouveaux cas d’usage pour la sécurité, avec de nouveaux processus et outils à déployer.
Le secteur banque/finance et assurance est le plus mature sur la question et fait le plus appel à des services managés mais c’est le secteur de la santé qui connaît aujourd’hui le plus fort taux de croissance.

Le CyberSOC, porte étendard de l’externalisation

De multiples services de sécurité peuvent potentiellement être externalisés, depuis l’analyse des vulnérabilités, la surveillance des menaces, la gestion et le support des équipements de sécurité et, plus, récemment les solutions d’EDR managés  (Endpoint Detection & Response).
Néanmoins, un service est emblématique de cette montée en puissance de l’externalisation dans le domaine de la cybersécurité, c’est le CyberSOC.

Laurent Célerier, CTO d’Orange Cyberdéfense

Laurent Célerier, CTO d’Orange Cyberdéfense, explique l’émergence de ces offres lors de ces dernières années : « Je distingue globalement 2 niveaux de services managés. Il y a d’une part le SOC et un niveau plus avancé d’externalisation que représente le CyberSOC. Dans le premier cas, le Security Operation Center (SOC) gère les éléments de sécurité de l’entreprise. Il s’assure que ceux-ci sont tous au bon niveau de version, bien positionnés dans le réseau et alimentés avec les bonnes informations de Threat Intelligence pour que, par exemple, un firewall bloque bien les adresses malveillances. »

S’il estime que ce premier niveau d’externalisation permet à l’entreprise d’atteindre un bon niveau de sécurité, l’expert souligne que cette approche implique que l’entreprise dispose de ressources internes qualifiées pour exploiter les données remontées par les firewalls et les sondes réseaux, des ressources qui doivent réagir sans délai en cas d’attaque avérée. « Il y quelques années, nous avons constaté que cette approche n’était pas suffisante » ajoute Laurent Célerier. « Il fallait avoir une proposition de valeur plus importante avec des analystes capables d’analyser les données de sécurité et travaillant dans ce que l’on appelle aujourd’hui les CyberSOC. Non seulement, nous nous assurons que l’infrastructure de sécurité de l’entreprise est efficiente mais des capteurs nous délivrent de l’information et celle-ci va être traitée afin de détecter les attaques. C’est un travail d’analyse et de réponse à incident que nous réalisons pour nos clients. »

Aujourd’hui, Orange Cyberdefense compte 2 100 personnes et gère 17 SOC répartis dans le monde ainsi que 11 CyberSOC. Ceux-ci traitent 50 milliards d’événements par jour et ainsi font fermer 200 sites malveillants chaque jour.

Le CyberSOC, un moyen de mutualiser des ressources rares et chères

De multiples arguments plaident en faveur de l’externalisation du SOC.
Le premier est sans nul doute lié à la pénurie de ressources humaines compétentes en cybersécurité. Un SOC se structure globalement en 3 niveaux, les analystes de niveau 1 trient les alertes remontées par les systèmes de sécurité. Cette tâche est rébarbative et le turn-over est élevé. Les niveaux 2 et 3 sont assurés par des experts de haut niveau, difficiles à embaucher et toujours à la recherche de vrais défis intellectuels, ce qui les pousse à préférer travailler pour les CyberSOC plutôt que pour une seule entreprise. Enfin, un SOC doit fonctionner 24 heures sur 24.

« Pour pouvoir un poste en H24, ce sont 5 personnes qu’il faut embaucher. Pour 95% des entreprises françaises, ce n’est tout simplement pas possible » souligne Laurent Célerier qui ajoute : « Le H24 est extrêmement important car les hackers ne travaillent pas qu’entre 9h et 18h ! » Autre atout de cette mutualisation de moyens apportée par le CyberSOC, l’approche permet de faire face à l’extrême diversité de compétences différentes nécessaires à la protection d’un système d’information.

Arnaud Hess, responsable du Business Development d’Advens

Arnaud Hess, responsable du Business Development de Advens, société de services pure player de la cybersécurité souligne : « La cybersécurité est un domaine très diversifié, ce qui implique que l’entreprise doit constituer un pool de compétences très spécialisées si elle veut assumer elle-même sa sécurité. Or ces dernières ont beaucoup de mal à attirer et fidéliser des experts et l’approche « As a Service » leur apporte une alternative efficace. Les technologies évoluent très vite et il est compliqué pour une entreprise dont le cœur de métier n’est pas la cybersécurité de maintenir les compétences pour les exploiter et en tirer tous les bénéfices. »

En outre, de gros acteurs du CyberSOC comme Orange, IBM ou T-System peuvent apporter une couverture internationale à leurs clients et couvrir leurs implantations partout dans le monde. Sorina Barzea, Deal Solution Manager chez T-Systems argumente en ce sens : « Nous proposons un service de CyberSOC avec des équipes en Europe, en Asie, aux Etats-Unis et au Mexique. Tous nos centres partagent bien évidemment leurs bonnes pratiques de sécurité, les informations relatives aux menaces, les alertes portants sur les attaques en cours, mais généralement un seul site est en charge d’un client. Les données d’un client ne vont pas être répliquées d’un centre à un autre et si le client le souhaite, l’ensemble de ses logs peuvent être conservées sur ses propres infrastructures. Nos équipes de monitoring se connectent alors à ces données de log via un accès sécurisé afin de les analyser. »

Les éditeurs de logiciels se rêvent en MSSP

Face à cette montée en puissance des CyberSOC, d’autres acteurs sont en train d’émerger. Il s’agit des éditeurs de solutions de sécurité qui ont pris le virage du Cloud et qui surtout cherchent maintenant à accroître leur chiffre d’affaires en complétant leurs offres technologiques de services associés. On trouve ainsi de nombreuses offres managées dans les domaines de l’IAM (Identity and Access Management), des firewalls et des SIEM managés, ou encore des solutions de DLP (Data Loss Prevention). Chaque brique de sécurité se décline désormais en version managée par son éditeur ou par des partenaires intégrateurs.

Alain Bouillé, délégué général du CESIN

Pour Alain Bouillé, délégué général du CESIN, ce mouvement des éditeurs vers les offres à plus forte valeur ajoutée est une démarche assez logique. Elle s’inscrit en droite ligne des consoles d’administration Internet proposées par les éditeurs de solutions de sécurité depuis plusieurs années maintenant.
« Chaque éditeur a proposé de son côté sa propre console, depuis Symantec, Palo Alto, Fortinet. D’une certaine façon, le SOC a permis de supprimer le recours à ces multiples consoles éditeur et c’est la même démarche pour les services managés. Crowdstrike, Cybereason, SentinelOne et les autres éditeurs d’EDR proposent des services managés, mais au final, les alertes qui sont remontées par leurs services vont devoir être traitées par quelqu’un dans l’entreprise. »

L’ancien Directeur Sécurité des Systèmes d’Information de la Caisse des dépôts estime que la connexion de ces services avec le SOC est primordiale et les éditeurs proposent des intégrations aux SIEMs. Il ajoute : « L’EDR se limite essentiellement aux Endpoint et ne couvrira jamais l’ensemble des événements qui peuvent être traités dans un SOC. En outre, il n’est pas question avec ces services managés de recommencer les errements des années 2000 avec la multiplication des consoles. »

Parmi les nombreux éditeurs à avoir adopté cette démarche, F-Secure, le spécialiste finlandais de la protection endpoint. Guillaume Gamelin, Regional Vice President de l’éditeur explique la démarche : « Nous arrivons aujourd’hui sur le marché des services managés car nous avons ressenti le besoin des entreprises pour ce type d’approche. Les menaces sont de plus en plus complexes à détecter, mais aussi à gérer par les administrateurs. »

Face à cette complexité, F-Secure, comme tous les éditeurs de solutions antivirales à fait évoluer son offre vers l’antivirus Next-Gen, puis vers l’EDR, un outil plus puissant en termes de  détection des menaces, mais qui donne aussi à l’administrateur des outils de remédiation à l’échelle de son parc.

Guillaume Gamelin, Regional Vice President de F-Secure

Des outils qui, en dépit d’un vrai effort sur l’ergonomie, restent complexes à mettre en oeuvre. « C’est une approche qui demande beaucoup plus d’expertise de la part des administrateurs » explique Guillaume Gamelin. « Embaucher des Threat Hunter est un défi pour les entreprises et même les entreprises qui disposent d’un SOC ont qu’une personne dédiée aux endpoints. Lui imposer de devenir un Threat Hunter est une énorme responsabilité et une expertise qu’il n’a peut-être pas. »

L’éditeur finlandais propose un service managé, avec des experts en cybersécurité qui analysent les informations glanées par l’EDR et signalent à l’entreprise tout incident de sécurité sérieux. 150 personnes qui travaillent dans le centre de services de l’éditeur afin de délivrer une SLA de 15 minutes pour prévenir l’entreprise d’une attaque détectée en 24/7.

Un modèle de services éditeurs complétés par les MSP se met en place

Autre éditeur ayant lui aussi mis en place un centre d’expertise en détection d’attaque, le roumain Bitdefender. L’éditeur a mis en place un SOC aux Etats-Unis qui gère la cybersécurité des clients de l’offre GravityZone Managed Detection and Response (MDR), une offre de service managé lancée voici quelques mois seulement.

Fabrice Le Page, Field & Channel Marketing Manager chez Bitdefender souligne la spécificité de l’offre. « Nous assurons à la fois une télémétrie des endpoints, mais aussi du réseau de l’entreprise. Un reporting mensuel est délivré s’il n’y a pas d’attaque détectée sur la période, ou en temps réel si l’entreprise est soumise à une attaque. Des actions peuvent être menées par l’équipe de sécurité Bitdefender pour juguler l’attaque en fonction de ce que l’entreprise a décidé en amont. C’est un moyen efficace de limiter les temps de réaction sur incident. »
Si l’éditeur a mis en place son propre SOC pour traiter les alertes remontées par ses solutions, celui-ci n’en reste pas moins fidèle à son modèle de distribution basé sur un fort réseau de partenaires MSP. Bitdefender en compte plus de 700 en France.

Son offre managée se compose donc de Bitdefender Managed Detection and Response, mais aussi de Bitdefender Cloud Security for MSPs pour ses partenaires. « Notre console d’administration unifiée existe dans le Cloud depuis 5 ans maintenant. Elle est utilisée telle quelle par les MSP pour gérer la sécurité de leurs clients. Ceux-ci disposent d’une couche de base anti-malware sur laquelle ils vont pouvoir vendre des services de sécurité optionnels comme le patch management, la sécurisation des messageries Cloud ou encore le chiffrement des disques, la sécurité des environnements virtualisés, le sandboxing, etc. »

Si, à l’heure du Cloud, l’externalisation de la cybersécurité semble aller dans le sens de l’histoire, cette montée en puissance va devoir pousser les entreprises à revoir le rôle des RSSI dans l’entreprise, comme l’explique Alain Bouillé conclut : « A l’image des DSI qui pilotent des contrats Cloud, le RSSI va devenir de plus un plus un gestionnaire de contrats d’externalisation. Toute la difficulté pour l’entreprise sera de conserver la maitrise du patrimoine sécuritaire ».

Sur le même sujet :

> Cybersécurité as a Service : jusqu’où peut-on externaliser ?
> SIEM as a Service : la surveillance du SI bascule dans le Cloud