Après les applications métiers, les plateformes big data, les ERP…la cybersécurité prend le chemin du Cloud et de l’externalisation. Outre le SOC, de nombreuses briques de sécurité ne s’achètent plus que sous forme de service managé.
Avec un taux de croissance annuel supérieur à 15 % sur la période 2021-2023, le marché mondial des services managés de sécurité atteindra le montant colossal de 77 milliards $, selon Allied Market Research. Si ce montant reste une estimation, tous les acteurs de
la cybersécurité ne peuvent que constater la montée en puissance du modèle.
Cet essor des MSSP ( Managed Security Service Provider ou fournisseur externe en services de sécurité ) va bien au-delà du simple recours à des experts en cybersécurité en régie ou des opérations ponctuelles, comme les audits de sécurité de type Pentest. Et plus loin encore que le recours à des services de CSIRT ( Computer Security Incident Response Team ou équipe de réponse aux incidents de sécurité informatique ) et de Threat Hunting où la mutualisation de moyens est une évidence.
Adapter le niveau d’externalisation à la culture d’entreprise
Le manque de ressources budgétaires et les tensions sur le marché de l’emploi poussent de nombreux CISO et RSSI à confier à des partenaires des pans entiers de la sécurité de leur entreprise, à commencer par l’emblématique SOC.
Une tendance qui se heurte parfois à la culture d’entreprise, comme le soulignait Éric Singer, CISO EMEA de Schneider Electric lors d’une table ronde à la dernière édition des Assises de la sécurité : « Chaque entreprise a une culture différente, et le CISO doit s’adapter à cette culture. La culture de Schneider, c’est faire les choses en interne, nous avons très peu d’externalisation. Pour des expertises comme pour le SOC, nous avons opté pour un SOC hybride, mais c’est une exception. »
Pour Alain Bouillé, délégué général du CESIN, la question n’est plus externaliser ou pas, mais jusqu’où aller dans la démarche : « L’externalisation est aujourd’hui la norme et se pose le problème du ratio entre interne et externe. On a parfois plus de prestataires externes que de collaborateurs dans notre équipe interne. C’est une volonté des entreprises d’être plus flexibles sur le nombre de salariés, plus qu’une pénurie de talents. »
Trouver où positionner le curseur entre interne et externe dépend de la culture d’entreprise, mais aussi de sa maturé vis-à-vis de la cybersécurité, comme le confie Maxime Descombes, CISO
du Groupe Bel : « Nous avons énormément externalisé ces dernières années, mais en 2021, nous avons opéré un retour en arrière et lancé un plan d’internalisation. La raison est qu’il y avait beaucoup trop de turn-over chez nos prestataires. Nous voulions maintenir de l’expérience chez nous et capitaliser sur un socle de gens qui ont quelques années d’expérience. »
De plus en plus de briques de cybersécurité « Cloud only «
Le mode « as a service » gagne le monde de la cybersécurité avec de plus en plus d’applications de cybersécurité. On ne peut concevoir de protection des Endpoints sans des moteurs d’IA qui tournent dans le Cloud de même que les puits de logs, les SIEM ( Security Information Management System ou système de gestion de la sécurité de l’information) sont de plus en plus portés par des architectures Cloud, à l’image de Splunk, Microsoft Sentinel ou Sekoia.io.
Mais au-delà de cette externalisation purement technique, c’est bien l’essor des services managés qui est la tendance forte de ces dernières années : « Nous constatons cet engouement sur nos services opérés, et notamment pour le SOC » explique Benjamin Leroux, directeur marketing de Advens, prestataire de services cyber. Le SOC est sans doute l’exemple le plus parlant de l’externalisation, mais il n’est pas le seul.
« L’EDR [ Endpoint Detection Response ou solution de sécurité des points terminaux] est une brique de sécurité qui est de plus en plus abordée sous forme de service managé », ajoute-t-il.
« L’entreprise ne souhaite pas seulement acheter une technologie, mais privilégie un service. »
Outre la montée en puissance des offres MDR ( Managed Detection and Response ou détection et réponse aux incidents gérées en externe), le prestataire a constaté une forte dynamique sur les environnements industriels et, plutôt que de déployer et gérer ces sondes elles-mêmes, les entreprises optent directement pour des offres managées.
De la même façon, les entreprises privilégient de plus en plus des offres managées pour leurs NDR ( Network Detection and Response ou détection et réponse aux incidents au niveau du réseau), ou assurer la conformité de leurs infrastructures Cloud via du CSPM ( Cloud Security Posture Management ou gestion automatisée de la sécurité du Cloud). Face à cette demande accrue, Advens milite pour une approche de type « CISO Office » qui reprend la logique des « Project Management Office » (PMO) avec un catalogue de services à disposition de ses clients.
« Le CISO Office agit comme un centre de services auprès duquel l’entreprise va pouvoir externaliser ses services de sécurité et pas uniquement sa sécurité opérationnelle. Le client peut arrêter de penser ressources, mais entrer dans une logique besoin / engagement : en fonction de ses besoins réels. À nous d’allouer le personnel nécessaire », conclut Benjamin Leroux.
Pour aller plus loin :
>> EDR : pourquoi l’externalisation gagne du terrain
>> Cybersécurité as a Service : jusqu’où peut-on externaliser ?
>> SIEM as a Service : la surveillance du SI bascule dans le Cloud
