SOC : le must de la sécurité opérationnelle ? Pas si sûr…

Les Security Operations Centers (SOC) peinent à se montrer réellement efficaces dans la détection des cybermenaces et la lutte contre les hackers, explique une étude de HP.

En matière de détection et de réponse aux menaces informatiques, la mise en place d’un SOC (Security Operations Center) est souvent présentée comme la panacée pour les grandes entreprises. Sauf que ces centres se révèlent souvent peu efficaces, si on en croit une récente étude de HP. Celle-ci évalue le niveau de maturité de 87 SOC répartis dans 18 pays dans le monde en matière de détection de menaces et de réponse systématique aux incidents, selon un modèle bâti par Carnegie Mellon (CMMI).

Au total, 87 % des SOC étudiés par HP n’atteignent pas le niveau recommandé par le modèle, soit le niveau 3 (sur une échelle qui en comporte 5), où les capacités du centre sont clairement définies ; un niveau considéré comme « un objectif approprié » pour une entreprise selon HP. Pire, 20 % des centres opérationnels n’atteignent même pas le niveau 1, ce qui signifie qu’ils ne fournissent même pas le niveau de monitoring minimum à leur entreprise. Étonnamment, le score le plus faible (1.12) est enregistré dans les télécoms, un secteur pourtant aux premières loges. HP relève également que tous les SOC offrant des capacités de monitoring minimales sont équipés d’un SIEM (security information and event management, console permettant de gérer et corréler les logs).

Pénurie de compétences

Selon HP, alors que le niveau de maturité des SOC reste peu flatteur, le nombre d’attaques réussies par entreprise a augmenté de 144 % au cours des 4 dernières années. Et le temps nécessaire pour résoudre les problèmes nés de ces cyberattaques a lui progressé de 221 % au cours de la même période.

Le document explique que les organisations qui reconnaissent le caractère critique des mesures de cyber-protection pour leur activité, ou celles qui ont subi des pertes financières suite à une cyber-attaque, obtiennent des scores supérieurs. Pour HP, la principale motivation des entreprises reste la protection de leur propriété intellectuelle. Le groupe américain relève toutefois plusieurs freins à la mise en place de SOC efficaces. Notamment la multiplication des technologies, issues de fournisseurs divers. Pour la société californienne – qui prêche en l’occurrence pour sa paroisse -, les entreprises investissent de façon opportuniste dans des technologies amenant un ROI rapide mais fournissant peu de solutions en matière d’évolution. Par ailleurs, les SOC souffrent aussi du déficit de compétences. La plupart d’entre eux « peinent à trouver et retenir des personnes qualifiées. Embaucher des profils dotés des compétences appropriées peut demander des mois et se termine souvent par un constat d’échec, c’est pourquoi de nombreuses organisations ont mis en place des programmes de formation pour leurs analystes ».

L’étude met en lumière une évolution intéressante : le développement d’équipes de recherche, chargées de mettre en lumière des incidents passés inaperçus. La conséquence logique des affaires de cybersécurité rendues publiques ces derniers mois (Target, Home Depot, Sony Pictures), où les entreprises, infiltrées depuis des mois, ont découvert la fuite de leurs données via un tiers ou via la divulgation de documents qui leur ont été dérobés.

Crédit Photo : Watcarakun-Shutterstock

Lire aussi : Cybersécurité : la pénurie de compétences persiste