Les SOCs – évitez la confiance aveugle, pensez à les évaluer !

Par Adèle Gauvrit, le 26 octobre 2017

 

La gestion des SOCs (Security Operations Center / Centre d’opération et de sécurité) soulève une problèmatique plus large autour du service externalisé, lorsque celle-ci est confiée à des tiers. Comment gérer l’ambiguïté entre le souhait d’externaliser un service en faisant confiance à son fournisseur et contrôler sa prestation pour en assurer sa pertinence ? Externalisation ne doit pas rimer avec confiance aveugle. Les SOCs n’en font pas exception et méritent d’être évalués pour conserver leur efficacité.
Présent à l’Information Security Forum, du 28 au 31 octobre prochain, PwC présentera sa vision sur la pertinence que représente l’évaluation des SOCs, à travers l’intervention de Philippe Baumgart, Associé Cybersécurité de PwC.

Dans quelle logique les SOCs sont-ils nés ?

Les SOCs sont nés pour répondre à une problématique plus large que celle de la cybersécurité stricte. Les entreprises pensent souvent qu’il est plus intéressant d’externaliser les services de sécurité ou les applications de détection, c’est pourquoi elles décident parfois d'acheter un service clé en main chez des fournisseurs. Elles pensent ainsi pouvoir délaisser complètement la problématique de cybersécurité au fournisseur, ce qui est bien entendu une vision erronée.

Pourquoi ? Car l’externalisation des services sous-entend souvent une volonté de réduction des coûts de la part des entreprises. Or, réduction des coûts se marie rarement avec sécurité.

Dans le cas des SOCs externes, les fournisseurs font la promesse de valeur suivante : « Faites-nous confiance et externalisez votre sécurité, nous mettons à votre service des professionnels spécialisés dédiés et formés aux enjeux de cybersécurité, plus en pointe que vos spécialistes internes ». Toutefois, ces fournisseurs sont confrontés à une logique de marché qui vient contrebalancer la proposition de valeur faite au client : proposer un service compétitif, et réduire leurs coûts pour gagner des parts de marché. Ceci implique par la même occasion de se passer des meilleurs experts, souvent trop chers.

Ainsi, même en choisissant le meilleur fournisseur de SOC sur le marché, vous ne vous garantissez pas un fonctionnement optimal de votre SOC. Pourquoi ? Les SOCs sont très dépendants de l’environnement, tant métier que technique, et doivent bénéficier d’échanges permanents avec l’entreprise, sans quoi ils risquent de passer à côté de l’essentiel.  Concrètement, une entreprise qui ne partagerait pas sa connaissance des adresses IP spécifiques hébergeant des services manipulant des informations sensibles handicap significativement la remontée d'alerte ciblée du SOC, en effet ce dernier ne pourra pas faire de retour précis sur des activités suspectes visant des informations confidentielles et de ce fait y porter une attention supérieure. L’accumulation d’indices de suspicion est très dépendante de la connaissance du contexte. Un prestataire perçu comme excellent pourrait donc être limité dans ses manœuvres à cause d’un manque d’informations à sa disposition.

La clé de réussite pour l’entreprise est de travailler de concert et main dans la main avec le SOC, et ce dans la durée. Veiller à acheter la meilleure prestation du marché sans la piloter par la suite est un gros écueil qui menace les entreprises.
Philippe Baumgart
Associé - Cybersécurité PwC France

Que serait donc le SOC idéal ?

La demande pourrait être formulée ainsi : « Je voudrais que mon SOC puisse détecter toutes les attaques ». Pour ce faire, une des clés réside en la capacité de collecte d’informations du SOC.

D’autre part, l’implication des métiers de l’entreprise est clé pour donner les grilles de lecture et d’analyse au SOC, qui pourrait passer à côté d’incidents sans cette connaissance des métiers de l’entreprise.

Le niveau d’informations techniques est également déterminant.

L’un des principaux avantages à passer par l’externalisation d’un SOC constitue pour l’entreprise  la possibilité de se décharger d’un des plus gros challenge de gestion d’un SOC : la gestion des compétences. En effet, les compétences attendues sont en constante évolution, les profils recherchés sont rares, et le turn over important. Or, en passant par un SOC externe, cette complexité est également externalisée chez le prestataire.

Cette gestion des compétences est soumise à un défi de taille : celui de retenir les talents et les maintenir formés. Or, pour acquérir des compétences complémentaires dans le domaine de l'investigation des cyber-incidents , il faut être en capacité de détecter ces incidents, pour aller au-delà des procédures prédéfinies et être dans une démarche d’investigation. Il est donc paradoxal de constater que pour monter en compétence dans le domaine de l'investigation des cyber-incidents, il faut que des incidents surviennent, mais il faut pouvoir au préalable détecter ces incidents. Si on n’a pas de retour d’expérience sur un incident, on ne peut pas s’améliorer.

Pourquoi donc évaluer un SOC et comment l'évalue t-on ?

Quand on parle de SOC, on parle bien évidemment de méthodologie, mais on parle aussi de ressources au sens ressources humaines. On se doit d’évaluer les compétences des différentes personnes s’occupant des problématiques liées à la cybersécurité, leurs façons d’analyser les différents évènements, le nombre de personnes sur chaque évènement, la fréquence et la qualité des différents rapports, qui peuvent se révéler complexes à surveiller en temps réel.
On regarde aussi le niveau d’avancement technologique du SOC, à savoir :

  1. Si les process internes sont très manuels et demandent beaucoup d’ETP  
  2. Si les process sont (trop) automatisés, limitant de fait le contrôle humain qui peut s’avérer nécessaire sur certaines opérations.

Ce dernier cas peut poser problème. En effet, si les cas définis au préalable pour les processus de détection automatisés ne prennent pas en compte les derniers protocoles d’attaques, la conséquence pourrait être une absence totale de détection des incidents.

L’évaluation doit être faite dans un but d’amélioration continue et non d’un audit sanction. Il est important d’adopter cette démarche d’évaluation de manière régulière, et en tenant compte des changements organisationnels que peut connaître l’entreprise.  En effet, les entreprises sont des entités mouvantes, connaissant des moments plus enclins au risque d’attaque que d’autres. Les fusions et acquisitions sont par exemple des moments propices aux attaques. Sans avoir connaissance de la situation, le SOC ne va pas comprendre des évolutions d’activité liées à l’opération et va mobiliser du personnel pour analyser les changements qui ont eu lieu, ce qui est dans ce cas précis inutile. Cela peut même permettre aux attaquants d’en profiter pour attaquer une autre partie du spectre de l’entreprise qui ne sera pas sous surveillance du fait de la mobilisation initiale du SOC sur un problème qui n’a pas lieu d’être.

 

Il est donc primordial pour l’entreprise, que son SOC soit internalisé ou externalisé, d’adopter une démarche d’amélioration continue et de ne pas négliger l’investissement temps qu’il convient de faire pour permettre au SOC de s’adapter et de coller au plus près des réalités de l’entreprise.
 

La cybersécurité vous intéresse ? Découvrez la chaire virtuelle Cybersécurité en partenariat avec Harvard Business Review France : https://pwc.to/2FyLZms

 

A propos de Philippe Baumgart
Associé - Cybersécurité PwC France

01 56 57 13 97

Pour aller plus loin