Externalisation de la sécurité : Pourquoi le "Security as a Service" va s'imposer

mySOC & Security-as-a-Service
Externalisation de la sécurité : Pourquoi le

Devant l’accroissement du nombre d’attaques informatiques, mais aussi le niveau de complexité des systèmes de protection, de plus en plus d'entreprises se tournent vers l’externalisation de leur sécurité. L’étude The Future of Cyber Survey 2019 menée par Deloitte auprès de 500 responsables informatiques a montré que tous ont déjà recours à l’externalisation de certains services liés à la sécurité. Pour 14% d’entre eux, cette externalisation représente plus de 50% de leur budget cybersécurité et, pour 65% d’entre eux, cette part d’externalisation est comprise entre 21% et 30% de leur budget. « L'externalisation de fonctions de sécurité n'est pas une nouveauté en soi, mais l'approche "as a service" devient de plus en plus indispensable pour le maintien du niveau de sécurité des entreprises » estime Arnaud Hess, responsable du Business Development d’Advens. « Outre la recrudescence des attaques, les entreprises doivent faire face à une réelle pénurie de compétences en cybersécurité sur le marché. »

L’externalisation, un moyen de mutualiser des ressources trop rares

Le recours à prestataire de services de sécurité « as a Service » ou MSSP pour (Managed Security Service Provider) apparaît comme une solution face à cette pénurie de talents en sécurité. PwC estime que ce sont ainsi 5 000 postes qui restent vacants en France, faute de candidats, des postes pourtant bien rémunérés. Les entreprises ont beaucoup de mal à attirer et fidéliser les quelques experts disponibles et si les filières de formation en cybersécurité se sont multipliées ces dernières années, l'offre reste encore très largement supérieure à la demande sur le marché de l'emploi. « Recruter un expert de niveau 3, c'est-à- dire un expert très pointu, reste extrêmement difficile pour une entreprise » ajoute Arnaud Hess. « Outre une rémunération attractive, l'entreprise doit pouvoir lui proposer des missions qui vont l'intéresser et le fidéliser, ce qui n'a rien de simple dans un contexte mono entreprise. A l'inverse, un MSSP va pouvoir lui proposer plusieurs missions enrichissantes auprès de plusieurs de ses clients. » Même un groupe aussi prestigieux que TF1 peut avoir du mal à attirer les profils les plus recherchés sur le marché. « La pénurie de talents sur les métiers de la cybersécurité est un fait » reconnaît Stéphane Joguet, directeur de la cybersécurité du groupe TF1. 

  • Sans nécessairement parler d’experts de pointe, il est très compliqué d’embaucher des spécialistes. Des cursus cybersécurité ont été mis en place, mais cela reste des formations universitaires et les compétences qui en sortent doivent être éprouvées sur le terrain pendant quelques années avant d’avoir le bagage nécessaire au moment de faire face à un incident de sécurité. 

​  Stéphane Joguet, directeur de la cybersécurité du groupe TF1

Les spécialistes avec de l’expérience restent très rares sur le marché de l’emploi et les attirer est une vraie difficulté pour les entreprises. D'autre part, toutes les entreprises n’ont pas l’ambition et le budget nécessaire pour monter une cellule cybersécurité en interne. La cybersécurité reste un domaine extrêmement diversifié, avec un nombre de technologies sans cesse croissant. Chaque nouvelle solution répond à une menace précise et vient s'ajouter aux briques de sécurité déjà en place. Si beaucoup de RSSI misent sur la concentration du marché pour ramener ce nombre de solutions à un niveau plus simple à gérer, pour l’heure ceux-ci doivent gérer cette ultra-segmentation des fonctions de sécurité. Illustration de cette problématique, le domaine de la détection d’incident où le Machine Learning est en train de s’imposer, notamment pour repérer les incidents de sécurité dignes d'intérêt au milieu de la masse des faux positifs. L’expert ajoute : « Mettre en place un pool de Data Scientists spécialisés en cybersécurité n'a pas de sens pour une entreprise dont l’activité principale n’est pas le digital. C'est un investissement lourd, notamment en termes de montée en compétences et l'externalisation de cette fonction est le moyen le plus rapide de bénéficier d'une expertise aussi pointue. » Advens a ainsi embauché un chercheur en astrophysique et qui applique aujourd'hui ses connaissances en matière de traitement des données en masse pour concevoir les modèles de Machine Learning mis en œuvre sur les données de sécurité des clients d’Advens. « Les technologies évoluent très vite et il est compliqué pour une entreprise dont le cœur de métier n'est pas la cybersécurité que de suivre les évolutions technologiques » estime Arnaud Hess. « Les entreprises doivent se constituer un pool de compétences très spécialisées, ce qui est extrêmement compliqué pour elles. C'est en quoi une approche "As a Service" apporte une alternative efficace. »

C’est l’une des raisons qui ont poussé le groupement Système U à se tourner vers Advens pour externaliser son SOC (Security Operating Center) et assurer la sécurité opérationnelle des activités centrales du groupe, mais aussi celle des 1 568 points de vente de l'enseigne. « Nous sommes venus à l'externalisation de la sécurité car il y a une dizaine d'années, l'équipe sécurité était encore très réduite or chaque problématique de sécurité doit être portée par une compétence bien particulière » raconte Sebastian Lopez, RSSI du groupement Système U. « Lorsqu'on travaille avec des ressources en régie, le niveau de compétence des collaborateurs est pointu sur les sujets pour lesquels ils ont été choisis. Lorsqu'on aborde d'autres sujets, il faut ajouter de nouvelles ressources, or les budgets ne sont pas extensibles à l'infini. Fonctionner avec des centres de services en "Security as a Service" est un moyen de faire face à ce phénomène. » Le RSSI a défini avec son MSSP des unités d'oeuvre dans tous les domaines couverts par le contrat, en fonction de la taille de l'établissement concerné. Une fois ce cadre financier en place, ce partenariat permet au RSSI de faire intervenir très rapidement les bonnes compétences là où le besoin apparaît sans aucun délai lié à l'aspect administratif d'une nouvelle prestation.

 

Le contrat, un point-clé dans la réussite d'une stratégie d'externalisation

Pour Stéphane Joguet, la dimension contractuelle est un élément-clé dans la réussite d'une stratégie d'externalisation : « La relation entre l'entreprise et le prestataire doit être bâtie sur la notion de partenariat, mais l’entreprise doit avoir des compétences en matière de gestion de contrat. Même si la rédaction de contrat peut paraître une tâche rébarbative à un RSSI, c’est le moyen le plus efficace pour cadrer la prestation et donc le service qui sera délivré par le prestataire. » Pour le RSSI de TF1, la gestion des contrats de services va devenir une compétence indispensable aux membres des équipes de sécurité des entreprises. « Externaliser des pans de la sécurité implique de pouvoir s’appuyer sur un noyau dur de collaborateurs qui ont la maîtrise de la sécurité du système d’information et qui peuvent transmettre cette connaissance aux nouveaux collaborateurs. A l'avenir, j'estime que leur rôle sera sans doute moins tourné vers l'opérationnel et plus vers la gestion de prestations externalisées auprès de tiers. Le métier va évoluer d’une fonction très technique à beaucoup plus de gestion contractuelle avec les sous-traitants, avec un suivi des KPI, des tâches de reporting, c’est une nouvelle facette du métier. »

L'approche "Security as a Service" est un moyen de faire faire aux manques de ressources internes, mais c'est aussi clairement un outil de visibilité et de maitrise des coûts. « On le sait, il est très difficile d'évaluer un ROI (Return On Investment) dans le domaine de la cybersécurité. » explique Arnaud Hess. Mon niveau de sécurité (prévention/détection/réaction) est-il suffisant face à la menace actuelle ? Est-ce que les solutions déployées sont efficaces ? Est-il possible de faire mieux avec le budget alloué ? Apporter des réponses à ces questions pourtant simples est complexe. 

  • Le modèle "As a Service" offre cette visibilité et permet aux entreprises d'accéder à des services clé en main et accessibles à bien plus d'entreprises. Pour atteindre un niveau de sécurité comparable, celles-ci devraient recruter beaucoup plus de personnes notamment pour travailler en 24/7 et celles-ci peuvent même demander à leur prestataire de démontrer le ROI de leur offre d'externalisation de la sécurité. 

   Arnaud Hess, Advens

Les entreprises privilégient aujourd'hui une approche forfaitaire sans coûts cachés, et l'approche "As a Service" leur donne accès à une facturation plus simple, plus prédictible et donc une maîtrise des coûts dans la durée. Cette approche n'est pas pour autant un carcan. « Si on prend le domaine de la détection, il n'y a pas de limite supérieure dans nos contrats quant au nombre d'incidents traités. Si l'entreprise fait face à une attaque majeure, les incidents sont bien évidemment tous traités. L'idée est bien de mettre en place un catalogue de services dans lequel l'entreprise peut choisir d'activer des services complémentaires si elle juge utile de le faire, mais l'activité forfaitaire suit quant à elle les évolutions même si volume d’attaque augmente. Ainsi, 100% des contrats de SOC signés avec nos clients n'ont aucun avenant sur toute leur durée pour un même service et un même périmètre. L'entreprise a toujours la possibilité de faire évoluer le périmètre couvert par une extension de services au travers de notre catalogue. »

Les équipes de sécurité doivent passer à l'hybride

Externaliser auprès de tiers des processus aussi sensibles que la cybersécurité demande une organisation adaptée afin que les interactions entre l'équipe interne et les prestataires soient efficaces, notamment dans des contextes d'organisation parfois complexes. « La rédaction des processus est un moyen de bien définir le rôle de chacun dans le contrat d'externalisation » explique Arnaud Hess. « Il convient de définir ce que nous appelons un pacte de communication avec l'entreprise, c'est-à-dire formaliser précisément la façon dont on va interagir avec elle au quotidien, savoir qui on va appeler en cas d'incident de sécurité avéré, par quels moyens de communication, formaliser une matrice d'escalade en 24/7. » Dans les contextes les plus complexes, le dispositif mis en place implique la présence de personnels du prestataire sur site. Cette organisation "hybride" permet à l'équipe du prestataire d'avoir un ou plusieurs relais dans l'entreprise et ainsi réagir plus rapidement en cas d'incident. Ces collaborateurs, baptisés Service Delivery Managers, sont positionnés chez le client et sont directement au contact des métiers. Ils constituent une véritable charnière opérationnelle avec le MSSP, facilitant la compréhension du contexte client et la fluidification des échanges.

Ce mode d'organisation hybride est un moyen de rapprocher équipes internes et équipes des MSSP mais c'est à chaque RSSI de définir quelle doit être la limite entre ce qui doit être conservé en interne et ce qui peut être externalisé. Cette limite dépend directement de la stratégie de chaque entreprise : « Il est des sujets sur lesquels il faut absolument garder une maîtrise interne, car ils seront au cœur des systèmes d’information de demain. » estime Stéphane Joguet. « C'est notamment le cas de la gestion des identités, car dans une approche "Zero Trust", il faut absolument garder le contrôle sur qui accéde au système d’information, comment on accorde des droits à un utilisateur, comment on accorde des droits privilégiés à certains autres. Cette gestion d’identité et d’habilitations doit être totalement maîtrisée par l’équipe de sécurité interne, même si le service technique peut être opéré à l’extérieur. »

Pour Sebastian Lopez, il n'y a pas nécessairement de domaines réservés qui ne peuvent être externalisés : « Nous avons élaboré notre stratégie d'externalisation assez progressivement. Au début, nous étions très prudents vis-à-vis de la confidentialité des données et, d'année en année, nous avons muri sur la question. Par essence toutes les données traitées par ces centres de services sont sensibles et aujourd'hui, j'estime qu'il n'y a pas nécessairement de périmètre à exclure de ce type d'approche. Néanmoins, il est absolument  nécessaire de cadrer juridiquement la prestation de manière précise. »

  • Nous travaillons avec Advens notamment sur notre SOC opéré, ce qui nous donne accès à un service en 24/7 que ne nous permet pas notre organisation interne. L'approche nous confère une agilité que nous ne serions pas capables de délivrer à moyens constants.

   Sebastian Lopez, RSSI du groupement Système U

Outre les grands projets d'externalisation, le modèle "As a Service" s'adresse à toutes les entreprises, bien évidemment les grands comptes et les entreprises de taille moyenne, mais aussi les PME. Les petites entreprises sont celles qui ont généralement le moins de moyens humains et financiers à investir dans la cybersécurité et pourtant celles-ci sont tout autant visées que les grandes entreprises. Une récente enquête de la confédération des PME (CPME) montre que 4 entreprises françaises de moins de 50 salariés sur 10 ont subi une ou plusieurs attaques informatiques or celles-ci sont les moins bien armées à se défendre. « Les PME n'ont bien souvent pas les moyens matériels d'organiser une sécurité en 24/7 et ces contrats d'externalisation vont les soulager pour partie de la problématique cybersécurité » conclut Arnaud Hess.

 

Benjamin Leroux, Innovation & Marketing, Advens