L'importance de l'humain dans la "SecaaS Factory"

mySOC & Security-as-a-Service
L'importance de l'humain dans la

Sans technologie, la cybersécurité n'est rien. Le système d'information doit disposer des briques de sécurité pour se protéger des attaques extérieures, des fuites de donnèes, mais sans l'humain, cet édifice n'est rien. Toute l'efficacité d'un SOC (Security Operation Center) repose sur l'expertise et la réactivité de ses analystes et c'est la raison pour laquelle l'humain est au cœur des valeurs fondatrices d’Advens. Pour Eric Arnoult, responsable de la Blue Team d'Advens, le slogan "Advens for People and Planet" n'a rien de théorique : "Notre valeur ajoutée, ce n'est pas la cybersécurité en tant que telle, ce sont les hommes. Quand une entreprise fait face à un incident de sécurité, c'est un homme qu'elle souhaite avoir au bout du fil" explique. "C'est bien en cela que la dimension humaine de notre "SecaaS Factory" est aussi importante que la technologie. Outre la maîtrise de la technologie, notre réelle valeur ajoutée réside dans nos collaborateurs."

De l'humain dans la relation client

Tranchant avec les pratiques habituelles des opérateurs de SOC qui mettent à la disposition de leurs clients une adresse email pour des demandes qui sont traitées par le premier analyste disponible, Advens a fait le choix de mettre en place un dispositif assez particulier dans le secteur de la cybersécurité. L’entreprise a toujours face à elle un même duo composé d'un chef de projet en charge de la relation avec le client et un analyste référent. Ceux-ci restent le point de contact privilégié du client avec Advens. Ce dispositif permet de s'affranchir du phénomène habituel des Service Desk où on tombe toujours sur un analyste différent et chaque interlocuteur que l'on parvient à avoir en ligne n’a jamais le contexte client exact et pose les mêmes questions à chaque appel.

Ce souci de l'humain se retrouve tout autant dans les processus d'alerte. "Dès que nous constatons une menace avérée pour notre client, la première étape consiste à contacter le client pour lui expliquer l’incident de sécurité" explique Eric Arnoult. "L'analyste doit absolument être capable de traduire dans un langage compréhensible les éléments techniques dont il dispose sur l'incident, et bien faire comprendre à son contact le risque encouru dans des termes métier. Dans ce type de situations, la dimension humaine est capitale car toute la finalité du travail de l’analyse repose sur cette relation de confiance qu'il va instaurer avec son contact dans l’entreprise." Le rôle de l’analyste est de traiter des alertes de sécurité et de maîtriser les dimensions techniques de cet incident, mais la finalité de leur travail reste avant tout d’améliorer le niveau de sécurité du système d’information du client. "Nous sommes au service du client et nous ne travaillons pas pour la beauté de l’art !" ajoute l'expert.

Rechercher les synergies entre l'IA et les talents des analystes

Beaucoup a déjà été dit et écrit sur la montée en puissance des algorithmes d'IA dans le domaine de la cybersécurité. C'est aujourd'hui une réalité dans les SOC et notamment celui d'Advens avec des résultats plutôt éloquents : les modèles de Machine Learning permettent de détecter des attaques complexes qu’il n’aurait pas été possible de détecter sans l’intelligence artificielle, on considère aujourd’hui que 25% des alertes remontées par le système proviennent d’un de nos algorithmes de machine learning. En outre, le Machine Learning est un atout en termes de productivité. Cette nouvelle approche permet de réduire le taux de faux positifs, ces alertes lancées alors que l'attaque n'est pas réelle. "Le taux de faux positifs est réduit de 30% lorsqu'il s'agit d'une alerte déclenchée par un modèle de Machine Learning" confie Eric Arnoult. "En outre, les alertes générées par ces modèles d'IA ont bien plus simples à qualifier par les analystes." Le responsable de la Blue Team d'Advens estime que le temps d'analyse est globalement divisé par deux lorsque l'alerte est déclenchée par un IA du fait d'un travail préparatoire bien supérieur. "Nous mettons plus d'intelligence dans l'alerte lorsque celle-ci est générée par nos algorithmes. Elle est plus simple à comprendre par l'analyste, ce qui accélère l'analyse et dégage du temps pour les échanges avec les clients. C'est aussi ce qui fait que nos analystes ne s'ennuient jamais et un faible nombre de faux positifs participe à la réduction l'effet d'usure qui frappe bon nombre d'analystes en CyberSOC."

Plutôt qu'opposer IA et analystes, Advens mise sur les synergies, intégrant nos Data Scientists dans l'équipe des analystes, plutôt que faire développer les modèles d'IA par une cellule R&D. Cette intégration au plus près des analystes permet au data Scientist de bien comprendre le contexte d’utilisation des modèles qu'il imagine, car une IA sans contexte ne sert à rien. "C’est assez particulier d’avoir intégré nos Data Scientist au cœur de l'équipe d’analystes de sécurité, mais c’est avant tout dans un objectif de recherche d’efficacité. L’IA n’a rien d’une technologie magique en soi, et la mise au point d’un modèle de Machine Learning nécessite beaucoup d’aller-retour entre le Data Scientist et les analystes."." Contrairement aux SOC classiques où il faut un nombre très important d'analystes de niveau 1 pour traiter de très grands volumes d'alertes, puis faire remonter celles qui sont significatives vers le niveau 2, l'offre SecaaS d'Advens fonctionne selon une pyramide inversée, avec beaucoup moins de traitements rébarbatifs à réaliser en niveau 1, notamment grâce à l'automatisation et l'IA et d'avantage d'experts de niveaux 2 et 3 pouvant interagir avec le client pour lever ces alertes ou, le cas échéant, lancer une intervention.

Concilier expertise et diversité dans les équipes

Une autre spécificité d'Advens est de n'embaucher que des ingénieurs spécialisés en cybersécurité pour assurer les niveaux 1 et 2 de son offre SecaaS. Rechercher un haut niveau d'expertise dès le niveau 1 reste assez unique parmi les opérateurs de CyberSOC et cet investissement sur l'humain permet à Advens d'afficher un taux positif de l'ordre de 6% à 7% vu du client, ce qui est sans doute l'un des meilleurs taux du marché.

Si les ingénieurs de production qui travaillent pour les niveaux 1 et 2 sont tous des ingénieurs spécialisés en cybersécurité, Advens cultive dans ses équipes des compétences extrêmement diverses avec des profils beaucoup plus diversifiés pour les niveaux 3 et Data Science. "Je suis moi-même issu du monde de la cryptographie, et notre responsable Data Scientist est un ancien chercheur en astrophysique" commente Eric Arnoult. On trouve ainsi dans les équipes d'Advens, des experts en reverse engineering rompus à l'analyse du code malicieux, mais aussi des ingénieurs issus du monde applicatif. Ceux-ci sont capables d'analyser les logs de fonctionnement générées par les applications, une problématique de plus en plus importante à l'heure de la transformation digitale des entreprises. Enfin, les analystes de niveau 3 mènent des activités d'audit et de Pentest (tests de pénétration).

Maintenir un esprit de challenge dans les équipes

Les compétences en cybersécurité sont réputées rares et difficiles à fidéliser, notamment les analystes de niveau 1 qui doivent traiter les alertes à longueur d'année. Pour leur proposer des tâches plus diversifiées à ces analystes, Advens les amène à intervenir aussi sur la partie prévention des attaques. "Nous affectons régulièrement nos analystes sur des projets d'analyse de vulnérabilités (Threat Hunting), sur de l'analyse de logs (Forensic), etc. C'est une façon de leur donner une bouffée d'air. Cela permet d'offrir aux analystes des tâches plus diversifiées et étendre leur panel de compétences au-delà de l'analyse des incidents." En outre, des parcours de formation internes afin de pouvoir faire évoluer nos niveaux 1 vers le niveau 2 et 3.

Mais le responsable le reconnaît, ce qui fidélise le plus ces profils très expérimentés, c'est la qualité des missions qui leur sont proposées. ""Nous engrangeons de plus en plus de gros contrats, que ce soit dans le domaine du scan de vulnérabilité (parc >100ku) ou lié au succès de notre offre d’EDR « as a service » (parc > 100ku), ce qui représente les challenges dont les hauts potentiels sont les plus friandsSur l’offre EDR, Advens est en déploiement sur un parc de >100ku, et outre le maintien en conditions opérationnelles de ce parc et l'analyse des alertes remontées par le logiciel, ce type de projet étend le rôle des analystes à la remédiation en direct pour juguler les attaques. Une nouvelle mission passionnante pour un ingénieur en sécurité.

De janvier 2016 à janvier 2020, la Blue Team d'Eric Arnoult n'a pas eue à déplorer de départs, preuve que les challenges proposés aux analystes répondent à leurs attentes. Entreprise à taille humaine et à l'écoute de ses collaborateurs, Advens cultive sa différence face aux grands acteurs de la cybersécurité. Le pure player continue d'accélérer son développement avec de gros contrats signés et des embauches à la clé. 4 postes sont ouverts dans la Blue Team d'Advens et les challenges proposés aux candidats seront nombreux !

Benjamin Leroux, Innovation & Marketing, Advens