Comment améliorer la sécurité de son SI avec un SOC managé ?
3 juin 2021
5 minutes
En tant que DSI, RSSI ou encore responsable de la sécurité du système d'information de votre organisation, découvrez comment un service managé de SOC (Security Operating Center) vous aidera à améliorer votre cybersécurité en réduisant les risques de cyberattaques et en détectant au plus tôt les intrusions tout en maîtrisant les coûts.
UN SOC MANAGÉ POUR CONTRER LA COMPLEXIFICATION DES ATTAQUES
Pour les responsables informatiques, les RSSI, les responsables de la stratégie de cybersécurité et les responsables de la gestion des risques, la protection contre les cyberattaques devient chaque jour plus complexe.
Problème 1 : un système d'information toujours plus étendu
Le système d'information est de plus en plus étendu, le rendant difficile à protéger : la migration d'une partie du système d'information dans un voire plusieurs clouds publics augmente la surface d'attaque. Selon le rapport "Cyber Resilient Organization Report 2020” d'IBM, le nombre moyen de solutions ou technologies de sécurité déployées par organisation est de 45. À chaque nouvelle méthode d'attaque, une nouvelle solution de protection apparaît. On note que l'utilisation excessive d'outils de sécurité décorrélés les uns des autres crée des environnements complexes, ce qui peut nuire à l'efficacité.
Un trop grand nombre de solutions et de technologies de sécurité va impacter de manière négative la capacité des organisations à détecter, prévenir, contenir et répondre à un incident de cybersécurité. En effet, les entreprises disposant de plus de 50 outils de ce type se classent 8% plus bas dans la capacité de détecter une cyberattaque et 7% plus bas dans la capacité de répondre à une attaque par rapport aux entreprises utilisant moins de 50 outils de sécurité.
Solution : Un service de SOC managé propose de corréler les informations provenant de l'ensemble de ces outils. Informés de l'évolution du système d'information, les experts du SOC managé adaptent les cas d'usages aux outils et à l'organisation du SI pour s'affranchir des faux-positifs.
Problème 2 : Des moyens importants pour les cyber-attaquants
Les cyber-attaquants utilisent des méthodes d'attaques de plus en plus sophistiquées car ils ont de plus en plus de moyens. Ils ont fait évoluer leurs capacités et leurs méthodes d'intrusion, ils tirent profit des vulnérabilités des systèmes et ils profitent des lacunes organisationnelles des structures. On a beaucoup entendu parler en fin d’année 2020, du malware Sunburst qui a impacté les clients de SolarWinds. Il s’agit d’une attaque de type « supply chain » : cela signifie qu’elle vise à infiltrer un système en s’attaquant d’abord à des fournisseurs ou des partenaires interconnectés avec la cible finale, mais moins sécurisés. Ces attaques par « supply chain » jugées anecdotiques il y a peu de temps encore, doivent maintenant être considérées avec attention.
Solution : Un service de SOC managé permet de mettre en place des outils qui détectent les points faibles dans la sécurité du SI. Des recommandations sont faites pour durcir ces points faibles (si cela est possible) ou pour accroître leur surveillance, afin de détecter au plus tôt une éventuelle intrusion.
UN SOC MANAGÉ POUR UNE DÉTECTION EFFICACE
La question que se pose tout DSI n'est plus "est-ce que mon système d'information va être touché par une cyberattaque ?" mais "quand mon système d'information va-t-il être touché par une cyberattaque ?" et “comment vais-je faire face aux attaques ?”.
Problème 1 : Les temps entre l'intrusion et la détection sont trop longs
Dans une étude de Wavestone sur les Cyberattaques en France parue en octobre 2020, le temps moyen entre une intrusion et sa détection est de 94 jours. De même, l'enquête sur la cyberattaque subie par Solarwinds semble démontrer que les hackers ont pénétré l'environnement de la société dès le début de l'année 2019 soit quasiment 2 ans avant sa détection.
Le temps entre l'intrusion et la détection est encore trop long. Il est de vitale importance de réduire ce temps et réagir au plus tôt afin de minimiser les impacts de l'attaque.
Problème 2 : Les coûts de remédiation suite à une cyberattaque flambent
Selon l'étude sur l'« État des ransomwares 2021 », réalisée avec le cabinet Vanson Bourne, en France, les coûts moyens de remédiation faisant suite à une cyber-attaque par rançongiciel (incluant les temps d'arrêt, les commandes perdues, les coûts opérationnels et de nombreux autres paramètres) sont passés de 390 000 euros à 921 000 euros en un an, soit une augmentation de 236%. La réduction du temps entre l'intrusion et la détection permet de réduire ces coûts en limitant les dégâts causés par l'attaque.
Solution : Utiliser un SOC managé pour améliorer la détection
L’offre SOC managé a été conçue justement pour apporter une réponse efficace aux points vus précédemment : réduire les temps de détection des attaques pour minimiser les dégâts et diminuer les coûts de celles-ci.
Quel est son fonctionnement ?
Un service de SOC managé va mettre en place un ensemble de dispositifs (SIEM, sondes IDS, outil de gestion des vulnérabilités, threat intelligence, honeypots, canaris...) dont le but est de détecter les menaces, les comportements anormaux et les éventuelles intrusions… On l'a vu, la multiplication de solutions de sécurité n'aide pas à résoudre le problème. Un SOC managé permet d'améliorer la visibilité et de s'adapter aux évolutions du système d'information afin de ne pas crouler sous un flot d'alertes hors de contrôle.
UN SOC MANAGÉ AVEC DES RESSOURCES QUALIFIÉES ET MUTUALISÉES
Problème : Une pénurie de compétences en cybersécurité
De nombreuses études publiées mentionnent une pénurie de personnel en cybersécurité. Cela affecte la capacité des entreprises à gérer la sécurité de réseaux d'informations toujours plus complexes. Ce déficit en compétences informatiques n'est pas un problème uniquement régional ou national, mais bien mondial. Et ce problème devrait s'accentuer dans les années à venir. Il touche tout type d'entreprise : public, privé, petite ou grande structure.
Les personnes en charge de la sécurité du système d'information n'ont pas toujours la formation adaptée pour détecter les attaques complexes. Selon l'étude sur l' « État des ransomwares 2021 », réalisée avec le cabinet Vanson Bourne, plus de 4 répondants français sur 10 (44%) estiment que ces cyberattaques sont désormais trop sophistiquées pour que leurs équipes IT puissent y faire face par elles-mêmes (54% sur l'ensemble des pays interrogés).
Il faut aussi mentionner que les ressources réellement expertes, quand elles sont disponibles, ne sont pas toujours compatibles avec les budgets des entreprises.
Solution : Mutualiser les ressources avec un service de SOC managé
Souscrire à un service externe de SOC managé permet de bénéficier :
- d'une panoplie d'outils performants ;
- de compétences certifiées ;
- de l'expérience d'une équipe d'ingénieurs en cyber sécurité au prix le plus juste.
En effet les ressources et les outils sont mutualisés permettant un coût en adéquation avec vos besoins réels. Cette équipe experte dans la détection d'intrusion et les mécanismes de cyberattaques vous fait bénéficier de ces apprentissages et des évolutions du secteur.
Ce qu'il faut retenir :
Souscrire à un service de SOC managé permet d'améliorer sa posture de sécurité en réduisant les risques de cyber-attaques, en détectant les intrusions au plus tôt tout en maîtrisant les coûts face à la pénurie de ressources dans le domaine de la cybersécurité.