Warakorn - Fotolia

Les SOC continuent d’afficher une maturité très insuffisante

La nouvelle édition de l’étude de Micro Focus sur les centres opérationnels de sécurité fait encore ressortir un niveau de maturité généralement bien en-deçà de ce qui serait adapté aux menaces actuelles.

La grande majorité des centres opérationnels de sécurité (SOC) échoue à effectivement surveiller les menaces existantes et émergentes. Et pour cause : une large majorité est encore en-deçà du niveau de maturité requis pour cela. C’est la principale conclusion de l’édition 2017 de l’étude réalisée par Micro Focus en s’appuyant sur l’évaluation de 144 SOC répartis dans 33 pays du monde, sur un total de 200 étudiés en profondeur depuis 2008 – et par HPE, avant le rachat d’ArcSight par l’éditeur britannique.

Ces examens se concentrent sur les capacités des organisations concernées à détecter, de manière fiable, les activités malicieuses, et à mettre en œuvre une approche systématique de gestion appropriée des menaces dans quatre catégories différentes : personnes, processus, technologie, et soutien des métiers.

Le modèle de maturité opérationnelle de sécurité (SOMM) est utilisé là pour noter les SOC sur une échelle de 0 à 5 : zéro désigne une approche « incomplète » ; 1 s’applique aux installations répondant aux exigences minimales pour fournir une supervision de la sécurité ; le niveau 3 est celui où les opérations sont « bien définies, évaluées de manière subjective, et flexibles ». Enfin, le niveau 5 correspond à des opérations optimisées pour une amélioration continue.

Le niveau 3 est considéré comme le minimum recommandé. Pudiquement, Micro Focus relève que 25 % des organisations étudiées « travaillent à atteindre les niveaux de maturité recommandés » ou l’ont déjà fait. Pour l’éditeur, cela représente une amélioration de 7 % par rapport aux résultats de l’an passé.

Pour mémoire, l’an dernier, HPE indiquait que 82 % des SOC étudiés n’atteignaient pas le niveau 3, et que plus de 26 % des centres examinés étaient encore en-dessous du niveau 1 de maturité. Cette année, ce n’est plus le cas que de 20 %. De quoi laisser à penser que Micro Focus a rencontré beaucoup de bons élèves en 2017. Aujourd’hui, le niveau médian de maturité observé est de 1,42, tous secteurs d’activité confondus.

Le secteur des télécommunications n’est plus bon dernier cette année. Avec un score médian de 1,30, il est passé devant ceux des services financiers, du secteur public, et de la production manufacturière. Le secteur des services continue de caracoler en tête, à 1,87, devant celui de la santé (1,77), le commerce de détail (1,73) ou encore l’énergie (1,64). En Europe continentale, le score médian s’établit à 1,30, comme l’an passé, mais atteint 1,51 dans la région DACH (Allemagne, Autriche, Suisse), contre 1,47 il y a un an. Micro Focus note également une amélioration sensible outre-Manche et au Benelux.

Micro Focus attribue les progrès observés dans le secteur des télécoms par le développement de services de sécurité managés chez les opérateurs. Dans celui du commerce de détail, c’est à l’adoption de solutions de chasse aux menaces, mais aussi d’orchestration, d’automatisation et de réponse à incident qu’il convient d’imputer les améliorations.

Globalement, pour Micro Focus, les SOC continuent de souffrir du manque de ressources humaines qualifiées. Là, le recrutement de profils expérimentés est un défi, mais cela vaut aussi pour la fidélisation des équipes. L’éditeur conseille de chercher à construire des équipes variant les domaines de compétence ainsi que le niveau d’expérience, pour éviter « les conflits et les incohérences », mais aussi disposer de personnes affichant notamment une véritable passion.

Accessoirement, l’éditeur relève que la mise en place d’une structure fonctionnant en 8x5 peut ne pas manquer d’intérêt, par rapport à une organisation opérant en 24x7 : en s’appuyant sur l’automatisation hors heures ouvrées, il est possible de « réduire significativement la complexité et les défis d’un fonctionnement en 24x7 ». Les tâches d’analyse et de réponse sont alors assurées durant les heures d’activité.

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)

Close