La plupart des SOC restent inefficaces

La grande majorité des centres opérationnels de sécurité (SOC) échoue à effectivement surveiller les menaces existantes et émergentes. Et pour cause : huit sur dix sont encore en-deçà du niveau de maturité requis pour cela. C’est la principale conclusion de l’édition 2016 de l’étude réalisée par HPE en s’appuyant sur l’évaluation de 137 SOC répartis dans 31 pays du monde, sur un total de 183 étudiés en profondeur depuis 2008.

C’est examens se sont concentrés sur les capacités des organisations concernées à détecter, de manière fiable, les activités malicieuses, et à mettre en œuvre une approche systématique de gestion appropriée des menaces dans quatre catégories différentes : personnes, processus, technologie, et soutien des métiers.

Le modèle de maturité opérationnelle de sécurité (SOMM) permet de noter les SOC sur une échelle de 0 à 5 : zéro désigne une approche « incomplète » ; 1 s’applique aux installations répondant aux exigences minimales pour fournir une supervision de la sécurité ; le niveau 3 est celui où les opérations sont « bien définies, évaluées de manière subjective, et flexibles ». Enfin, le niveau 5 correspond à des opérations optimisées pour une amélioration continue.

Le niveau 3 est considéré comme le minimum recommandé. Au total, 82 % des SOC étudiés ne l’atteignaient pas. Et plus de 26 % des centres examinés n’atteignaient même pas le niveau 1 de maturité. Et ce n’est pas spécifique à certains secteurs d’activité – même si c’est plus prononcé dans le secteur public – : selon HP, dans presque tous les secteurs, les entreprises ont reçu, sur cinq ans, des scores médians compris entre 1 et 2. Le secteur des télécommunications est arrivé en dernière place avec un score médian de 0,97, contre 1,76 pour le secteur des services, arrivé en tête, devant le monde de la santé (1,66), celui de l’énergie (1,64) ou encore ceux du commerce de détail et des nouvelles technologies (1,55). En Europe continentale, le score médian s’établit à 1,30, mais à 1,47 dans la région DACH (Allemagne, Autriche, Suisse).

HP souligne que le secteur des services a « fait la démonstration d’un fort investissement dans l’alignement des dimensions métiers et personnes du SOMM au cours des 5 dernières années », passant ainsi devant les autres secteurs qui eux « restent principalement concentrés sur leurs déploiements de technologies ». Le secteur de l’énergie apparaît quant à lui multiplier les efforts pour superviser les systèmes de contrôle industriel (ICS/Scada), et cela de manière homogène dans les quatre dimensions du modèle SOMM – métiers, personnes, processus et technologie.

Dans un communiqué, HPE souligne certaines observations susceptibles de surprendre. Ainsi, le groupe relève que les entreprises développent de plus en plus des équipes de « chasseurs » chargées de traquer les menaces inconnues, avec des effets positifs pour celles qui les utilisent pour compléter des capacités du supervision en temps réel existantes, mais négatifs pour celles qui ne misent que là-dessus.

En outre, alors que les SOC continuent de souffrir du manque de ressources humaines qualifiées, l’automatisation gagne du terrain. Et cela notamment au détriment des analystes de premier niveau. Mais « les menaces avancées nécessitent encore l’enquête humaine et l’évaluation des risques a besoin des capacités de raisonnement de l’humain ». D’où l’impératif d’une recherche d’équilibre. Et pour HPE, « l’automatisation complète est un objectif irréaliste ».