Réponse à incident : pourquoi prendre un contrat « retainer »

Ce n’est certainement pas sans intérêt que les prestataires de services de réponse à incident proposent des offres dites retainers : celles-ci leurs apportent l’assurance de revenus récurrents, même en dehors des interventions. Mais les entreprises peuvent également y trouver des bénéfices. A elles de faire la part des choses entre le risque qu’elles estiment courir et le coût de tels services.

Mais pour être bien préparé à répondre à un incident de sécurité, Vincent Nguyen, directeur technique du Cert de Wavestone, estime qu’il est nécessaire de « disposer d’un contrat de réaction sur incident avec un fournisseur spécialisé : l’ensemble des phases contractuelles doit déjà être traité pour ne pas perdre de temps le jour d’un déclenchement ».

Laurent Maréchal, spécialiste solutions Europe du Sud chez Intel Security, recommande la même chose, « de façon à anticiper les aspects juridiques et commerciaux » pour ne se concentrer que sur l’incident et son traitement. D’autant plus, relève-t-il, qu’il est essentiel de « ne pas laisser le temps s’écouler sans prendre des mesures efficaces nécessaires ; les premières 24 heures d’une réponse à incident sont cruciales ».

Chez SecureWorks, Eric Soares, précise qu’un contrat de type retainer « prévoit un nombre d’heures prédéfinies utilisables dans l’année. En cas d’incident le prestataire peut intervenir dans un délai très court car le cadre contractuel est présent et il peut donc engager ses équipes dès l’alerte lancée ».

David Grout, directeur technique de FireEye pour l’Europe du Sud, relève de son côté que souscrire à un tel contrat « permet de cadrer avant même que cela arrive la potentielle prestation de réponse à incident ».

Le coût et les prestations incluses dans ces offres varient considérablement. David Grout souligne que, chez FireEye, l’offre de premier niveau ne coûte rien à l’avance. Mais elle permet de négocier les tarifs et conditions de service pour les interventions de Mandiant : « le niveau 1 n'est soumis à aucun engagement financier ni coût annuel minimal ». La facturation n’intervient que lors d’un recours aux services. Mais là, la prestation n’est assurée qu’en mode best effort, à savoir suivant une « obligation de moyens, en fonction des capacités disponibles ». On retrouve ce type d’approche chez Symantec, avec son offre retainer dite « standard ».

Pour obtenir mieux, et notamment des délais d’intervention garantis ou encore un forfait d’heures prépayées, il convient de mettre la main à la poche. Ce n’est pas forcément une mauvaise chose… En 2013, NTT Security relevait des exemples d’entreprises amenées à dépenser 6500 $ par heure pour répondre à un incident, soulignant au passage que « c’est probablement un petit montant dans certains cas ». Sans ambages, Rick Holland soulignait quant à lui en septembre 2015, alors qu’il était chez Forrester, qu’un tarif horaire de l’ordre de 200 $ correspond « généralement » à de l’entrée de gamme : « la réponse à incident est un domaine où l’on en a pour son argent ».

Dans une étude commandée par HP, l’institut Ponemon étudiait quant à lui à l’automne dernier les coûts de la cybercriminalité. Pour un verdict douloureux : « le nombre moyen de jours pour répondre à une cyberattaque est de 46, avec un coût moyen par jour de 21 155 $, soit un coût total de 973 130 $ pour une période de remédiation de 46 jours ». Les incidents liés à une malveillance interne seraient ceux qui prennent le plus de temps à résoudre : 54,4 jours en moyenne, contre 5,8 jours pour une contamination par logiciel malveillant, mais près de 22 jours pour une compromission par hameçonnage ou ingénierie sociale. De quoi souligner, si c’était nécessaire, l’importance d’une solide analyse de risque.