beeboys - Fotolia

Le SOC, cet univers impitoyable

Selon l’institut Cyentia, les sources d’insatisfaction sont nombreuses pour les analystes des centres de sécurité opérationnels, largement occupés à des activités démotivantes mais aussi pénalisantes pour l'efficacité réelle de l'organisation.

L’échantillon n’est pas très large, mais les résultats sonnent plutôt juste au regard de nombreux témoignages, à commencer par celui de Laurent Besset, d’I-Tracing, qui, à l’été 2016, se penchait dans nos colonnes sur le travail des analystes de premier niveau dans les centres de sécurité opérationnels (SOC).

L’institut Cyentia a ainsi interrogé 160 analystes de SOC pour le compte de Respond Software, principalement aux Etats-Unis, et chez des fournisseurs de services de sécurité managés, affichant en majorité moins de 4 ans d’expérience.

Plus des trois quarts retirent de leur travail une satisfaction. Mais 30 % ne s’estiment pas respectés – et certains expliquent que peu de personnes, hors du SOC, ont conscience de ce qu’ils font. Près d’un tiers cherchent à changer d’activité, et 45 % assurent que le travail d’analyste de SOC ne correspond pas à leurs attentes. Surtout, la satisfaction apparaît globalement décroître significativement avec l’expérience, tandis que progresse la frustration.

En fait, selon l’institut Cyentia, les sources d’insatisfaction sont nombreuses et ne surprendront guère : salaire, perspectives de carrière, manque de formation, manque d’équipes, caractère fastidieux du travail, ou encore manque de responsabilités et d’autonomie.

Dans la pratique, les activités les plus mentionnées sont le reporting, l’analyse d’événements, et la supervision. Cette dernière est présentée comme la plus chronophage – un quart du temps de travail –, et l’une des moins satisfaisantes, juste devant l’analyse d’événements (18 %).

Les activités d’anticipation – comme la recherche de signaux faibles, ou le test d’intrusion, la configuration de contrôle de sécurité, etc. – sont très minoritairement représentées, surtout en termes de temps consacré.

Mais ces analystes affichent une grande polyvalence : la plupart jonglent plus de trois activités différentes, et un tiers en assure plus de dix. Selon l’institut Cyentia, avec l’expérience, les analystes SOC tendent à être plus généralistes, alors qu’ils apparaissent plus spécialisés en tout début de carrière.  

Des sondés mentionnent leur aspiration à se consacrer plus à des enquêtes sur des systèmes affectés, à la rétro-ingénierie de maliciel, à la chasse aux menaces, ou encore à une charge de travail allégée permettant de dégager plus de temps pour analyser les incidents.

Mais le travail en SOC a ses gratifications. Ainsi, 40 % des sondés ont indiqué avoir débusquer un intrus sur un système d’information tout au plus quelques jours avant de répondre à l’enquête. Pour près de 20 %, c’était l’affaire de semaines. Et pour seulement 12,5 %, il fallait compter en mois.

Restent que les auteurs de l’étude pointent un chiffre troublant : plus de 28 % des sondés ont indiqué ne pas savoir quand ils ont débusqué un intrus pour la dernière, ou encore ne jamais en avoir trouvé. Et l’expérience ne semble pas jouer là de rôle particulier.

L’explication est peut-être à chercher dans les activités attribuées aux analystes : pour les sondés, c’est l’analyse criminalistique qui est le plus susceptible de conduire à identifier un intrus (88,5 %), devant la gestion des outils et des contenus (75 %), la réponse à incident (68,8 %), la formation (66,7 %) ou encore la chasse (idem). La supervision ne compte là que selon 51,1 % des sondés. Et c’est pourtant à cela qu’ils sont amenés à consacrer le plus de temps…

Sans surprise, l’institut Cyentia recommande de « libérer les analystes des tâches leurs plus ennuyeuses pour qu’ils puissent consacrer plus de temps à ce qui conduit à plus d’épanouissement et de productivité, comme la chasse aux menaces et l’investigation », mais également d’investir dans la formation, dans les outils et les informations nécessaires à l’accomplissement de tâches complexes, ou encore à mettre à profit automatisation et orchestration. Et cela notamment parce qu’elles peuvent s’appliquer aux tâches les plus fastidieuses.

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)

Close