SOC : comment améliorer l'expérience des analystes et pourquoi c'est important

Pourquoi l'expérience des analystes est-elle importante au sein du SOC... et au-delà ?

C'est Forrester qui a été le premier à forger le terme « expérience de l'analyste », ou AX. Les analystes Allie Mellen et Jeff Pollard l'ont défini comme « la perception qu'ont les analystes en sécurité de leurs interactions avec un produit, un service ou un processus de sécurité donné, dans le cadre de divers axes de travail ».

Comme ils l'ont souligné, les entreprises comptent sur leurs analystes pour identifier, classer, examiner et contrer les cybermenaces qui font peser un risque considérable sur leurs activités. Or, les outils utilisés au sein du SOC ne reflètent souvent pas l'importance de leur travail. Selon eux, le cloisonnement des données, les intégrations peu fluides et les interfaces utilisateur peu conviviales rendent le travail des analystes inutilement difficile et pénible.

« Les équipes de sécurité se retrouvent régulièrement contraintes d’adopter une approche réactive en raison d’un nombre excessif d’alertes, d’un manque de temps et d’une infrastructure de sécurité fragmentée, ce qui entraîne une augmentation du stress et de l’épuisement professionnel chez les employés », confirme Nicole Carignan, responsable de la sécurité des systèmes d’information (CISO) sur le terrain et vice-présidente senior chargée de la stratégie en matière de sécurité et d’IA chez Darktrace.

Selon les experts et les professionnels du secteur, négliger l'expérience des analystes de sécurité au sein du SOC peut avoir les conséquences suivantes.

Fuite des talents

La plupart des RSSI, voire tous, ont été confrontés à un manque de personnel au sein du SOC — un problème chronique que le manque d’expérience des analystes ne fait qu’aggraver. « De nombreuses entreprises peinent à offrir une bonne expérience aux analystes, ce qui conduit ces derniers à s’épuiser ou à chercher un poste ailleurs », selon Allie Mellen.

Lorsque des analystes mécontents finissent inévitablement par démissionner, les autres membres de l'équipe se retrouvent avec une charge de travail plus lourde, ce qui aggrave encore les problèmes et crée un cercle vicieux.

Aggravation des lacunes en matière de couverture

Les conséquences de la perte de talents s'aggravent avec le temps. Lorsqu'une organisation perd un analyste qualifié, elle perd également des mois d'expertise sectorielle et de mémoire musculaire, relève Heath Renfrow, cofondateur et responsable de la sécurité des systèmes d'information (RSSI) chez Fenix24, une société spécialisée dans la reprise après sinistre informatique, basée à Chattanooga, dans le Tennessee.

« Ce roulement de personnel entraîne des lacunes dans la couverture, allonge les délais d’intervention et accroît les risques lors d’incidents critiques », ajoute Heath Renfrow : « à grande échelle, cela devient un cercle vicieux : les équipes surchargées commettent davantage d’erreurs, ce qui accroît la pression, ce qui entraîne à son tour une augmentation du taux de départs ».

Pour beaucoup, le poids émotionnel et mental devient rapidement insupportable, selon Tom Levi, responsable de la sécurité informatique sur le terrain et directeur de la stratégie en matière de cyber-risques chez CYE, une entreprise de cybersécurité basée à Herzliya, en Israël : « lorsque la crainte de commettre une erreur s'ajoute à un manque de personnel, cela devient un travail émotionnellement épuisant qui ne peut être soutenu à long terme ».

Conséquences des incidents

Selon Allie Mellen, une expérience insuffisante des analystes peut entraîner des résultats moins bons lors d'incidents de sécurité : « les analystes qui ne disposent pas des informations nécessaires à leur enquête ne sont pas en mesure de réagir aussi rapidement et efficacement ». En outre, « ils risquent également de passer un temps excessif à traquer les faux positifs, ce qui les empêche d'enquêter sur les véritables incidents ».

Conséquences opérationnelles

Une expérience utilisateur médiocre pour les analystes freine les opérations. Lorsque les analystes doivent composer avec des outils peu pratiques, un excès d'alertes et des problèmes de coordination pour accomplir leur travail, les enquêtes s'en trouvent ralenties et il devient plus difficile d'uniformiser la qualité des dossiers. Cela nuit au moral du personnel et réduit le temps consacré aux tâches proactives, telles que la recherche de menaces.

« De nombreux analystes SOC passent leurs journées à trier une multitude d’alertes peu fiables, à lutter contre des outils bruyants et à travailler en mode réactif », estime Heath Renfrow : «cCette routine génère un sentiment d’impuissance. Les analystes ont l’impression de ne faire que cliquer sur des boutons au lieu de protéger les entreprises ».

Quels sont les éléments qui contribuent à une bonne expérience d'analyste SOC ?

Une mauvaise expérience d'analyste se caractérise par le chaos, l'ennui, la frustration et un sentiment d'inutilité. À l'inverse, une bonne expérience d'analyste présente les caractéristiques suivantes :

• Objectif. Les analystes comprennent pourquoi ils enquêtent sur les alertes, et pas seulement sur quoi ils enquêtent, ainsi que l'importance des résultats des enquêtes du SOC pour l'organisation.
• Contexte. Plutôt que d'être submergés par les faux positifs et le bruit, les analystes travaillent avec des alertes de grande qualité qui leur fournissent le contexte nécessaire pour agir.
• Outils centralisés. Au lieu d'une multitude de systèmes disparates, les outils sont centralisés, ce qui évite aux analystes de devoir constamment passer d'un système à l'autre pour enquêter sur les incidents de sécurité.
• Respect. Les analystes ont le sentiment que leur entreprise, leurs supérieurs et leurs collègues les respectent en tant que professionnels et accordent de l'importance à leur avis.
• Parcours professionnels. Les analystes voient des perspectives claires d'évolution professionnelle, avec des parcours qui ne se limitent pas au tri incessant des alertes.

« Ce qui a fonctionné pour nous, c’est de considérer l’expérience des analystes comme une priorité opérationnelle, et non comme un simple avantage », explique Craig Jones, directeur de la sécurité chez Ontinue, un fournisseur de services de détection et de réponse managés (MDR) présent à Zurich et à Redwood City, en Californie : « nous mettons fortement l’accent sur l’hygiène de la détection, l’ajustement des règles trop sensibles, la correction rapide des faux positifs et le renforcement des critères de qualité afin que les alertes soient accompagnées du contexte nécessaire pour agir ».

Selon Heath Renfrow, Fenix24 a obtenu des résultats tout aussi positifs grâce à une approche en trois volets : réduire le nombre d'alertes superflues afin que les analystes puissent se concentrer sur les problèmes concrets et à forte valeur ajoutée ; confier aux analystes une réelle responsabilité sur les dossiers, afin qu'ils puissent constater comment leur travail permet aux clients de l'entreprise de reprendre leurs activités ; et définir des parcours professionnels clairs qui encouragent le développement des compétences au-delà du simple triage.

Comment les RSSI peuvent améliorer l'expérience des analystes du SOC

Pour améliorer les conditions de travail des analystes de sécurité au sein du SOC, les RSSI devraient envisager les mesures suivantes :

• Impliquez les analystes dans les achats technologiques. « Les RSSI doivent associer les analystes en sécurité au processus de décision d'achat et se fier à leur jugement quant à ce qui sera le plus efficace pour l'équipe », estime Allie Mellen. Ainsi, « dans de nombreux cas, le fonctionnement concret de la technologie comporte des subtilités que les utilisateurs constatent lorsqu'ils utilisent le logiciel au quotidien, mais qui échappent parfois aux autres. Faites confiance à vos utilisateurs et faites des compromis lorsque c'est possible ».
• Investissez dans l'ingénierie des alertes. Donnez la priorité à l'ajustement régulier des règles générant trop d'alertes et à la correction des faux positifs, afin que seules les alertes pertinentes parviennent aux analystes, et non celles dont le signal est faible et qui entraînent une fatigue liée aux alertes. Si le budget le permet, envisagez de moderniser la technologie du SOC afin d'optimiser le signal, de réduire le bruit et d'automatiser les processus répétitifs.
• Reliez les alertes aux risques opérationnels. Aidez les analystes à comprendre les raisons qui sous-tendent les enquêtes en établissant un lien entre les alertes et leur impact sur l'organisation. Attribuez aux alertes des niveaux de priorité opérationnelle, fournissez des informations contextuelles sur les actifs et montrez comment les enquêtes du SOC sont liées à des risques concrets.
• Intégrer les plateformes. Réduire la fragmentation des outils en regroupant les signaux, le contexte et les workflows au sein d'un nombre réduit de systèmes. Les plateformes de sécurité unifiées minimisent le travail manuel consistant à rassembler les données d'enquête provenant d'outils disparates.
• Déployez l'IA et l'automatisation de manière stratégique. L'IA peut aider les entreprises à renforcer leurs effectifs actuels en matière de cybersécurité, à améliorer leur connaissance de la situation et à réduire le délai moyen d'intervention. Mais la mise en œuvre est cruciale, avertit Allie Mellen. Il est important d'évaluer les agents d'IA chargés des enquêtes afin de déterminer leur niveau de précision, ainsi que le type de tests et de validations effectués par le fournisseur pour garantir cette précision.
• Envisagez le recours à des services managés. Les entreprises confrontées à un manque de personnel peuvent envisager d'externaliser la détection et l'analyse des menaces auprès de prestataires de services MDR, ce qui permettrait d'alléger la charge de travail des analystes internes.
• Créez des opportunités d'évolution. Définissez des parcours de carrière clairs pour les analystes SOC, avec une formation continue et la possibilité d'évoluer dans différents domaines de la sécurité. Les aider à acquérir une expertise allant au-delà des tâches de triage de base.
• Donnez la parole aux analystes. Instaurez une culture de la sécurité dans laquelle les analystes peuvent s'exprimer, remettre en question les idées reçues et contribuer à la prise de décision. Apportez un soutien visible de la part de la direction lors des incidents et définissez des attentes raisonnables en matière d'astreinte.

L'amélioration de l'expérience des analystes constitue un investissement stratégique qui génère des retombées mesurables en termes de fidélisation, d'efficacité de la sécurité et de résilience opérationnelle. Selon les experts et les professionnels du secteur, les RSSI qui considèrent une expérience positive des analystes comme un dispositif de sécurité, plutôt que comme un simple avantage social, placent mieux leur organisation en mesure de se défendre contre des menaces de plus en plus sophistiquées.

« Ce qui a fonctionné pour nous, c’est de traiter les analystes comme des professionnels d’élite, et non comme de la main-d’œuvre interchangeable », relate Heath Renfrow : « lorsque l'on se sent en confiance, compétent et utile, les performances s’améliorent et le taux de rotation du personnel diminue ».

Sean Michael Kerner est consultant en informatique, passionné de technologie et bricoleur. Il a déjà installé des réseaux Token Ring, configuré NetWare et est connu pour avoir compilé son propre noyau Linux. Il conseille des entreprises du secteur et des médias sur des questions technologiques.