Pourquoi votre entreprise a besoin d’un service SOC

Qu’est-ce que le SOCaaS ?

Le terme SOCaaS désigne essentiellement un type de service de sécurité managé (MSS) basé sur le cloud, construit sur une plateforme SaaS (Software-as-a-Service) multitenant, et qui va au-delà des offres de services de sécurité managés (MSS) des acteurs traditionnels du domaine, les MSSP.

Comme les MSS, le SOCaaS recouvre la surveillance et la gestion des systèmes de détection des intrusions (IDS), des pare-feu, des systèmes de protection des hôtes de l’infrastructure et de la messagerie, des réseaux privés virtuels (VPN), ou encore des systèmes de détection et de réponse sur les postes de travail et les serveurs (EDR). Mais le SOCaaS va plus loin et fournit également :

• L’accès à une équipe d’analystes pour résoudre chaque alerte, identifier et analyser les indicateurs de compromission (IoC), et analyser et répondre aux attaques pour minimiser l’impact des incidents de sécurité.
• Une assistance pour optimiser les capacités de protection, de détection et de réponse d’une organisation par le biais d’une évaluation et de rapports continus, avec en prime des conseils sur les stratégies et les politiques de sécurité.

La SOCaaS recouvre ainsi des services généralement apportés par solutions de détection et de réponse administrées (MDR) et peut être considérée comme une évolution des MSS et des MDR.

Le terme SOCaaS a tendance à être privilégié par les nouveaux fournisseurs de services, mais les organisations plus anciennes ont tendance à offrir des services qui répondent à la définition du SOCaaS dans le cadre de leurs offres MDR. Il est donc important pour les organisations utilisatrices, de se concentrer sur les avantages des services répondant à la définition de SOCaaS, plutôt que de s’inquiéter de savoir si ces services sont désignés ainsi ou non.

Avec une demande croissante pour une capacité de détection et de réponse complète, basée sur le cloud et comprenant la surveillance et l’analyse, le terme SOCaaS gagne du terrain en Europe et est susceptible d’émerger comme le terme dominant pour distinguer ces services de MDR classiques et d’autres services de sécurité administrés plus génériques.

Pourquoi les SOCaaS sont-ils nécessaires ?

La tendance à la transformation numérique et à l’adoption des services cloud pour améliorer l’efficacité, accroître l’agilité et réduire les coûts a rapidement et considérablement élargi la surface d’attaque de la plupart des organisations.

Les cyberattaquants ont tiré parti de ces tendances, car la main-d’œuvre devient de plus en plus mobile et distante, accédant aux applications, systèmes, services et données sur site et cloud depuis l’extérieur du réseau de l’entreprise. L’augmentation rapide du nombre de personnes travaillant à domicile du fait de la pandémie de Covid-19 a accéléré cette tendance et renforcé le risque.

Dans un effort pour sécuriser les données sensibles afin de se conformer à un nombre croissant de réglementations sur la protection des données dans le monde, et pour protéger la propriété intellectuelle et d’autres informations métiers sensibles, la plupart des organisations ont investi massivement dans des outils de surveillance de la sécurité sur site et en cloud.

Pour beaucoup d’entre elles, cependant, cela s’est traduit par une avalanche d’alertes de sécurité générées quotidiennement. Pour la plupart de ces organisations, notamment les petites et moyennes entreprises (PME), il est difficile, voire impossible, d’examiner et d’analyser chaque alerte.

L’émergence et l’adoption de SOCaaS ont été motivées par une combinaison de facteurs :

• L’incapacité de la plupart des organisations à faire face à la surcharge d’alertes de sécurité.
• Le désir de tirer davantage de valeur des investissements existants en matière de sécurité.
• La nécessité d’étendre la surveillance de la sécurité pour inclure le cloud, les technologies opérationnelles (OT) et les dispositifs de l’internet des objets (IoT).
• Le désir de s’améliorer en permanence en mesurant l’efficacité des investissements actuels en matière de sécurité.

En outre, les solutions SOCaaS permettent de démontrer aux auditeurs un effort concerté pour couvrir tous les risques de cybersécurité et de disposer d’une capacité de détection et de réponse aux menaces complète et standardisée.

Un autre facteur clé est la pénurie de compétences en matière de cybersécurité qui touche les organisations de toutes tailles. Le SOCaaS permet de tirer parti des avantages d’un centre opérationnel de sécurité (SOC) ou de ressources SOC supplémentaires, sans avoir à trouver et à conserver les personnes possédant les compétences nécessaires. SOCaaS permet également d’augmenter la capacité rapidement et à un coût bien inférieur à celui du maintien d’une capacité supplémentaire en interne.

Quels sont les avantages du SOCaaS ?

Face à un environnement économique, informatique et de cybermenaces, de plus en plus complexe et en évolution rapide, la demande pour le SOCaaS augmente, car la plupart des organisations voient la valeur des avantages offerts. Et cela commence avec ceux-ci :

• Une surveillance et une analyse centralisées, ininterrompues et complètes des systèmes de l’entreprise pour détecter toute activité suspecte, à un coût mensuel ou annuel fixe et prévisible.
• Amélioration des délais et des pratiques de réponse aux incidents.
• Détection plus rapide des événements de sécurité tels que les compromissions et le confinement des menaces.
• Résolution de toutes les alertes pour tirer le meilleur parti des systèmes existants.
• Réduction du coût et de l’impact métier des incidents de sécurité.

Si les MSSP offrent un large éventail de services, ils ont tendance à générer trop d’alertes qui doivent être examinées. Ils ont également tendance à manquer de compétences avancées en matière de détection des menaces et de remédiation, à exiger des contrats fixes et à long terme, et à nécessiter une pile technologique spécifique.

Les fournisseurs de MDR, quant à eux, peuvent assurer une surveillance 24 heures sur 24 et combler le manque de compétences, mais leur dépendance étroite à l’égard de la télémétrie des hôtes entraîne un taux élevé de faux positifs. En outre, les fournisseurs de MDR exigent généralement une pile technologique spécifique, offrent une visibilité limitée et n’incluent pas de mesures correctives.

Pour de nombreuses organisations, notamment les PME, SOCaaS est le seul moyen de :

• Consolider l’ensemble des menaces, outils et systèmes de sécurité en un seul point de contrôle pour traiter et résoudre toutes les alertes.
• Surveiller et répondre à tous les indicateurs de compromission potentielle en analysant toutes les données de sécurité.
• Évaluer l’efficacité des contrôles existants pour identifier comment les améliorer.
• Tirer une valeur supplémentaire des investissements existants en matière de sécurité.

Pris ensemble, ces quatre facteurs distinguent le marché du SOCaaS des offres MSP ou MSSP standard qui, généralement :

• Ne couvrent pas tous les environnements cloud.
• Ne sont pas toutes construites sur des plateformes SaaS basées sur le cloud.
• Ne fournissent pas d’analyses ou de conseils pour développer une posture de sécurité plus efficace.

À quelle taille d’organisation profite le SOCaaS ?

Bien que les exigences des organisations utilisatrices varient largement en fonction de leur taille et de leur secteur d’activité, le SOCaaS a quelque chose à offrir à chacune d’entre elles.

Les micro et petites entreprises ont tendance à avoir besoin du SOCaaS pour remplir toutes les fonctions SOC. Les grandes entreprises utilisent quant à elles plutôt des équipes d’analystes SOCaaS pour compléter les équipes internes, tandis que les organisations de taille moyenne se situent généralement quelque part entre ces deux extrêmes.

Par conséquent, la plupart des fournisseurs de SOCaaS se spécialisent pour se concentrer sur un ou deux de ces sous-segments, et très peu d’entre eux s’adressent également à tous les segments du marché. La tendance à se spécialiser pour répondre aux besoins d’un sous-segment particulier du marché devrait se poursuivre.

Les fournisseurs de SOCaaS qui se concentrent sur les PME affineront leurs offres afin de fournir des informations et des conseils permettant aux organisations de cogérer leur sécurité avec des équipes SOC externes, par exemple, tandis que les fournisseurs qui se concentrent sur les moyennes, grandes et très grandes entreprises développeront leurs capacités en matière de risque, de sécurité de périphérie et de sécurité OT et IoT.

Recommandations

Si le SOCaaS a émergé comme un marché distinct, et si aucune organisation ne peut affirmer qu’elle n’a pas besoin d’une vue centralisée et coordonnée de sa posture de sécurité et de sa capacité à répondre aux menaces et aux incidents, tous les services ne fournissent pas tout à toutes les organisations.

Il est donc important que chaque organisation :

• Reconnaisse l’importance et l’avantage de consolider toutes les menaces, tous les outils et tous les systèmes de sécurité en un seul point de contrôle pour traiter et résoudre toutes les alertes, pour surveiller et répondre à tous les IoC, et pour évaluer l’efficacité des contrôles existants.
• Développe une compréhension approfondie de ses exigences actuelles et futures en matière de surveillance de la cybersécurité et de réponse de la part d’un MSSP.
• Reconnaisse que certaines offres SOCaaS sont mieux adaptées aux organisations d’une taille et d’un secteur d’activité particuliers, certaines offrant un soutien spécialisé aux industries réglementées.
• Identifie les fournisseurs de services qui répondent le mieux à ses besoins, que le service soit appelé SOCaaS ou non.

Les offres SOCaaS telles que définies ci-dessus répondent à des défis importants auxquels la plupart des organisations sont confrontées à l’ère numérique et post-Covid. Elles offrent des avantages aux organisations de toutes tailles et de tous types, et méritent donc d’être prises en considération dans le cadre de toute stratégie de cybersécurité.