Les entreprises sont à présent largement sensibilisées au risque d’une cyberattaque, mais elles ne connaissent toujours pas assez la nature de ce risque. Voilà pourquoi les cyberattaques ont continué d’augmenter de 15% durant ces douze derniers mois, malgré une pluie d’articles de presse qui avaient largement prévenu les victimes. Les entreprises ont compris qu’elles devaient mettre en place des solutions de sécurité, mais elles ne savent pas surveiller ce que ces solutions remontent. Leur faille est l’inexpérience.
En effet, malgré une automatisation de plus en plus importante, les outils dits de « Detect & Response » restent une aide, mais ils ne font pas le travail tous seuls. Ils doivent être opérés par des humains, avec de l’expertise, avec un bagage expert pour prendre de bonnes décisions et apporter des réponses adaptées.
Et c’est là que le bât blesse, car les entreprises n’ont pas ces ressources en interne. La raison est double. D’une part, il n’y a pas suffisamment de profils qualifiés sur le marché de l’emploi. La pénurie de compétences en la matière ne concerne pas que la France, elle est globale. D’autre part, il y a une problématique économique. Hormis les grands groupes et certaines sociétés stratégiques, une entreprise n’a que rarement les moyens de dédier ne serait-ce qu’une personne à ces tâches.
La mutualisation pour résoudre l’inexpérience
La solution consiste donc à externaliser la surveillance des menaces. Les prestataires dédiés à ce domaine sont les MSSP (Managed Security Service Provider). L’option de travailler avec un MSSP est économiquement et techniquement intéressante car ses équipes mutualisent la supervision de plusieurs clients à la fois.
Techniquement, les menaces sont les mêmes pour tout le monde. Les cyber-assaillants se sont industrialisés, ils ciblent rarement une entreprise en particulier et exploitent des vulnérabilités qui existent chez le plus grand nombre. La connaissance transversale des failles de sécurité chez les entreprises—et donc des menaces communes qui pèsent sur elles—fait toute la qualité des prestataires MSSP.
Battons tout de suite en brèche une crainte légitime : non, confier la surveillance de son système d’information à un tiers ne pose pas un autre problème de sécurité. Les sondes que les MSSP utilisent pour extraire des métriques d’un SI ne récupèrent pas les informations confidentielles, seulement les données de fonctionnement des équipements, les journaux de leurs événements, leurs connexions horodatées. Ces éléments portent tous les signaux faibles d’une attaque. C’est là la matière essentielle d’une protection efficace. Après une attaque, lors d’une analyse post-mortem, les entreprises se rendent en effet compte que ces signaux faibles étaient dans leur SI depuis plusieurs mois.
Externaliser, mais à bon escient
Il suffirait donc de confier la supervision de sécurité de son SI à un MSSP et la question de la cybersécurité serait entendue ? Non, l’histoire ne s’arrête pas là. Une protection efficace détecte la menace le plus tôt possible, elle permet de savoir quelles solutions correctives déployer dans les plus brefs délais, mais l’attaque n’est pas forcément évitée. Le risque zéro est impossible. Aucun prestataire n’ira d’ailleurs engager sa responsabilité d’empêcher absolument toute cyberattaque.
L’attaque peut survenir malgré tout et l’enjeu est alors d’empêcher son impact négatif. Pour ce faire, il faut agir sans tarder sur le SI. Problème, savoir intervenir sur le site 24h/24, investiguer, mettre en place les mesures de réponses à incident n’est pas inné. Les entreprises doivent être préparées à suivre un scénario de reprise d’activité après incident.
Externaliser la totalité ou une partie de cette reprise après incident dépend de la sensibilité de la DSI quant à la maîtrise de son système d’information. Cela dit, trouver un prestataire qui pourrait accompagner une entreprise dans la globalité des actions techniques à mener est difficile. En effet, les incidents de sécurité vont avoir des impacts sur le réseau, sur les serveurs, sur les sauvegardes, tout autant de domaines qui impliquent des compétences très différentes.
L’expertise à aller chercher à l’extérieur est celle de savoir synchroniser les équipes internes face à l’incident. Cela fonctionne si chaque équipe a été entraînée aux dommages causés par une cyberattaque. Cet entraînement passe notamment par des pentests (de l’anglais Penetration Testing), des tests d’intrusion menés là-aussi par des prestataires spécialisés.
Ces tests mettent en valeur des failles auxquelles personne n’avait pensé. Elles résultent de la complexité inédite de systèmes d’information de plus en plus hétérogènes, hybrides, avec des services tiers et des fonctions dans le cloud. Les pentests permettent aux entreprises de savoir où elles sont vulnérables et comment leurs équipes peuvent limiter ensemble les conséquences d’une attaque.
En somme, passer par un prestataire externe permet de contourner la difficulté à trouver sur le marché de l’emploi des profils avec l’expertise nécessaire pour réagir en temps voulu. Cela s’avère aussi économiquement plus intéressant puisqu’un prestataire mutualise les outils et les ressources humaines, ce qui lui permet de proposer des tarifs optimisés. En revanche, si ce prestataire va effectivement réduire le risque d’une cyberattaque, certaines peuvent néanmoins aboutir. En parallèle, une entreprise doit donc être entraînée pour réagir, afin de limiter les conséquences désastreuses. Cet entraînement s’appuie aussi sur l’assistance de prestataires.
On le voit, l’intervention à plusieurs niveaux d’un prestataire externe permet de combler l’inexpérience des entreprises face aux risques réels que présentent les cyberattaques. Mais un dernier élément est à prendre en compte : pour que l’équation économique reste favorable, il est intéressant de chercher des offres de service globalisées. Qui mutualisent les humains et les outils, nous l’avons dit, mais aussi qui comprennent à la fois les volets de supervision et de remédiation.
