Parmi les centaines de fournisseurs potentiels disponibles sur le marché, le processus pour choisir le fournisseur de services de sécurités managés (MSSP) le plus adapté n’est pas une tâche aisée. Cependant, alors que les conseils d’administration et les dirigeants d’entreprise s’intéressent de plus en plus aux dépenses liées à la cybersécurité, il devient essentiel de trouver des critères objectifs d’évaluation pour trouver son fournisseur idéal. Pour ce faire, voici 9 considérations indispensables.
Expert - Olivier Spielmann, Vice President Global Managed Detection & Response Services chez Kudelski Security
N°1 : Identifier son objectif
Le premier point à prendre en compte est l’objectif : êtes-vous davantage préoccupé par les exigences de conformité ou par la capacité à contrer les attaques réelles ? La réalité du paysage actuel des menaces montre la dualité entre conformité et sécurité.
Bien que la majorité des exigences réglementaires aient été promulguées dans l’espoir de renforcer la sécurité, ce n’est pas toujours le cas. Dans le même temps, les tactiques et les techniques des hackeurs évoluent au même rythme que les environnements. En d’autres termes, si vous ne recherchez que la conformité, choisissez le fournisseur le moins cher.
En revanche, si une évaluation minutieuse des risques auxquels votre entreprise est confrontée révèle qu’il serait utile de réduire l’exposition aux cyber-risques, vous devez rechercher le fournisseur le plus à même d’atteindre l’objectif de détection et de réponse aux attaques et donc vous orienter vers des fournisseurs spécialisés dans l’anti-piratage et dans la connaissance des techniques d’attaque.
N°2 : Améliorer la visibilité
Les infrastructures sont plus diverses que jamais, les systèmes sont de plus en plus interconnectés, et les surfaces d’attaques continuent de s’étendre. Par conséquent, la sécurité devient plus difficile à maintenir. Et pourtant, sans la télémétrie et la visibilité de sécurité appropriées, il est impossible de surveiller et de détecter efficacement les menaces.
La meilleure chose à faire est de rechercher un fournisseur capable d’éliminer les « angles morts » pour obtenir une visibilité globale de votre sécurité et des sources de télémétrie les plus importantes, en fonction de vos objectifs et des types d’attaque auxquelles vous allez faire face. L’idéal est de rechercher une organisation qui peut vous aider à obtenir une visibilité sur des environnements multi technologiques tels que : les infrastructures sur site, le cloud, les endpoints, les systèmes de contrôle industriel (ICS) et les technologies opérationnelles (OT).
N°3 : La négociation
Une fois votre fournisseur trouvé, le point d’achoppement peut parfois être financier Le cas échéant, une négociation est presque toujours possible.
Une manière de réduire le coût des services de détection et réponse managées (MDR) est de réduire la portée de la mission. Les capacités les plus précieuses sont axées sur la détection de la réponse. Vous pouvez supprimer du contrat les activités tactiques de niveau inférieur (telles que la gestion des réinitialisations de mot de passe, la gestion des vulnérabilités ou encore la prise en charge d’une solution de gestion des identités et des accès (IAM)) tout en bénéficiant des meilleurs services offerts par le fournisseur. Il est généralement possible de former une personne en interne pour remplir ces fonctions.
N°4 : Ne pas multiplier les fournisseurs
Limiter les coûts en réduisant le champ peut être intéressant mais ne doit pas se faire au détriment de la vigilance. Si vous avez plusieurs fournisseurs, un en charge des endpoints, et un autre de la gestion des informations et des événements de sécurité (SIEM), les problèmes de visibilité seront inévitables. Par conséquent, ils ne pourront pas être pleinement efficaces. Les cyberattaques se déroulent en plusieurs étapes et ont plusieurs phases, au cours desquelles les hackers ont recours à une variété de tactiques, de techniques et d’outils différents. Pour comprendre pleinement une séquence d’événements qui a débuté sur un appareil endpoint, les équipes de sécurité doivent être en mesure de comprendre ce qu’il s’est passé dans différentes parties du réseau qui n’ont potentiellement pas de capteurs EDR installés.
N°5 : Soyez Stratège !
Dans certains cas, il est judicieux de confier certaines fonctions opérationnelles à votre équipe en interne. Cela peut représenter un avantage car vos employés auront accès à des connaissances qui les rendront beaucoup plus efficaces qu’un prestataire externe.
Le recrutement peut toutefois s’avérer extrêmement difficile. L’ingénierie de détection en est un exemple criant. Les ingénieurs en détection sont extrêmement demandés et il est difficile de former quelqu’un efficacement. Les analystes sécurité doivent comprendre le fonctionnement des endpoints, des systèmes d’exploitation, des infrastructures cloud ainsi que de tous les autres outils et technologies faisant partie de votre environnement. En outre, ils doivent être en mesure de comprendre les alertes fournies par les outils EDR modernes. Il est souvent préférable de s’en remettre à un fournisseur de MDR. En effet, il sera plus susceptible d’avoir un meilleur accès aux talents, et sera en mesure de les fidéliser.
N°6 : Restez orienté « résultat »
Le paysage cybersécurité avance à grande vitesse. Pour obtenir une posture de sécurité globale, il est nécessaire d’appliquer les principes de base comme améliorer la visibilité et la capacité de l’équipe à détecter les menaces, et à y répondre. Plutôt que de chercher un fournisseur capable de prendre en charge les nouveaux outils qui s’inscrivent dans la tendance, concentrez-vous sur les résultats escomptés. Il est important de comprendre où se trouvent vos lacunes afin de pouvoir les combler efficacement.
N°7 : N’hésitez pas à changer
Dans certains cas, vous pouvez obtenir de meilleurs résultats en tirant parti de la technologie déjà en place ; dans d’autres non. Analyser et ne pas hésiter à moderniser est donc crucial.
Avoir une relation de confiance avec son fournisseur de services de sécurité peut permettre d’échanger autour des technologies qu’ils prennent en charge. Il est peu probable qu’un fournisseur de MDR puisse être aussi efficace avec chaque SIEM ou plateforme de sécurité cloud sur le marché aujourd’hui. L’apprentissage de chaque outil supplémentaire nécessite du temps, de l’argent et de la formation. Comme tout le monde, les fournisseurs de sécurité doivent faire des compromis sur les technologies à privilégier.
N°8 : Choisissez les bons niveaux de services !
Si votre objectif est de détecter les activités malveillantes et d’y répondre rapidement pour empêcher les ransomwares de se propager, le nombre de ressources dédiées à votre compte doit être important.
Des accords de niveau de service (SLA) stipulent par exemple que les alertes critiques doivent être traitées dans les 5 minutes, et les alertes de faible criticité dans les 6 heures. Mais il n’est pas possible de comprendre réellement si une alerte est critique sans la vérifier. Souvent, un petit fil d’Ariane qui déclenche une alerte de gravité faible ou modérée conduit à la découverte de quelque chose de plus grave.
Un fournisseur trop focalisé sur les SLA risque d’atteindre ces niveaux de service au détriment de la qualité du service. Il reste important d’avoir des SLA contractuels afin de définir les attentes générales de temps de réponse.
N°9 : Laissez les parties prenantes avoir le mot final
Les services d’achat cherchent souvent à atteindre des objectifs commerciaux au plus bas coût possible et peuvent ne pas comprendre les différentes nuances entre les fournisseurs ou les objectifs de sécurité de votre organisation. Veillez à ce que les personnes qui prennent la décision finale comprennent parfaitement les enjeux.
