Un monde sans cyber-risques est malheureusement une chimère. Heureusement, les organisations peuvent éviter bien des maux et, lorsqu'une attaque se produit, la résoudre de manière adéquate. Les organisations sont bien conscientes du danger des cyberattaques, selon l'enquête de référence sur la cybersécurité menée par Conscia en collaboration avec le cabinet d'études de marché The Blue Hour.

Par exemple, 43% des personnes interrogées ont indiqué que la majeure partie du temps consacré à la sécurité informatique est consacrée à la prévention. Pour 85%, la "sensibilisation et la formation" sont des mesures importantes prises pour prévenir les incidents de cybersécurité. Toutefois, lorsqu'un incident se produit, les recherches montrent qu'il faut généralement plus de 200 jours pour s'en rendre compte. Maarten Werff, Solution Consultant Cybersecurity chez Conscia : "C'est pourquoi il est impératif d'avoir des mesures de détection et de réponse en plus de la prévention, afin d'avoir un aperçu des attaques qui ne sont pas stoppées par les mesures préventives. Il s'agit d'un faible pourcentage, mais qui peut causer beaucoup de malheurs."

SOC : construire son propre système ou l'externaliser ?

Un centre opérationnel de sécurité (SOC) peut apporter la solution. L'opinion générale est souvent qu'un SOC implique des coûts élevés, demande beaucoup de temps, de connaissances et d'énergie de la part des employés et qu'il est donc réservé aux grandes organisations. Mais est-ce vrai ?

Un calcul simple : une étude de Forrester montre qu'en moyenne, les organisations ont besoin de 14 analystes de sécurité ETP pour mettre en place et maintenir leur propre fonction SOC (11 ETP pour les organisations de moins de 5 000 employés et 20 ETP pour les organisations de plus de 5 000 employés). Ce chiffre tient compte du fait que les gens travaillent jour et nuit et qu'ils partent de temps en temps en vacances.

Si l'on considère le coût d'un service externe de gestion de la détection et de la réponse (MDR) avec une surveillance 24/7 pour 1 000 employés, cela revient à environ 6 000 euros par mois. C'est donc encore moins qu'un ETP. Lorsque les organisations mettent en place leur propre SOC, elles ont besoin, en plus du personnel adéquat, d'une plateforme technologique appropriée. Le coût total de possession d'un SOC interne est donc trois fois plus élevé que celui d'un SOC externalisé (avec des dépenses d'investissement élevées).

Attirer et retenir les analystes en sécurité

Aujourd'hui, la mise en place d'une fonction SOC propre présente également des avantages indéniables. Les risques spécifiques à l'organisation sont compris plus rapidement et mieux par le personnel interne. D'un autre côté, il est difficile de trouver et de conserver des personnes compétentes. Et ce n'est pas la moindre de leurs tâches. Selon Forrester, 96% des analystes en sécurité subissent un impact personnel après un incident. Pensez aux longues journées de travail, au stress du retour à la maison, au manque de sommeil. Tout cela est le résultat de ce que l'on appelle la "fatigue de l'alerte".

Les organisations ne sont pas confrontées à ce problème lorsqu'elles externalisent la fonction SOC, ainsi qu'aux possibilités d'extension. L'enquête de référence montre que 15% des répondants ont déjà externalisé la fonction SOC. Dans 55% des cas, la surveillance et l'analyse des alertes de sécurité sont assurées par l'équipe informatique interne. En outre, 6% des organisations déclarent avoir leur propre SOC qui surveille et analyse pendant les heures de bureau (3%) ou 24/7 (3%). Près d'un quart des répondants n'ont pas sécurisé la détection des alertes de sécurité ou l'ont fait d'une autre manière.

Le paysage des menaces exige une approche différente

Selon Maarten Werff, il existe une autre bonne raison de passer au MDR : "Au cours de la dernière décennie, nous nous sommes principalement concentrés sur le réseau, mais avec l'évolution du paysage des menaces due à l'augmentation du travail à domicile, de l'informatique en nuage et du cryptage, la visibilité des mesures traditionnelles de sécurité du réseau est bien moindre. Aujourd'hui, la sécurité exige une approche différente. Nous devons prendre des mesures de sécurité pour ce que nous voulons protéger : nos informations, nos utilisateurs et nos terminaux."

Actuellement, 41% des personnes interrogées déclarent avoir pris des mesures de protection des points finaux. Il n'est pas nouveau de dire que les employés - avec tout le respect que nous leur devons - sont souvent le plus gros problème. En cas d'accès anormal à des fichiers et de fichiers cryptés, 46% des personnes interrogées déclarent recevoir une alerte. Parallèlement, 21% peuvent voir quels fichiers ont été affectés lors d'un cyberincident et les récupérer.

Selon Maarten Werff, les développements technologiques tels que l'EDR, le SOAR et le XDR permettent de modifier la stratégie de détection. Si l'on considère ces solutions, 15% des personnes interrogées disposent d'un EDR et 3% d'un SOAR. "Placer l'identité et le point d'extrémité au centre de la stratégie de détection et de réponse permet d'avoir une meilleure visibilité sur les alertes et d'intervenir plus rapidement. Cette approche ne se concentre pas sur la recherche de 'l'aiguille dans la botte de foin' et est donc également moins coûteuse."

Source : Conscia