Rédiger un appel d’offre pour trouver le meilleur fournisseur de services de sécurité managés (MSSP) ou de services managés de détection et de réponse aux menaces (MDR) est un véritable parcours du combattant. Il existe en effet des centaines de fournisseurs sur le marché et faire le tri entre discours commercial et réalité n’est pas simple.

Le responsable de la sécurité (RSSI) doit pouvoir prouver qu’investir dans un nouveau fournisseur permettra de réduire les risques. Pour ce faire, il faut définir en amont des critères objectifs, basés sur des données probantes, afin de comparer les différents fournisseurs, identifier les fonctionnalités indispensables et déterminer les bons prestataires. Retour sur 3 étapes fondamentales pour s’y retrouver.

Étape 1 : Établir des objectifs clairs

Souhaite-t-on augmenter sa cyber sécurité et réduire ses risques, ou uniquement répondre aux exigences de conformité ? La réponse à cette question aura un impact majeur sur la définition des objectifs.

En effet, la conformité et la sécurité sont deux notions différentes. Si la plupart des exigences règlementaires ont été créées dans le but de renforcer la sécurité, elles ont pour grand inconvénient de ne pas évoluer – ou trop lentement – par rapport à l’évolution de la menace et des risques et d’être trop génériques.

Si l’objectif prioritaire est de se conformer aux exigences réglementaires, des services de sécurité managés standards – souvent moins chers – seront suffisants. Le processus d’audit permettra de mesurer le niveau de sécurité et de « cocher » toutes les cases requises.

Au contraire, si l’objectif premier – en sus du respect des normes réglementaires – est de de diminuer l’exposition aux menaces, il faut alors opter pour une approche dynamique. Le fournisseur devra être capable de suivre l’évolution permanente des tactiques et techniques d’attaques, ainsi que l’évolution de l’environnement technologique. Il devra également être en mesure d’obtenir une visibilité sur les menaces qui ciblent un environnement donné et ses failles de sécurité, et d’aider les entreprises à améliorer leur niveau de sécurité au fil du temps.

Cependant, il est important de ne pas confondre objectifs et solution. Trop fréquemment, les solutions sécuritaires technologiques sont sélectionnées indépendamment du prestataire de service et ensuite imposées à ce dernier. Cela mène à des situations qui péjorent l’efficacité du service délivré par le prestataire et diminue le niveau de protection de l’entreprise. Le processus de sélection devrait se concentrer sur les objectifs à atteindre et recevoir des propositions des fournisseurs de service sur les technologies de détection et réponse à mettre en œuvre pour y arriver.

Étape 2 : avoir une visibilité complète

Améliorer sa stratégie de cybersécurité passe par une bonne visibilité. Les environnements informatiques d’aujourd’hui reposent en effet sur des infrastructures complexes. Les systèmes étant de plus en plus nombreux et interconnectés, la surface d’attaque s’étend et il devient difficile de conserver une bonne visibilité sur la sécurité.

Or, sans une bonne couverture, il est tout simplement impossible de surveiller et de détecter les menaces de manière efficace. Pour bénéficier d’une visibilité complète, adaptée à un modèle de menaces, être capable de voir et d’éliminer les « angles morts » est indispensable.

Étape3 : un ou plusieurs fournisseurs ?

Les cyberattaques comportent plusieurs étapes et phases, au cours desquelles les adversaires vont utiliser une large palette de tactiques et de techniques, qu’il s’agit de pouvoir suivre de manière globale.

Par exemple, pour bien comprendre une séquence d’attaque qui a démarré sur un poste de travail, les équipes de sécurité doivent pouvoir déterminer les événements qui se sont succédés dans les différentes parties de l’écosystème touchées comme les systèmes, le cloud, les environnements industriels et les services de gestion des utilisateurs.

Cela ne sera pas optimal si l’on travaille avec de multiples fournisseurs indépendants, l’un étant par exemple responsable des endpoints et l’autre de la gestion du SIEM

Travailler avec plusieurs fournisseurs doit donc être considéré comme une approche transitoire ou exceptionnelle. En effet, bénéficier d’une visibilité à plusieurs facettes sur tous les environnements, quel que soit l’endroit où résident les données, est la base d’une détection et d’une réponse efficace. Ainsi, la qualité du service consommé sera impactée par la segmentation des fournisseurs de services impliqués aux dépens de l’entreprise. Au vu de l’augmentation drastique de la vitesse d’exécution des cyberattaques, l’efficacité de détection et de réponse est devenue un enjeu majeur qui va à l’encontre d’un système de défense trop complexe.

Le secteur de la cybersécurité continue d’innover à un rythme effréné, et il est facile de se laisser distraire par les belles promesses de solutions « dernier cri ».

Mais il n’existe pas de solution miracle ;et la technologie seule n’est jamais la réponse. Il faut se méfier des MSSP obnubilés par les dernières technologies alléchantes et opter plutôt pour un fournisseur qui se concentre sur la protection des entreprises, sur l’accompagnement dans la compréhension des faiblesses et sur la connaissance des activités cyber criminelles.

Pour que tout cela soit optimal, il est également nécessaire de remplacer les technologies anciennes afin de ne pas les laisser entraver les bonnes performances de fournisseur de service MDR.

 

La version originale de cet article a été publiée par IT Social le 21 février 2023.

Bookmark