Le benchmark de votre solution SOC est une nécessité !

Alors que la sécurité est devenue la priorité des entreprises, il est aujourd’hui impossible de ne pas s’appuyer sur un centre opérationnel de sécurité (SOC). Comme tous les outils, il st nécessaire de le benchmarker pour éviter les surprises en termes de coûts.

Les DSI peuvent constituer leur SOC en interne, cela est réalisable mais de plus en plus compliqué compte-tenu de l’évolution permanente des techniques de cybersécurité et de l’adaptation continue des compétences et outils à mettre en œuvre pour y faire face. Les organismes nationaux – notamment l’ANSSI en France, Agence Nationale de Sécurité des Systèmes d’Information –  publient régulièrement des normes que les sociétés doivent respecter.

C’est pourquoi nombre de DSI se tournent vers l’externalisation de la fonction SOC. Elle apparaît pour une entreprise comme la solution idéale car elle s’affranchit par exemple de la formation des ressources en disposant d’une équipe opérationnelle experte sur ce domaine sensible en mode 24h/24 et 7j/7. D’autre part le client bénéficie d’une solution modulable selon les pays où il est implanté, et partage les meilleures pratiques pour contrer les nouveaux risques comme les APT (menaces avancées persistantes) ou les SCADA (infection des machines de production dans les usines).


Faire le choix de l’externalisation permet également de bénéficier de la mutualisation des coûts du fournisseur et grâce aux appels d’offre, de sécuriser et contrôler un budget. Qu’il soit interne ou confié à un professionnel de la sécurité, le SOC représente donc un coût qu’il est important d’appréhender mais qu’il est judicieux de benchmarker régulièrement.

 

Les SOC continuent à augmenter leur offre de service, en y associant généralement la fonction de CERT (Computer Emergency Response Team) pour la recherche de vulnérabilités et la remédiation des incidents cyber. Des nouvelles offres sont également déployées, avec les analyses dark web, l’anti-phishing, le Forensics, la gestion des terminaux mobiles.


Le benchmark, pourquoi ?

La gestion d’un SOC fait intervenir une multitude de compétences qui interviennent notamment au niveau du SIEM (système de gestion des informations et des événements de sécurité) avec l’analyse des logs, le flux des réseaux, la gestion des identités et des accès… Ces services évoluent sans arrêt et il est donc très difficile d’en évaluer le coût, d’autre part les entreprises ont souvent l’impression de "payer cher" leur SOC sans en comprendre l’utilité. Avec le benchmark, tous ces postes de coûts sont recensés, analysés et comparés afin d’évaluer et qualifier si chaque poste est performant et si le coût est justifié.

 

ISG observe qu’il y a un rapport entre la quantité de matériels et le degré de complexité des plateformes informatiques et le coût de leur sécurité. Le coût du SOC doit donc être dans une certaine gamme de prix, en comparaison du coût du maintien en conditions opérationnelles de l’infrastructure informatique déployée. A titre d’exemple, le coût de la sécurité représente une enveloppe budgétaire de l’ordre de celle d’un help desk pour une DSI.

Un benchmark, comment ?

Un audit est réalisé à partir d’un ensemble de questions et d’un modèle ISG détaillant les activités des services de sécurité mis en œuvre dans le SOC. Ensuite, il faut décortiquer les services, et les coûts associés. La facturation des fournisseurs de SOC est soit forfaitaire, soit basée sur des unités d’œuvre (UO). Le client a toujours intérêt à choisir un contrat avec UO. Elles permettent un benchmark plus aisé et facilitent la recherche d’améliorations potentielles.

 

Une nouvelle métrique apparaît comme incontournable pour mesurer la performance des SOC, c’est le nombre "d’événements par seconde" (EPS) traités par les outils et processus mis en œuvre dans le SOC. Selon le niveau ou la complexité de celui-ci, ISG assure qu’il est possible d’obtenir un prix du SOC ramené au nombre d’EPS. Dans le déroulé de sa méthode de Benchmark, ISG mesure également la maturité au sens ITIL, du processus de sécurité. L’analyse ITIL est effectuée sur l’ensemble des processus : gestion des problèmes, gestion des incidents, gestion des changements etc. en lien avec le processus sécurité.

 

La résultante de ces benchmarks montre que beaucoup d’entreprises se plaignent de payer trop cher leur SOC car ceux-ci ne sont pas assez industrialisés ou pas encore assez automatisés. Dans beaucoup de cas, il apparait clairement que le fournisseur n’a pas encore fait jouer la synergie entre ses clients et se défend de fournir un service sur mesure.


Avant même de faire le choix de travailler avec un prestataire, l’entreprise devra s’assurer que celui-ci bénéficie des certifications adéquates IS0 27001 et de l’ANSSI sinon il ne pourra pas être retenu dans l’appel d’offre. A noter que les certifications de tous les acteurs du marché sont en cours et seront validées au 1er semestre 2018.