PME : comment choisir son security operations center externe
Tout comme les grandes entreprises, les petites et moyennes entreprises (PME) doivent désormais s'équiper de solutions qui protègent leur système d'information (SI). Parmi celles-ci, il existe le security operations center (SOC). Il s'agit d'une plateforme permettant de détecter, analyser et remédier aux incidents de cybersécurité au moyen de solutions technologiques et d'analystes.
Choisir un SOC externe
"Il est rarement possible pour une PME d'installer un SOC en son sein", estime Hubert Loiseau, responsable de la sécurité des systèmes d'information (RSSI) du Campus cyber. Et pour cause, les coûts de gestion d'un SOC interne sont souvent trop élevés pour elles, explique celui qui est aussi l'expert cybersécurité du Cyber et IA hub (Cybiah), un projet du Campus cyber qui accompagne les PME dans le renforcement de leur cybersécurité. Le SOC interne nécessite en effet le recrutement de plusieurs analystes pour qu'il soit opérationnel tous les jours. Il conseille donc aux PME de se tourner vers des SOC externes qui sont beaucoup moins onéreux. Ceux-ci sont fournis et gérés directement par un prestataire et ses propres analystes.
Micro-SOC ou SOC sur mesure ?
Les offres de SOC externes sont plurielles. Certaines sont "industrielles, low cost" et fournissent une protection minimale du SI selon François Ehly, RSSI et senior manager chez Almond. Dans cette catégorie, il s'agit souvent d'un endpoint detection and response (EDR) managé par un SOC comme l'est le micro-SOC d'Orange cyberdefense. Celui-ci protège et surveille uniquement les serveurs et postes de travail. Il existe aussi le Cyber by scutum, EDR managé par un SOC de l'entreprise Scutum, qui ne couvre que les équipements finaux. Concernant le prix, celui-ci est souvent très attractif. Il faut par exemple compter entre 20 et 30 euros environ par poste à protéger et par an pour le micro-SOC d'Orange cyberdefense.
D'autres SOC, "plus élaborés et sur mesure, sont capables de s'adapter aux risques propres à chaque PME. Ils comportent des technologies intelligentes qui permettent de détecter des menaces complexes", ajoute François Ehly. Ils peuvent collecter des données au-delà des seuls équipements finaux, notamment dans le cloud ou le réseau avec un network detection and response (NDR), et les corréler via un security information and event management (SIEM). Cela favorise la détection des attaques complexes. Ils peuvent aussi, au choix du client, comporter des règles de détection d'anomalies et de menaces ciblées, des playbooks personnalisés, des sondes de détection d'intrusion, une supervision continue, etc.
"Ces offres sur étagères sont disponibles chez tous les fournisseurs qui offrent des services massifiés, comme par exemple Crowdstrike", indique François Ehly. Plus la PME demande d'options, plus le coût du SOC augmente. Toutefois, pour donner un ordre de grandeur en termes de prix, "un SOC externe managé qui couvre tout le réseau et le cloud pour une PME de 150 salariés coûte environ 20 000 euros par an", affirme Yaz Bekkar, architecte de solutions chez Barracuda Networks.
Cependant, pour choisir parmi ces offres de SOC, "la PME doit procéder à une analyse de ses risques", affirme Hubert Loiseau. "Les SOC externes offrent une panoplie de services. Pour savoir lesquels choisir, les dirigeants de la PME doivent d'abord analyser le paysage des menaces auquel ils sont confrontés. Aussi, ils doivent se renseigner pour savoir si leur entreprise est soumise à des obligations légales ou contractuelles particulières en matière de cybersécurité", affirme François Ehly.
Une PME soumise à la directive NIS 2 ou au règlement Dora doit se tourner vers un SOC sur mesure, doté d'une protection exhaustive contre les menaces et précis dans ses alertes. Il en va de même pour ses principaux prestataires qu'elle doit soumettre à des obligations contractuelles en matière de cybersécurité. Mais aussi pour toute PME dont le secteur d'activité est propice aux cybermenaces. Cependant, les autres entreprises peuvent souvent se contenter d'un EDR managé par un SOC précise-t-il. "Par exemple, même si elles appartiennent souvent à des grands groupes économiques, les cliniques vétérinaires peuvent très bien se contenter d'offres très industrielles, comme le micro-SOC. En revanche, une PME dont le secteur d'activité est critique doit se tourner vers des offres sur mesure, capables de prendre en compte son risque spécifique et de mettre en place une stratégie de défense beaucoup plus adaptée", tient à souligner François Ehly.
Toutefois, Hubert Loiseau observe que les EDR managés par un SOC doivent être considérés seulement comme "une première brique" pour une PME. "Les EDR comme ceux déployés dans le micro-SOC sont très efficaces pour monitorer les équipements finaux. Mais ce n'est souvent pas suffisant étant donné que les PME utilisent couramment des environnements collaboratifs qui échappent à l'EDR comme ceux de Microsoft et de Google. Or c'est à travers ces environnements que les données sensibles de l'entreprise transitent et sont stockées. Les EDR managés par un SOC ne doivent donc constituer qu'une première étape vers l'adoption d'une solution plus exhaustive", ajoute-t-il.
Quelle couverture horaire ?
Une fois que la PME a déterminé l'offre de SOC qui lui est adaptée, elle doit choisir la couverture horaire pendant lequel il est opérationnel et accessible pour détecter les menaces contre son SI, traiter les alertes et répondre aux incidents. Celui-ci fait l'objet de négociations avec le fournisseur dans le cadre du service level agreement. Généralement, le fournisseur laisse le choix entre huit heures par jour du lundi au vendredi ou 24h/24 tous les jours. "Ce choix est là encore conditionné par les risques auxquels est confrontée la PME. Si son activité fonctionne également le week-end, elle a besoin d'un SOC qui puisse réagir tous les jours et à toute heure", observe François Ehly. De son côté, Yaz Bekkar estime que "le SOC externe doit être constamment en activité pour être réellement efficace car certains malwares peuvent muter à toute heure et tous les jours, même après minuit".