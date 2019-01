Les dernières années ont vu les PME / ETI (entreprise de taille intermédiaire) françaises déployer de plus en plus des capacités de protection, détection et de réponse aux incidents de sécurité pour s'adapter aux menaces et exigences de leurs marchés. Pour ces entreprises, le recours à un SOC externalisé est souvent la solution privilégiée. Plusieurs approches ont été déployées par les offreurs SOC pour répondre au plus près des enjeux de ces entreprises et de leurs budgets. En faisant le bilan des succès mais également des échecs de ces deux dernières années, un enseignement important est que la cyber défense efficace des PME et ETI ne passe ni par le déploiement de solutions techniques standards sur étagère, ni par la remise à l'échelle de solutions pensées pour des grandes entreprises.

L'efficacité se trouve dans une approche sur mesure mettant au centre :

-Une définition claire des adversaires et événements redoutés à gérer

-Un programme équilibré entre les capacités d'anticipation des menaces, de protection, de détection, de réponse aux incidents et de retour à la normale

-La prise en compte de la capacité à faire des équipes internes, et l'anticipation de la charge de travail induite sur les équipes sécurité et IT pour ce que personne ne peut faire à leur place : traiter les incidents de sécurité standards avec leurs connaissances des systèmes, des métiers, des personnes.

-La mise en oeuvre de moyens de réponse automatisée dans des scénarios maitrisés, où le SOC va déclencher des changements de configurations via API sur certains équipements de sécurité et faire gagner l'entreprise en réactivité sans charger les équipes IT

-Une dynamique apportant des résultats rapidement et laissant une grande place à l'amélioration continue

-Un cadrage budgétaire permettant d'être prédictible financièrement, associé à un pilotage agile de la capacité de détection pour trouver le meilleur équilibre entre les moyens et les événements redoutés couverts.

Certains éléments méthodologiques ci-dessus (et de moyens techniques pour les mettre en oeuvre) sont partagés entre un SOC PME / ETI et un SOC grand compte.

En revanche l'état d'esprit vis-à-vis des menaces, le niveau d'engagement dans la qualification des alertes et l'acceptation du risque d'erreur d'appréciation des analystes SOC doivent être fondamentalement différents pour être efficace dans l'un ou l'autre des modes. Passer de l'un à l'autre est évidemment possible, voir souhaitable dans le parcours professionnel d'un analyste, mais opérer deux modèles de service en simultanés pour des clients différents se fait forcément au détriment des PME / ETI : le confort de notifier sans prendre de risque et l'attirance naturelle des experts sécurité pour les scénarios d'attaque pointus a vite raison de toute bonne volonté de bien faire !

Aussi la raison d'être d'un SOC dédié aux PME / ETI va bien au-delà d'un positionnement marché pour le prestataire ou de la recherche d'un meilleur prix / d'une relation plus équilibrée pour un client : c'est la garantie d'un service efficace pour l'entreprise et d'une démarche intéressante pour toutes les parties prenantes !

Le SOC pour les petites et moyennes entreprises est donc une réalité concrète qui va se développer à grande échelle pour leur permettre d'évoluer dans un espace numérique de confiance et réduire leur niveau d'exposition au risque.

Par Julien Steunou, Lead SOC chez Provadys - NetXP

