Cahier des charges pour les prestataires de services de sécurité informatique

Ce que les responsables de la sécurité informatique attendent d'un système de détection et de réponse géré, c'est ce que révèlent les résultats d'entretiens menés par Bitdefender et l'Enterprise Strategy Group en août 2022 avec des personnes responsables aux États-Unis et au Canada. Jörg von der Heydt, directeur régional DACH chez Bitdefender, commente l'étude du point de vue allemand : "Les entretiens avec les clients allemands font apparaître une image très similaire. L'éventail des exigences posées aux prestataires de services MDR est tout aussi large, tout comme la motivation à envisager un service MDR. Tous ont cependant en commun le fait qu'il est de plus en plus difficile de recruter et de conserver des professionnels - c'est-à-dire des analystes de la sécurité informatique et des spécialistes - alors que le nombre et la complexité des attaques ne cessent d'augmenter. Dans le même temps, la dépendance vis-à-vis des processus numériques, c'est-à-dire basés sur les technologies de l'information, augmente. Un dilemme qui ne peut probablement être résolu que par un recours accru aux services de sécurité gérés". Les paragraphes suivants résument les résultats.

1. de nombreuses équipes informatiques se lancent dans la détection et la réponse gérées de manière planifiée

Dans de nombreux cas, MDR n'est pas une mesure d'urgence. La plupart des personnes interrogées - 57 % - ont indiqué que des contrôles de sécurité à venir étaient à l'origine de leur collaboration avec des fournisseurs MDR. 47 % voulaient vérifier et gérer les vulnérabilités. Seuls 39 % chacun ont agi concrètement pour repousser ou endiguer un événement, pour détecter des incidents de sécurité ou pour rétablir les systèmes informatiques et les processus numériques après une attaque. Pour 37 %, il s'agissait de se défendre contre une intrusion sur le réseau ou de réagir de manière plus large à un événement de sécurité. Environ une personne sur trois (33 %) espérait obtenir de l'aide pour pré-trier et hiérarchiser les alertes quotidiennes.

Interrogés sur leur motivation, les responsables de la sécurité interrogés montrent à quel point ils ont besoin d'aide pour faire face à la fois à la montée en puissance de la sécurité informatique et à l'augmentation de la surface d'attaque et de la complexité des attaques. 41 % des participants à l'étude sont partis du principe que les experts en sécurité externes pourraient mieux assurer la cyberdéfense que leurs équipes internes. Un résultat remarquable, car après tout, de nombreuses entreprises qui, compte tenu de leur taille, devraient disposer de leur propre équipe de sécurité qualifiée, ont également participé à l'enquête. La proportion de répondants recherchant un modèle opérationnel plus évolutif pour leur sécurité informatique était tout aussi élevée. 37 % ont implicitement admis qu'ils ne disposaient pas des outils et systèmes de sécurité dont ils avaient besoin pour mener à bien leurs processus de cyberdéfense. Toutefois, les motivations suivantes sont également intéressantes :

• 29 % ont acheté MDR pour souscrire une cyberassurance.
• 27 % n'ont pas été en mesure d'engager en interne la sécurité et l'expertise nécessaires à la défense informatique.
• 27 % ne considéraient pas la cybersécurité comme leur compétence principale et l'ont donc externalisée.
• 18 % ont demandé à être protégés même après les heures de travail.

2. la protection des charges de travail en nuage est une priorité, mais tous les vecteurs d'attaque requièrent de l'attention

D'une part, les participants à l'étude recherchent de l'aide pour la protection d'environnements informatiques complexes. Mais les responsables ne sont pas non plus beaucoup moins nombreux à espérer une aide extérieure pour les technologies de défense de base.

Les clients attendent d'un fournisseur MDR qu'il protège les applications en nuage (53 %), suivies par l'infrastructure en nuage public (50 %). La compétence d'évaluer la vulnérabilité des charges de travail en nuage (46 %) et le nuage privé jouent également un rôle (43 %).

Mais la protection classique des points finaux reste également importante. 43 % des personnes interrogées attendent d'un prestataire de services MDR qu'il analyse les vulnérabilités des points de terminaison. La protection des droits d'identité et d'accès (41 %), des points de terminaison (40 % ) et des charges de travail des serveurs (39 %) sont presque aussi importantes.

3. la connaissance du client et la proximité avec lui sont nécessaires

Lorsqu'ils choisissent un fournisseur MDR, les clients exigent un fournisseur MDR qui offre des services spécifiques à l'entreprise. Pour 49 %, la capacité à prendre en charge les outils et technologies de sécurité existants a donc joué un rôle. 39 % des participants à l'étude ont exigé une connaissance spécifique à l'industrie de la situation des menaces dans leur secteur respectif. Plus d'une personne sur cinq (21 %) a également demandé une orientation régionale.

En conséquence, les entreprises souhaitent une relation étroite avec le client, en plus des facteurs de compétence classiques. 38 % envisagent une meilleure implication dans la défense (better engagement model) comme motif pour envisager d'autres prestataires de services. 29 % des personnes interrogées ont indiqué que pour elles, le souhait d'avoir un interlocuteur dédié pourrait être une raison de changer de fournisseur MDR.

En général, les entreprises préfèrent travailler à long terme avec un fournisseur MDR. 61 % ont travaillé trois ou quatre ans avec leur partenaire actuel, 21 % même cinq ans ou plus. Mais de nombreuses entreprises emploient également plusieurs fournisseurs MDR : 46 % ont deux partenaires, 34 % en ont trois ou même plus.

4. compétences étendues souhaitées

Seule une minorité des professionnels de la sécurité interrogés s'attend à ce que les prestataires de services MDR couvrent entièrement la surface d'attaque. Seuls 31 % exigent que les prestataires de services externes surveillent 76 à 100 % de la surface d'attaque. 42 % exigent toutefois la protection de 51 à 75 %. Les principaux domaines à surveiller sont les charges de travail en nuage (67 %), le réseau (66 %) ou encore DevOps, y compris la sécurité des applications (56 %) ainsi que l'Internet des objets (51 %).

5. MDR est une tâche polyvalente

Si l'on interroge les responsables informatiques sur les résultats d'un engagement MDR, l'un d'entre eux ne semble pas spectaculaire : seuls 42 % ont pu réduire de manière significative le taux d'attaques réussies contre leur entreprise. Mais en fin de compte, il s'agit là d'un résultat remarquable. En effet, les attaques auxquelles les analystes en cybersécurité d'un fournisseur MDR réagissent dans un Security Operation Center (SOC) sont généralement de nature grave. En outre, cela peut également indiquer que les technologies de défense classiques telles que les antivirus et la protection des points finaux offrent une contribution de base contre les attaques opportunistes, automatisées et apparemment nombreuses, qui sont toujours importantes. 42 autres % ont attesté d'un programme de sécurité significativement amélioré. 77 % voient néanmoins en MDR un partenaire opérationnel stratégique. Un sur deux a bénéficié du savoir-faire des experts en sécurité.

Mais des effets concrets jouent également un rôle : 38 % ont satisfait aux exigences de conformité grâce à MDR, 38 % ont réduit les coûts opérationnels de la sécurité informatique et 32 % ont pu diminuer le montant de leur police d'assurance cyber. Enfin, 35 % ont réduit le niveau de stress de l'équipe de sécurité interne.

Cet article est paru initialement sur m-q.ch - https://www.m-q.ch/de/pflichtenheft-fuer-it-sicherheitsdienstleister/