Avec des centaines de fournisseurs potentiels et une grande quantité d’informations et d’arguments à prendre en compte, le processus d’appel d’offres pour engager le meilleur fournisseur de Services de Sécurité Managés (MSSP) n’est pas une tâche facile. Les professionnels, pour s’y retrouver, doivent cerner les éléments-clés à prendre en compte lors de l’évaluation de ceux-ci, comme l’explique Olivier Spielmann, VP des offres de Détection et Réponse Managées chez Kudelski Security.
Déterminez votre objectif principal
La première étape est de déterminer l’objectif premier de votre programme de sécurité ; et donc de votre appel d’offres. Vous intéressez-vous surtout à la mise en conformité de votre entreprise ou à sa protection vis-à-vis des cyberattaques ? La réalité du paysage cyber actuel est que la conformité et la sécurité sont des intentions bien différentes. Bien que la majorité des exigences réglementaires aient été adoptées dans l’espoir de renforcer la sécurité, celles-ci ne sont pas évolutives et trop génériques alors que l’ingéniosité des hackers, elle, ne cesse d’évoluer.
Concrètement, si vous ne recherchez que la conformité, choisissez le fournisseur le moins cher. Cependant, si vous souhaitez réduire votre exposition aux attaques actuelles, il est important de rechercher un fournisseur proposant un service axé sur la détection et la réponse aux attaques ; et cela dans des environnements multi technologiques – tels que les infrastructures sur site, les ressources cloud, les endpoints, les Systèmes de Contrôle Industriel (ICS) et les Technologies Opérationnelles (OT)) – car cette stratégie de sécurisation nécessite une visibilité sur l’ensemble de votre écosystème.
Favorisez la visibilité, facteur clé de l’amélioration des capacités de détection et de réponse
Aujourd’hui, les environnements informatiques sont caractérisés par des infrastructures de plus en plus complexes, des systèmes de plus en plus interconnectés et des surfaces d’attaque de plus en plus étendues. Afin d’obtenir une visibilité optimale à travers les plus importantes sources d’information, il est important de sélectionner un fournisseur capable d’anticiper les « angles morts » dans l’observation de vos systèmes, et qui dispose déjà de l’expérience de surveillance d’environnements similaires au vôtre.
N’hésitez donc pas à confier à un prestataire spécialisé le soin de procéder à une évaluation ponctuelle de votre MSSP. Cela vous permettra de déceler d’éventuelles lacunes, ainsi que les forces et faiblesses de votre service, tout en ayant pour but d’améliorer le système de surveillance. C’est également un changement d’état d’esprit qui doit être effectué dans ce domaine : passer d’un test d’intrusion – qui a pour unique but de démontrer les faiblesses d’une entreprise – à une activité qui vise à améliorer sa protection. Malgré le fait que l’activité soit similaire, le processus sous-jacent et l’approche sont radicalement différents.
Négocier la portée et le coût du contrat est toujours possible
Ne renoncez pas à d’emblée à une offre qui ne correspond pas à votre budget, d’autant plus si elle répond à vos besoins et s’intègre à votre pile technologique ; il y a toujours une certaine marge de manœuvre.
En effet, pour réduire le coût des services MDR, il est possible de restreindre la portée de la prestation. Les capacités les plus précieuses que les fournisseurs offrent sont axées sur la détection et la réponse. Il est ainsi possible de supprimer du contrat les activités tactiques de niveau inférieur (telles que la gestion des réinitialisations de mots de passe, la gestion des vulnérabilités ou la prise en charge d’une solution de gestion des identités et des accès (IAM)), tout en bénéficiant des meilleurs services offerts par le fournisseur.
Mais attention, la suppression des fonctions moins essentielles du périmètre d’actions d’un fournisseur ne doit pas entacher sa bonne visibilité de vos environnements. Une détection et une réponse efficaces aux cyberattaques reposent sur une visibilité complète, qu’il est crucial d’offrir aux prestataires choisis afin de limiter les erreurs et les manquements.
Actions internes ou externalisées : soyez stratégique
Certaines fonctions opérationnelles seront sans nul doute confiées à votre équipe interne IT ou chargée de la sécurité. Parfois moins coûteuse, cette solution est avantageuse car vos employés ont accès à des connaissances techniques sur votre entreprise ou votre environnement, ce qui les rendra plus efficaces qu’un prestataire externe. Malheureusement, le recrutement peut être extrêmement difficile, voire absolument impossible, pour certaines spécialisations. L’ingénierie de détection en est un bon exemple. Ce profil est en effet extrêmement demandé, et il est difficile de former quelqu’un pour effectuer cette tâche efficacement. L’évolution du marché tend vers des modèles opérationnels hybrides interne/externe qui tirent parti du meilleur des deux mondes.
Concentrez-vous sur les objectifs, et non sur la technologie utilisée
Le secteur de la cybersécurité progresse à grande vitesse. Il est facile de se laisser distraire par la nouveauté et les promesses des dernières technologies. En réalité, il n’y a pas de solution miracle et la technologie seule n’est pas la réponse. Plutôt que de chercher un fournisseur capable de prendre en charge les outils les plus récents, concentrez-vous sur ses performances, les objectifs proposés et l’adhérence à votre culture d’entreprise.
Pour cela, votre organisation doit connaître ses lacunes, autant en matière de visibilité, de détection et de réponse, que de formation, de politiques et de processus actuels en matière de cybersécurité.
Bien que l’achat d’outils de sécurité plus récents et plus performants n’améliore pas les résultats en soi, il se révèle parfois utile de moderniser sa pile technologique. Une nouvelle fois, la clé du succès est de se concentrer sur ses objectifs. Dans certains cas, vous pourrez obtenir de meilleurs résultats en tirant parti des systèmes déjà en place. C’est pourquoi il est nécessaire, lors de vos échanges avec les fournisseurs évalués, d’aborder clairement et honnêtement les questions suivantes : quelles technologies supportez-vous et pourquoi ? Et attention, « peu importe les technologies que vous utilisez, nous prenons tout en charge » n’est pas une réponse ! Aucun fournisseur de MDR digne de ce nom ne peut être à 100 % efficace sur toutes les technologies actuelles (SIEM ou plateforme cloud).