Managed Services et Cybersécurité :
La combinaison gagnante
Zero-day, vishing, attaques zéro-clic, cryptolockers, ransongiciels ces termes vous sont-ils familiers ? Ce sont les menaces les plus courantes de 2020-2021. Suivre les menaces, les évolutions des technologies dédiées à la cybersécurité et maintenir une infrastructure solide et sécurisée est un enjeu de taille pour toutes les entreprises aujourd’hui. Une solution existe et est aujourd’hui une tendance lourde : l’externalisation avec l’appel à un MSP (Managed Services Provider).
Sommaire
Des compétences difficiles à trouver et à gérer en interne
Assurer le bon niveau de sécurité de son infrastructure IT est aujourd’hui une mission chronophage, coûteuse et risquée avec un niveau de complexité en constante évolution. De plus, la taille de l’entreprise est un élément critique dans l’adoption d’une Politique de Sécurité des Systèmes d’Information. Dans son dernier rapport, le Sénat révèle que 79% des PME se sentent peu ou pas concernées par les attaques. Or, les PME peuvent devenir des vecteurs d’attaque pour les cybercriminels visant les ETI et les grandes entreprises. De plus, 10.000 entreprises en 2020 ont cherché de l’aide auprès de Cybermalveillance.gouv.fr – révélant une explosion des attaques en 1 an (+255%) selon l’ANSSI1. La CCI de Paris dans son étude révèle également que 80% des entreprises disposant d’un RSSI ont constaté une attaque en 20202.
Toujours selon cette étude, 60% des entreprises ayant subi une attaque font faillite dans les 6 mois, toutes tailles confondues. En effet, l’augmentation croissante des usages applicatifs dans le Cloud, du télétravail et du shadow IT, ont démultiplié les risques face à un écosystème cyber criminel international, structuré, sophistiqué et innovant. Il est donc devenu impossible pour les DSI d’entreprises n’ayant pas les ressources nécessaires en interne de se prémunir efficacement contre les cybermenaces et de garantir à ses métiers et partenaires la sécurité de ses infrastructures IT. Dans ce contexte, faire appel à un Managed Services Provider (MSP) permet d’avoir un expert en veille permanente sur les menaces et les solutions du marché grâce à un monitoring en 24/7, une gouvernance efficace, et de retrouver une forte proactivité ainsi qu’une capacité d’action face aux menaces.
Une menace cyber grandissante
21 jours, c’est le temps moyen que met une entreprise française pour répondre à une cyberattaque, constate Deep Instinct, l’éditeur de framework de Deep Learning conçu pour la cybersécurité3. Les entreprises ne disposent pas toujours des ressources humaines et financières nécessaires pour répondre de manière proactive aux nouvelles menaces.
Les méthodes, les technologies et les typologies d’attaques se renouvellent de plus en plus rapidement aujourd’hui, notamment du fait de l’appui de certains États. Les groupes de cybercriminels ont accès à des ressources de plus en plus importantes, à tel point que nous parlons aujourd’hui de cyberguerre. L’investissement lourd nécessaire pour maintenir à jour les compétences cybersécurité des équipes DSI fragilise et rend souvent inopérante les politiques de gestion de cybersécurité, inévitablement défaillantes pour les entreprises n’ayant pas la puissance de feu adaptée.
Entre pénurie de main d’œuvre et concurrence extrême
81% des salariés en cybersécurité déclarent avoir été approchés directement par d’autres entreprises alors qu’ils étaient en poste selon l’ANSSI dans son observatoire du marché de la cybersécurité4. Cette tension extrême s’explique en partie par le manque de main d’œuvre, mais également par les écarts de salaire pouvant aller du simple au double selon la taille de l’entreprise. Ajoutons à celà que 45% des salariés ont moins de 5 années d’expérience, et nous percevons déjà la difficulté pour les entreprises d’avoir les ressources internes nécessaires pour se prémunir efficacement contre les menaces. C’est une véritable guerre que se livrent les entreprises et les éditeurs de solutions pour conquérir les talents et notamment les profils d’ingénieur de consultant et d’architecte en sécurité. Preuve en est le graphique ci-dessous, illustration parfaite de la sursollicitation des profils cybersécurité par les recruteurs, allant de une à plusieurs fois par jour.
Figure 15
Des fonctions RH souvent peu informées
Entre des offres imprécises et des profils aux contours incertains, les erreurs de recrutement sont de plus en plus courantes. Selon le rapport de l’ISSA (Information Systems Security Association) et de l’ESG (Enterprise Strategy Group)6, plus de 29% des salariés interrogés estiment que leur département des Ressources Humaines ne comprenait pas les compétences nécessaires à la pratique de ce métier. Cette compréhension des profils et des enjeux trop vagues s’expliquerait par une sous-estimation de la criticité des fonctions cybersécurité de la part des dirigeants. A l’instar des équipes IT en général, les équipes dédiées à la cybersécurité sont encore perçues comme un centre de coût avec une perception des risques et des enjeux encore trop décorrélée de la réalité.
Adeline Lamy, responsable RH chez e-Qual, pointe également du doigt la collaboration essentielle du top management dans le recrutement des équipes IT et cybersécurité. “Nous sommes une fonction support, notre rôle est d’apporter notre expertise sur le savoir-être du candidat et de faire une première détection des profils, mais creuser la partie technique relève nécessairement des équipes de la DSI. C’est d’ailleurs notre force chez e-Qual puisque Ronan de Kermadec (directeur des opérations et membre du CODIR) intervient sur chaque recrutement. De plus, nous avons instauré des cycles de formation réguliers pour maintenir à jour les connaissances et compétences nécessaires pour piloter tous les outils mis en place chez nos clients”.
Acquérir les talents adaptés et les retenir demande donc une structuration de l’entreprise qui le permette. Et c’est bien là où le bât blesse aujourd’hui. Les capacités des DSI pour accompagner les fonctions RH dans la détection des profils pertinents sont encore trop insuffisantes, sans compter que la transversalité dans les politiques de recrutement est encore trop peu développée dans beaucoup d’entreprises. C’est un enjeu majeur que les fonctions RH tentent d’adresser par la mise en place de pôles spécialisés.
Cette faille structurelle est une véritable aubaine pour les hackers qui peuvent s’emparer de sujets non-adressés comme des failles déclarées sur des logiciels mais non traitées en interne faute de personnel compétent. On note de fait une très forte augmentation des cyberattaques en France.
Là encore, faire appel à un MSP peut apporter un avantage conséquent. Comprendre l’écosystème de la cybersécurité au sein d’une entreprise, avoir une vision précise des interactions entre les différents collaborateurs et connaître les domaines de compétences nécessaires pour remplir efficacement ces fonctions, c’est l’essence même du MSP. Pour ce faire, il peut s’appuyer sur le référentiel technique de l’ANSSI mais doit également faire une veille pour avoir une cartographie précise du marché de l’emploi. C’est de fait un point différenciant pour choisir le bon partenaire.
Déléguer pour mieux gouverner
Libérer ses équipes de tâches chronophages
La multiplication des attaques a entraîné une multiplication des moyens de détection, engendrant un déclenchement d’alertes intempestif. Et plus la taille de l’entreprise est importante, plus cette situation s’aggrave. Selon une étude de Trend Micro publiée en mai 2021 – menée auprès de 2303 décideurs dans les départements de cybersécurité d’entreprises d’au moins 250 salariés -, 51% des équipes dédiées à la cybersécurité se déclarent submergées par le volume d’alertes. Séparer le bon grain de l’ivraie s’avère donc fastidieux et chronophage, tout en entraînant un niveau de stress critique du fait du risque important de passer à côté d’une véritable attaque.
Selon une autre étude de Vanson Bourne – institut de recherche spécialisé dans l’IT, sur 800 responsables de la sécurité des systèmes informatiques situés aux Etats-Unis et en Grande-Bretagne, 88% éprouvent un stress important.
Entre la menace cybercriminelle permanente, la maîtrise insuffisante des solutions éditeurs SaaS et d’outils internes complexes (XDR, SOC, SIEM) empilés, sans oublier le manque de compétences en interne, les équipes SI n’arrivent plus à assumer leurs fonctions régaliennes de sécurité, ni leur rôle de contributeurs à la valeur métier. Garantir une infrastructure informatique fiable, sécurisée et performante au service des applications métier pour permettre à l’entreprise de produire sereinement et efficacement est la priorité n°1 d’une DSI (Direction des Systèmes d’Information). Retrouver la maîtrise de cette fonction principale est l’objet même du service managé. La mise en œuvre peut être envisagée à plusieurs niveaux, suivant les contraintes internes nécessitant de se décharger de tout ou partie de l’exécution. Cela peut aller de la délégation des tâches avec peu de valeur ajoutée (monitoring en 24/7, première analyse des alertes et de leur criticité, premières réponses aux incidents…), à la délégation complète (traitement des alertes, “remédiation”, gestion de la crise, analyse post-mortem ou également appelée forensic).
Faire appel à du service managé pour gérer sa cybersécurité fait d’ailleurs partie d’une tendance lourde comme en témoigne l’émergence du Soc-as-a-Service chez de nombreux éditeurs de solution en cybersécurité.
Maîtriser les impacts liées à l’intégration d’une solution innovante de cybersécurité
Implémenter des solutions innovantes de cybersécurité, qu’elles soient EPP ou XDR, nécessite d’en connaître les fonctionnalités ainsi que les modalités d’intégration et de déploiement. Une intégration “sauvage” pour répondre en urgence à une menace supposée imminente entraînera souvent des effets indésirables, en raison d’une évaluation erronée des performances de la solution, d’une mauvaise configuration ou d’une méconnaissance du fonctionnement de la solution.
Pour implémenter sereinement des solutions efficaces et adaptées aux contraintes de sécurité liées à son activité, il est essentiel de bien respecter les étapes suivantes :
- Faire un audit de son infrastructure pour bien connaître son parc d’application
- Avoir une description précise des besoins d’accès aux applications (personnes/machines concernées, niveau d’accès, points d’entrée autorisés…)
- Déterminer sa surface d’attaque
- Réaliser un POC de la solution pour bien tester les fonctionnalités
- Faire une étude de faisabilité en fonction de la capacité de vos équipes à gérer ces outils (ressources disponibles, besoins de formation…)
Faire appel à un MSP vous permet de déléguer ces problématiques complexes et sensibles au bon tiers de confiance. En effet, un MSP fiable aura déjà testé la solution et aura donc une véritable maîtrise de la solution (configuration nécessaire, temps d’installation, niveaux de fonctionnalité…). De plus, vous n’aurez pas à gérer les systèmes de licence, souvent facteur d’erreur dans le maintien opérationnel de ces solutions.
Votre responsabilité portera donc sur le choix du meilleur partenaire pour tirer les meilleurs avantages opérationnels et financiers de cette collaboration.
Déporter une partie de la responsabilité
Tout manquement lié à la mise en place de mesures et d’outils destinés à prévenir le vol de données personnelles est sanctionnable dans le cadre du RGPD. Et les sanctions peuvent être lourdes puisque doublées de conséquences financières ou d’un impact sur la réputation de l’entreprise. L’exemple français le plus marquant reste évidemment l’amende de 250.000€ infligée à Spartoo pour manquement au respect des règles du RGPD et notamment celles concernant la protection des données7. Nous pouvons également relever ceux des hôtels Marriot et de la compagnie British Airways, tous deux condamnés respectivement à 18£ et 20£ millions par l’ICO (Information Commissioner’s Office).
Bien que ces lourdes amendes soient exceptionnelles, la multiplication des lois autour de la protection des données et la multiplication des actions en justice au niveau international augmentent de manière significative l’impact financier de ces négligences.
Au-delà de la protection des données personnelles, il faut également prendre en compte des enjeux d’une importance cruciale : la protection des données gérées en propre par son entreprise, qu’elles vous appartiennent ou qu’elles appartiennent à vos clients.
Les conséquences en termes de compétitivité ne sont pas à prendre à la légère. Pour la plupart des entreprises, assumer la responsabilité en cas de vol de savoir-faire, dégradation de l’image, perte d’exploitation, dommages matériels ou immatériels au sein de son entreprise ou chez son client ou encore impacts financiers liés à la reconstruction des données, voire au paiement de rançons, est souvent inenvisageable.
Mais si 2020 et 2021 ont vu une explosion du nombre de cyberattaques, c’est également parce que les entreprises n’ont pas assez pris en compte l’aspect humain de la cybersécurité. Pour établir une politique de sécurité claire et compréhensible par tous les employés, il est essentiel qu’elle inclue les points suivants :
- Segmenter l’infrastructure pour éviter ou limiter les attaques latérales
- Ne pas communiquer en clair des mots de passe
- Ne pas discuter de sujets sensibles dans un espace public et ouvert
- Appliquer un filtre de confidentialité sur les écrans qui le requièrent (ordinateurs portables par exemple)
- Ne pas se connecter à un réseau non-sécurisé
- Classifier les données.
C’est donc un travail d’envergure que de suivre toutes les directives et les guidelines de l’ANSSI8, chantier que trop peu d’entreprises peuvent mettre en place de manière efficace aujourd’hui.
Faire appel à du service managé, c’est donc un moyen de mieux maîtriser cette responsabilité.
Les obligations du MSP auprès de son client
Un MSP a plusieurs impératifs pour pouvoir prétendre gérer la cybersécurité de ses clients :
- Avoir une assurance spécifique
- Apporter la preuve d’une Politique de Sécurité des Systèmes d’Information (PSSI) mature
- Contractualiser clairement le transfert de responsabilité
- Respecter ses obligations en tant que sachant.
La défaillance du MSP sur l’un de ces points peut entraîner des conséquences pouvant s’avérer dramatiques pour les deux parties. En effet, évaluer l’impact financier de la dégradation de son image est un exercice quasi impossible pour toute entreprise dont ce n’est pas le produit. A l’inverse, assumer le coût d’une perte d’exploitation d’un client industriel peut s’avérer insurmontable pour la majorité des MSP.
Il est donc crucial de bien border le contrat d’assurance « cybersécurité » sur les montants garantis, les responsabilités pouvant être engagées, le type de dommage couvert (matériel/immatériel et direct/indirect) et le périmètre d’actions du MSP (gestion de crise/recouvrement et reconstruction des données/réparations matérielles et / ou immatérielles…).
Il est bon néanmoins de garder à l’esprit que faire appel à un MSP disposant d’une assurance cybersécurité ne dégage pas le client de toute responsabilité. En effet, l’assurance du MSP couvrira uniquement les incidents résultant d’un manquement relatif à son périmètre de responsabilité déterminé contractuellement entre lui et son client. Par exemple, si l’incident est dû à un problème technique provoqué par une mauvaise gestion de l’infrastructure du client ou à une erreur humaine. De fait, si l’incident résulte d’une faute du client sa responsabilité peut être engagée, notamment lorsque l’assurance du client ne couvre pas les risques prévus, ou bien lorsque le client n’a pas pris en compte les recommandations du MSP.
Faire cet exercice permet également au client de vérifier la crédibilité du partenaire. Il est plus qu’intéressant d’analyser les montants assurés, mais surtout de comparer les clauses de leur contrat d’assurance et s’il couvre les points suivants : - Responsabilité civile
- Gestion de crise
- Amendes et pénalités
- Erreurs humaines
- Perte d’exploitation
- Cyber extorsion
- Fraudes
- Propriété intellectuelle / Vie personnelle
En conclusion, la pénurie de main d’œuvre combinée à une cyber menace permanente pèse sur la productivité des entreprises, voire fragilise leur pérennité. D’autant que les assurances ne sont pas encore au rendez-vous pour garantir l’indemnisation en cas d’attaque. Les Soc-as-a-service ou l’appel à un MSP sont des solutions aujourd’hui éprouvées et faisant de plus en plus l’unanimité. Il reste encore à savoir comment choisir le bon prestataire, ce qui n’est pas une tâche aisée.
Heureusement, de plus en plus de guides issus d’organismes officiels, comme l’ANSSI, ainsi que les diverses initiatives comme cybermalveillance.gouv.fr répertoriant des prestataires de terrain fiables existent. e-Qual est fière d’en faire partie et d’être référencée par l’ANSSI. Dans un prochain article, nous reviendrons sur les clés pour bien choisir son prestataire.
Sources