Cet article fait partie de notre guide: Le défi d'une gestion globale de la sécurité

La plupart des SOC seraient inefficaces

Une nouvelle étude HP montre que la plupart des centres opérationnels de sécurité s’avèrent en-deçà des niveaux de maturité recommandés pour faire face aux menaces actuelles.

Une nouvelle étude montre que la plupart des centres opérationnels de sécurité (SOC) s’avèrent en-deçà des niveaux de maturité recommandés. Sans surprise, ils peinent à détecter et à contenir les menaces modernes.

C’est la principale conclusion d’une nouvelle étude réalisée par la division Conseil et renseignement en sécurité opérationnelle de HP. Pour réaliser celle-ci, HP s’est penché sur les capacités et la maturité de 87 SOC répartis dans 18 pays et sur 6 continents, sur un total de 118 centres étudiés depuis 2008. Ces évaluations ont été basées sur le modèle de maturité pour l’intégration de l’institut d’ingénierie logicielle de Carnegie Mellon. Elles se sont concentrées sur les capacités des organisations concernées à détecter, de manière fiable, les activités malicieuses, et à mettre en œuvre une approche systématique de gestion appropriée des menaces dans quatre catégories différentes : personnes, processus, technologie, et soutien des métiers.

HP

Le modèle de maturité opérationnelle de sécurité (SOMM) permet de noter les SOC sur une échelle de 0 à 5 : zéro désigne une approche « incomplète » ; 1 s’applique aux installations répondant aux exigences minimales pour fournir une supervision de la sécurité ; le niveau 3 est celui où les opérations sont « bien définies, évaluées de manière subjective, et flexibles ». Enfin, le niveau 5 correspond à des opérations optimisées pour une amélioration continue.

Le niveau 3 est considéré comme le minimum recommandé. Au total, 87 % des SOC étudiés ne l’atteignaient pas. Et 20 % des centres examinés n’atteignaient même pas le niveau 1 de maturité. Et ce n’est pas spécifique à certains secteurs d’activité : selon HP, dans presque tous les secteurs, les entreprises ont reçu, sur cinq ans, des scores médians compris entre 1 et 2. Le secteur des télécommunications est arrivé en dernière place avec un score de 1,12, contre 1,86 pour l’industrie des nouvelles technologies, arrivée en tête.

Apprendre et progresser

HP relève que les SOC ont gagné en maturité au cours des six années sur lesquelles s’est étendue l’étude. Mais pour le groupe, les véritables améliorations nécessitent souvent un incident majeur. Et HP de faire référence, à titre d’exemple, à l’initiative de partage de renseignements de sécurité lancée en avril 2014 par les détaillants américains à la suite de l’attaque dont a été victime Target.

Selon HP, les outils et les méthodes utilisés par les équipes de sécurité ont également évolué. L’une des principales difficultés que les SOC ont du surmonter, explique le groupe, est que les organisations investissent souvent dans des produits en faisant passer en priorité les bénéfices à court terme au détriment des capacités d’extension à long terme. Et d’illustrer cela par l’achat d’un outil de gestion des logs pour répondre à des besoins de conformité, sans mettre en œuvre un système de gestion des informations et des événements de sécurité (SIEM), ou de moteur analytique pour analyser et corréler les données des logs.

Dans le même temps, les entreprises attendent plus des fournisseurs de services managés et Cloud, exigeant d’eux qu’ils offrent visibilité sur leur réseau, systèmes, applications et activités des utilisateurs pour superviser l’ensemble avec leurs SOCs.

Selon HP, les entreprises travaillent en outre à devenir plus proactives dans la découverte des systèmes compromis. Nombre d’entre elles constituent des équipes chargées de « chasser » des systèmes dont la compromission était jusque-là passée inaperçue… pour des semaines voire des années.

Sans surprise, HP relève que le manque de compétences en analyse pour la sécurité est une faiblesse largement partagée par les organisations. Une contrainte renforcée par la difficulté à attirer et retenir les professionnels talentueux.

Enfin, pour certaines organisations, les workflows sont un problème, par les équipes de sécurité sont encouragées à se concentrer sur la quantité d’incidents traités plutôt que sur la réduction du risque qualitatif. HP suggère alors une approche holistique prenant en compte technologie, processus, personnes, et soutien des métiers afin d’améliorer la maturité de la sécurité opérationnelle.

Adapté de l’anglais par la rédaction.

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)