eyetronic - Fotolia
Renseignement sur les menaces : quel modèle de facturation ?
Les modèles tarifaires jusqu’ici appliqués étaient adaptés à de grandes entreprises, mais pas à des structures plus modestes s’ouvrant à la pratique, ni aux MSSP. L’équilibre entre démocratisation et maturité des consommateurs reste à trouver.
Quel modèle de facturation pour les flux de renseignements sur les menaces ? C’est la question se posent certains producteurs de ce type de flux auxquels peuvent s’abonner les utilisateurs de plateforme de gestion du renseignement sur les menaces – ou Cyber Threat Intelligence (CTI). Du moins officieusement, dans les allées du Forum International de la Cybersécurité (FIC), qui se déroule actuellement à Lille.
L’éditeur d’une plateforme de CTI explique ainsi que beaucoup de flux sont proposés à l’abonnement annuel, suivant une tarification en fonction du nombre d’employés. Mais cet élément de mesure se heurte à certaines réalités, et en particulier celles d’entreprises où tous les collaborateurs ne sont pas des utilisateurs du système d’information, voire n’y ont tout simplement pas de compte : « une entreprise avec des livreurs, des cuisiniers, etc. par exemple ».
Là, la question des prospects est simple : pourquoi payer pour des personnes n’ayant pas de poste de travail, pas d’activité dans le système d’information. Et elle peut également s’étendre aux collaborateurs qui n’ont de compte que pour accéder à des services numériques liés à la gestion des ressources humaines, et rien d’autre.
Face à cela, cet éditeur avance une piste : facturer au nombre d’adresses de messagerie électronique actives. De quoi, potentiellement, rendre mieux compte de la réalité de l’environnement à protéger, dans la perspective des risques à prendre en compte – notamment de hameçonnage, qu’il soit ciblé ou pas, ou encore de credential stuffing.
Côtés producteurs de flux de renseignement sur les menaces, certains reconnaissent être en pleine réflexion. Car ces modèles sont susceptibles de se heurter à la réalité de pratiques quelque peu indélicates, comme lorsqu’une « holding, avec par construction très peu d’utilisateurs, souscrit à un flux pour en faire profiter toutes ses filiales ». Un potentiel manque à gagner évident pour le producteur du flux de renseignement.
Face à cela, un producteur avance une idée : « facturer en fonction du chiffre d’affaires ». Ce qui pour certains, ne manque pas de pertinence et renvoie au monde de l’assurance où la prime est établie en fonction du risque et, notamment, celui de perte de revenus en cas d’interruption de l’activité.
Mais qu’est-ce qui pousse à ces interrogations ? Les évolutions du marché. Historiquement, ces flux commerciaux étaient destinés à des clients finaux grands comptes – ceux qui avaient non seulement la maturité, mais aussi les moyens d’intégrer le renseignement sur les menaces dans leur stratégie de cybersécurité.
Et aujourd’hui, des entreprises de taille plus modeste s’intéressent au sujet, directement, ou par le biais de partenaires/prestataires de services de sécurité managés (MSSP). Et certains ne sont pas tendres. L’un d’entre eux reconnaît qu’il y a là « une vraie source de difficultés » : « pas un producteur de flux n’a le même modèle tarifaire qu’un autre. A part nous fournir un prix, personne ne sait vraiment nous expliquer pourquoi, à part une exception. Mais les autres nous avancent des prix que l’on ne sait pas opérationnaliser ». Pire encore, dit-il, « j’ai discuté avec des concurrents et l’on observe que l’on ne paie pas le même prix, sans qu’il soit véritablement possible de comprendre pourquoi ».
Alors pour lui, de nombreux éditeurs « avaient du renseignement sur les menaces, pour leurs besoins internes, mais n’avaient originellement aucune idée de sa possible commercialisation ». D’où des modèles tarifaires construits ad hoc, sans analyse réellement apparente, et le besoin d’une réflexion en profondeur : « tant que ces fournisseurs de flux commerciaux n’auront pas compris que l’on a besoin de modéliser le coût pour pouvoir revendre un service, on ne leur achètera pas leur flux ».
Quitte à aller chercher d’autres sources, notamment en sources ouvertes, ou d’autres producteurs « qui n’ont pas vraiment mesuré la valeur de leur threat intelligence. Et il en existe de plus en plus. Mais les très grands se sont un peu fourvoyés, et leurs prix sont exorbitants ».