Swiss Security Hackademy

Retour aux articles

Approche MSSP et Business case

---

Auteur : David.R

Date de publication : 9 décembre 2019 - Dernière mise à jour : 9 décembre 2019

---

La digitalisation croissante des entreprises offre des évolutions considérables : gain de temps, qualité et productivité. Du fait de l’exposition et la mise en ligne de nouveaux services et de la connectivité constante des employés sur Internet, les risques sont aujourd’hui de devenir la victime ciblée ou non d’une attaque informatique. La sécurité joue alors un enjeu stratégique dans la gestion des risques et l’accompagnement de cette digitalisation.

Les décideurs doivent se préparer en terme technique, organisationnel et humain à ces nouveaux « challenges », et la tâche n’est pas aisée. La diversité des technologies, le coût (humain et financier), la complexité des systèmes, et la nécessité de rester parfaitement à jour sur les dernières menaces rendent ce travail fastidieux.

Dans ce contexte plusieurs choix s’offrent aux dirigeants, investir en interne ou faire appel à des services de professionnels externes pour répondre aux problématiques.

Les Managed Services Security Providers (MSSP) permettent de répondre efficacement aux besoins des entreprises avec des modèles intéressants en termes de finances, de risques et d’opérations.
Dans cet article nous allons vous présenter le business case d’un service managé de détection et de réponses aux incidents : at-Defense.

Objectif du service Security Operations Center (SOC) at-Defense

Les objectifs du service sont les suivants :

• Monitorer l’ensemble des équipements de l’entreprise du PC utilisateur jusqu’aux équipements datacenter (firewall, switchs, serveurs, contrôleurs de domaine etc),
• Fournir une technologie SIEM utilisable par les clients pour des besoins transverses,
• Identifier des menaces, en étant à jour continuellement sur les dernières techniques utilisées par les attaquants,
• Fournir des indicateurs techniques, compliances et managériaux sous forme de dashboards et de reports,
• Répondre aux incidents de sécurité en s’appuyant sur une équipe d’analyste et d’ingénieurs spécialistes en produits de sécurités (WAF,Firewall, IDS etc…),
• Aider à mettre en place des process chez les clients pour les intégrer dans notre SOC.

Les éléments précédents constituent en soit un défi technique et organisationnel complexe à mettre en place. Si ce type de service devait être intégré au sein des entreprises, il faudrait plusieurs mois à plusieurs années qu’il soit intégré et opérationnel.

Simulation financière de la mise en place d’un SOC en interne par une entreprise

Un SOC repose sur 3 piliers (les 3 P) : People, Process et Products

La simulation financière effectuée tient compte des 3 piliers, afin de donner un aperçu financier simplifié. L’approche CAPEX (investissement initiaux) et OPEX (coûts opérationnels) annuels a été choisie.

Cette simulation pour avoir une approche réaliste très minimaliste considère un service opéré sur des opérations en 9x5 avec un nombre d’analystes à temps plein gérant, une structure simplifiée avec seulement 2 niveaux d’expertises, et l’utilisation de ressources internes à l’entreprise (dev, managers, it…) etc.

À noter : Les coûts relatifs à d’éventuels locaux et matériel destinés à la salle SOC ne sont pas intégrés dans ce calcul.

Cette simulation approximative démontre bien les coûts d’investissements et d’opérations liés à un tel service. D’autant que cette simulation ne prend pas en considération les risques inhérents à ce type de projets qui pourtant peuvent un impact direct et conséquent sur le montant des investissements.

Par exemple ; une équipe de 2 analystes est un risque important en cas d’absences (notamment de l’analyste senior) et d’évolution vers une volonté de couverture horaire plus large (10x7, 24x7 etc…).

Comment le MSSP peut optimiser les coûts d’une entreprise tout en améliorant la qualité de son service ?

L’approche de création d’un MSSP est similaire à ce que l’on vient de démontrer précédemment. Toutefois lorsque le MSSP crée le design du service, ce dernier prend en plus d’autres paramètres liés à la qualité :

• Niveau élevé d’optimisation de l’infrastructure,
• Mutualisation des couts de CAPEX, par exemple si des couts de R&D représentent 150000CHF (coût beaucoup plus élevé dans un service managé), ces derniers seront mutualisés sur 10 ou 15 clients, ce qui permettra dès lors une économie importante pour le client final,
• Mutualisation des couts liés aux OPEX, le meilleur exemple étant les ressources, une équipe de 5 analystes coutera finalement moins cher pour le client. (Inférieur au cout d’un analyste en interne),
• Industrialisation des infrastructures et des processus pensés dès le départ du projet, assurant en plus une qualité de service au-delà de ce qu’un SOC interne pourra fournir,
• Renouvellement du matériel inclus dans les OPEX, à l’échéance du contrat, le matériel fourni au client sera remplacé sans surcoût.

De façon paradoxale, les investissements engagés sur l’amélioration de la qualité auront un impact positif tant sur le client (bon fonctionnement, reporting…) que sur ses coûts internes.

Si maintenant on compare l’approche CAPEX/OPEX avec le MSSP, les coûts sont radicalement différents grâce aux amortissements, mutualisation et autres économies d’échelles qui sont opérées.

Cette analyse démontre clairement l’avantage du MSSP face à une intégration interne, cela est particulièrement important sur les opérations qui sont mutualisées. Par ailleurs, la quantité et qualité de services inclus sont largement améliorées.

Le MSSP permet également d’externaliser les risques

Les risques majeurs de ce type de projets sont nombreux :

• Manque de ressources (absence, vacances etc…)
• Difficulté à embaucher (il est compliqué de trouver des spécialistes en sécurité)
• Maintien des compétences
• Turnover
• Défaillance de traitement
• Problèmes techniques
• Etc…

Ces problématiques sont répondus par le MSSP qui prend en charge et gère ces risques en amont.
En plus des avantages humains et financiers le MSSP fournit également des métriques et garantit des objectifs sur les temps de réponse, la disponibilité du service, et le temps de rétablissement.

Simplicité

C’est surement l’argument majeur des MSSP, en effet la simplicité est un argument de poids :

• Pas d’infrastructure couteuse à gérer
• Pas de personnel supplémentaire à recruter
• Une intégration facilitée
• Un partenaire sur lequel s’appuyer

Finalement le client se simplifie la vie tout en réduisant ses coûts et ses risques.

Intelligence partagée

Un autre avantage souvent oublié est le partage d’intelligence, ce point est crucial dans le domaine des SOC. Tous les indicateurs récoltés pendant des incidents sont réutilisés pour en faire bénéficier les autres clients. Supposons qu’une attaque a été identifiée par un analyste, Il en a extrait des indicateurs de compromission (IOC). Ces derniers seront ajoutés à une base commune utilisée par les clients du SOC.

Au final cela crée un phénomène d’ « intelligence partagée » qu’il est difficile voire impossible de développer dans un SOC non mutualisé.

À noter : Certains clients du fait de leur sensibilité refuse ce type de traitement. Auquel cas, un traitement spécifique est appliqué.

Niveau de sécurité inégalé

Par la spécialisation des ingénieurs, les formations, les profils et les menaces rencontrées quotidiennement, les analystes s’enrichissent de connaissances qui leurs permettent de faire évoluer les méthodes de détections et d'accroître le niveau de sécurité des clients continuellement.

Compétences transverses utilisées dans les opérations

Les activités et les services offerts par notre MSSP s’appuient sur les compétences transverses de tous nos ingénieurs, expert en sécurité informatique. Ce principe est appliqué au service de notre SoC at-Defense et crée un différenciateur majeur face aux autres acteurs du marché.

En effet, nos équipes sont composées par des ingénieurs réputés et certifiés sur la plupart des solutions de sécurité du marché. Par exemple, sur certains produits comme F5 Networks (Web Application Firewall), nous disposons des plus hauts niveaux de certification en Europe.

Nous utilisons ces compétences « produits » dans notre offre de service managé, notamment dans le cadre de la réponse à incident : là où d’autres se limitent à vous contacter pour vous annoncer une menace, e-Xpert Solutions s’appuie sur ses ingénieurs pour vous aider à implémenter directement la protection efficace contre la menace dans vos équipements.

Autres services managés

L’avantage d’une entreprise structurée pour fournir des services managés est que le modèle est transposable à d’autres problématiques que rencontrent les clients. C’est le cas pour e-Xpert Solutions qui offre d’autres services managés pour optimiser les coûts et fournir un niveau de service qui nécessiterait des coûts CAPEX/OPEX élevés.
Par exemple, on peut citer WAF As A Service. Ce service permet au client de bénéficier de la protection Web de F5 Networks avec des coûts mutualisés et donc optimisés.

Conclusion

Les MSSP répondent à la problématique grandissante de trouver des ressources qualifiées, de gérer des infrastructures complexes, de garantir un niveau de service et de qualité élevée tout en déchargeant le client de la gestion de ces problématiques.

L’autre atout majeur étant bien entendu le coût fortement réduit qui sera largement inférieur au coût d’une solution mise en place en interne. Cette approche financière permet également au client le contrôle précis de ces charges et offre un modèle économique lui permettant de lisser ses investissements et de se concentrer sur le plus important : le métier.