Au cours des cinq dernières années de gestion d’une offre de services de sécurité gérés, j’ai reçu un grand nombre de questions et de demandes de la part des clients. Il peut s’agir de questions complètement farfelues ou de questions qui ont légitimement influencé le changement. Quelle que soit la question, il est important que les fournisseurs de services de sécurité gérés soient à l’écoute de leurs clients et acceptent les commentaires, qu’ils soient positifs ou négatifs.

Bien qu’il soit impossible d’examiner toutes les demandes que j’ai reçues au fil des ans, voici quelques-unes des demandes que nous avons reçues et que vous pourriez demander à votre propre fournisseur :

1/ Pouvez-vous générer un rapport mensuel sur les paramètres qui mesurent la valeur de votre service ?

Les mesures sont importantes. Il est utile de présenter à la direction de l’entreprise de jolis graphiques et diagrammes circulaires pour démontrer le retour sur investissement (ROI) dont elle bénéficie, mais la manière de mesurer la valeur peut être très différente (et difficile) d’un client à l’autre. Les offres de services doivent être en mesure de fournir des statistiques sur le nombre de cas haute-fidélité soulevés, des données sur le temps moyen de détection (MTTD) et éventuellement des données sur le temps moyen de remédiation (MTTR), en fonction des livrables. La possibilité de générer ces types de rapports vous-même ou de demander au service géré de le faire contribuera à la maturité de vos contrôles et vous permettra de constater la valeur que vous tirez de cette offre.

2/ Comment nos équipes peuvent-elles collaborer plus étroitement lors d’un incident de sécurité ?

Personnellement, j’adore recevoir cette question. Votre service géré doit se sentir comme une extension de votre propre équipe. Travailler en étroite collaboration pendant les incidents ou même répondre à des alertes de sécurité spécifiques peut créer un lien plus fort entre les deux entités. L’apprentissage auprès de professionnels expérimentés peut également contribuer à améliorer les compétences de votre propre organisation. Chaque fois que nous avons l’occasion de former un client à une compétence spécifique – quelque chose qui peut le rendre plus indépendant et plus performant – nous la saisissons.

3/ Pourquoi n’avez-vous pas détecté le malware que nous avons exécuté sur notre appareil de laboratoire ?

Soyons honnêtes : il est impossible de tout attraper. Vous pouvez avoir mis en place toutes les solutions de sécurité et de surveillance adéquates, mais quelque chose s’infiltre quand même par une fissure. Les fournisseurs de services de sécurité gérés doivent cependant être au sommet de leur art à tout moment ; c’est pour cela que vous les payez. Il peut arriver qu’ils passent à côté de quelque chose, mais il est essentiel de leur en faire part afin qu’ils puissent combler les lacunes des processus ou des règles de détection pour améliorer le service.

4/ Sur la base du niveau d’activité des menaces que vous avez observé dans notre environnement, quelles recommandations de sécurité avez-vous pour nous ?

C’est une chose de fournir à un client un service géré de détection et de réponse. Mais offrir un retour d’information sur la manière dont un client peut améliorer ses contrôles internes peut changer la donne. Les organisations de services gérés ont une bonne vue de votre posture de sécurité, notamment de la fréquence d’entrée des menaces et des vecteurs par lesquels elles arrivent. Si des tendances sont observées, comme des pics de compromissions liées au phishing, il est peut-être temps de déployer une campagne de sensibilisation à la sécurité plus formelle auprès de vos employés ou des couches de contrôle supplémentaires au niveau de votre passerelle de messagerie. Ces observations peuvent être très enrichissantes et il est bon de se poser ce type de questions.

5/ Il est 2 heures du matin et nous avons un incident ; pouvez-vous rejoindre notre pont téléphonique pour en discuter ?

Les accords de niveau de service, ou SLA, sont essentiels à comprendre. Les offres de services gérés sont généralement disponibles 24 heures sur 24 et 7 jours sur 7, mais ce n’est pas toujours le cas. Lorsqu’un incident survient, vous devez savoir quel niveau d’assistance sera proposé en dehors des heures d’ouverture de votre fuseau horaire. Peut-être que seul un analyste est disponible pour discuter et non le gestionnaire d’incidents de l’équipe. Il est fortement recommandé de définir ces attentes à l’avance.

Voici cinq questions qui nous ont été posées au fil des ans et qui nous ont permis d’améliorer notre service et d’offrir aux clients une expérience à valeur ajoutée. Les services gérés doivent être désireux et disposés à s’améliorer et à s’adapter. Ne vous méprenez pas, il est également important d’avoir des attentes raisonnables, mais s’il y a des possibilités d’amélioration, c’est un avantage pour les deux parties.
___________________

Par Tim Bandos, directeur de la sécurité de l’information et vice-président des services de sécurité gérés, Digital Guardian