Au cours des dix-huit derniers mois, les centres des opérations de sécurité (SOC) se sont retrouvés à nouveau en première ligne face à l’escalade des menaces de cybersécurité induite par la pandémie. Selon une étude réalisée par Forrester en 2020, une équipe chargée des opérations de sécurité reçoit en moyenne plus de 11 000 alertes par jour, un chiffre qui a probablement augmenté depuis. Les équipes de SOC ont dû simultanément se mobiliser pour répondre à la crise et composer avec les défis communs à tous les travailleurs qui exerçaient auparavant leur activité au bureau. Ils sont, pour la plupart, passés au télétravail et il leur a fallu apprendre à collaborer efficacement à distance avec leurs collègues.

À l’heure où les SOC dressent le bilan des changements et défis qui ont jalonné l’année écoulée, il est important d’examiner certains des facteurs qui caractérisent le SOC moderne et les problèmes rencontrés dans ce secteur essentiel.

Les SOC doivent se fixer des priorités s’ils veulent relever les défis de demain.

La pénurie de compétences en matière de cybersécurité se poursuit

Ce problème n’est pas nouveau, mais il persiste. Le principal obstacle à un fonctionnement optimal du SOC réside dans le manque de personnel qualifié. D’ailleurs, une équipe type est composée de deux à dix employés à temps plein. Les entreprises aimeraient néanmoins dédier davantage de ressources humaines aux activités à haute valeur ajoutée du SOC et permettre aux équipes existantes d’acquérir de nouvelles compétences.

Les responsables de SOC doivent considérer le développement des compétences en interne comme l’une de leurs priorités, car il améliore les performances de ce dernier, tout en favorisant la fidélité à long terme du personnel. L’ancienneté d’un analyste ne dépasse généralement pas trois ans. Les possibilités de formation et d’évolution de carrière constituent les principaux facteurs qui retiennent les collaborateurs (cf. enquête SANS 2021).

Le développement de l’expertise présente d’autres avantages. La compétence qui fait le plus défaut aux équipes concerne l’analyse des menaces, une activité dont l’externalisation peut se révéler coûteuse. Le Threat Hunting et la Threat Intelligence sont en outre les activités les plus couramment externalisées par le SOC (cf. enquête SANS 2021). Il s’agit pourtant de deux disciplines dont l’efficacité dépend d’une parfaite connaissance de l’infrastructure et des systèmes internes. Si les analystes ont l’opportunité d’acquérir ces compétences et sont épaulés par des outils qui simplifient l’assimilation du renseignement, l’entreprise en tirera un double avantage : elle conservera ses collaborateurs clés tout en renforçant ses capacités internes dans les domaines les plus cruciaux.

Le télétravail, nouvelle réalité

Autre facteur lié à la rétention du personnel : l’évolution de l’environnement de travail. Sans surprise, 87 % des analystes indiquent avoir été autorisés par leur entreprise à travailler depuis leur domicile. Même si le télétravail a soulevé quelques questions quant à la mise en place d’une collaboration à distance efficace, sa réussite globale a libéré les analystes du SOC. En effet, ces derniers se contentaient peut-être auparavant de rechercher un emploi à proximité de chez eux, le critère géographique n’est désormais plus un problème. Les entreprises devront par conséquent redoubler d’efforts si elles veulent attirer et fidéliser les talents. De leur côté, les analystes seront en meilleure position pour négocier les salaires et les conditions de travail.

Ce changement permettra enfin d’accorder une plus grande importance à la charge de travail des analystes. Actuellement, les entreprises ne disposent d’aucun moyen efficace de la mesurer. La plupart des personnes interrogées déclarent même que leur SOC ne l’évalue pas, la deuxième réponse la plus fréquente étant qu’il utilise une méthode de base reposant sur le temps passé par ticket. Sachant que 83 % des SOC fonctionnent 24 heures sur 24, 7 jours sur 7, en s’appuyant majoritairement sur les ressources internes, la gestion de la charge de travail joue un rôle important dans le bien-être de l’équipe.

Face au phénomène de « grande démission » des salariés, tous les facteurs mentionnés doivent alerter les employeurs sur la nécessité de former et de protéger leurs collaborateurs s’ils veulent les fidéliser.

Efficacité et sécurité renforcées grâce à l’automatisation et au contexte des données

Autres moyens efficaces d’atténuer la charge de travail croissante du SOC, l’automatisation et l’orchestration posent également un problème aux équipes. Ces deux techniques arrivent juste après la pénurie de compétences dans le classement des principaux défis auxquels sont confrontés les SOC.

En cas de pénurie de talents et de compétences, il est essentiel d’automatiser autant que possible les tâches courantes, répétitives et à faible valeur ajoutée. De cette manière, les analystes peuvent se concentrer sur des activités plus stratégiques qui non seulement accélèrent les opérations de détection et de réponse, mais sont aussi plus gratifiantes sur le plan personnel. L’automatisation aide en outre les équipes à atteindre les objectifs de performances et à gérer le volume croissant d’alertes.

Des solutions rapides peuvent être mises en œuvre. En effet, déployer une plateforme structurée intégrant des dizaines de sources de données permet de consolider toutes les informations de l’entreprise. Les temps de réponse ont ainsi été réduits de 25 % pour les problèmes de niveau 0 à 2.

Certains analystes considèrent le manque de contexte lié aux données observées comme un obstacle majeur au fonctionnement efficace du SOC. En effet, demain, celui-ci sera de plus en plus axé sur les données et ingérera des informations provenant de différentes sources internes et externes à l’entreprise. Mais des données sans contexte ni pertinence ne feront que submerger les analystes.

Soutenir le SOC de demain

Le SOC de demain devra impérativement concentrer ses efforts sur les équipes et les données, ainsi que sur la technologie permettant à ces deux composantes de travailler efficacement ensemble. L’usage équilibré de l’automatisation partout où cela est possible et la mise à disposition d’outils adéquats aux analystes aideront les SOC à améliorer leurs opérations, mais aussi à mobiliser les analystes et à leur laisser plus de temps pour se perfectionner dans des domaines clés tels que l’analyse approfondie des menaces.
___________________

Par Cyrille Badeau, Vice-Président Europe de ThreatQuotient