Erreurs et tâtonnements dans les SOC. Micro Focus fait le point

Micro Focus passe à nouveau les SOC au crible. Et fait ressortir un niveau de maturité généralement en-deçà de ce qui serait adapté aux menaces actuelle…

Erreurs et tâtonnements dans les SOC (Security Operations Centers). S’il y a progrès, constate Micro Focus dans sa dernière étude, ils sont lents. Pas moins de 20% des organisations de cyberdéfense évaluées au cours des cinq dernières années ont échoué au niveau 1 du SOMM (Security Operations Maturity Model), soit un manque total de capacité. Ces organisations continuent de fonctionner de manière ad hoc avec des processus non documentés et des failles importantes dans la gestion de la sécurité et des risques.

«Au cours des cinq dernières années, nous avons observé des organisations qui tentaient de réaliser une transformation complète de la sécurité en appliquant des ‘band-aids’ -comme l’achat de produits périphériques ou le démantèlement de solutions- pour trouver de mauvais résultats et un mauvais alignement», constate Micro Focus.

Au cours des cinq dernières années, Micro Focus a partagé les résultats de 200 évaluations de 144 organisations SOC dans 33 pays; il s’agit de la plus grande base de données disponible pour tirer des conclusions sur l’état des opérations de cyberdéfense et de sécurité d’entreprise dans le monde. L’étude se concentre sur les capacités des organisations concernées à détecter, de manière fiable, les activités malicieuses, et à mettre en œuvre une approche systématique de gestion appropriée des menaces dans quatre catégories différentes : personnes, processus, technologie, et soutien des métiers.

Le modèle de maturité opérationnelle de sécurité (SOMM) est utilisé là pour noter les SOC sur une échelle de 0 à 5 : zéro désigne une approche «incomplète»; 1 s’applique aux installations répondant aux exigences minimales pour fournir une supervision de la sécurité; le niveau 3 est celui où les opérations sont «bien définies, évaluées de manière subjective, et flexibles». Enfin, le niveau 5 correspond à des opérations optimisées pour une amélioration continue. Le niveau 3 est considéré comme le minimum recommandé. Micro Focus relève que 25% des organisations étudiées «travaillent à atteindre les niveaux de maturité recommandés» ou l’ont déjà fait. Pour l’éditeur, cela représente une amélioration de 7% par rapport aux résultats de l’an passé.

Le secteur des télécommunications n’est plus bon dernier cette année. Avec un score médian de 1,30, il est passé devant ceux des services financiers, du secteur public, et de la production manufacturière. Le secteur des services continue de caracoler en tête, à 1,87, devant celui de la santé (1,77), le commerce de détail (1,73) ou encore l’énergie (1,64). En Europe continentale, le score médian s’établit à 1,30, comme l’an passé, mais atteint 1,51 dans la région DACH (Allemagne, Autriche, Suisse), contre 1,47 il y a un an. Micro Focus note également une amélioration sensible outre-Manche et au Benelux.

Les principales observations comprennent :

> Les SOC passent rapidement à des opérations cogérées – Cette approche a permis aux programmes de cyberdéfense de surmonter le plus grand défi du moment, à savoir une pénurie mondiale de talents en cybersécurité. En établissant une relation opérationnelle avec un partenaire qui inclut des interactions régulières, les responsables SOC peuvent se concentrer étroitement sur les actifs qu’ils souhaitent protéger et travailler avec le partenaire sur le plan opérationnel pour effectuer l’intégration technologique nécessaire.

> Les SOC qui manquent de personnel adoptent des solutions d’orchestration de sécurité, d’automatisation et de réponse (SOAR) – Les organisations investissent dans l’automatisation des outils d’enquête et de gestion des incidents de sécurité, et avec des objectifs de mise en œuvre délibérés, connaissent des résultats positifs. Le concept est solide, mais l’adoption est lente en raison des lacunes dans les connaissances opérationnelles.

> Les organisations du secteur privé investissent systématiquement dans le développement de centres de fusion – Dans sa forme initiale, les centres de fusion ont adopté l’approche «un SOC pour les gouverner tous». Ce modèle continue de bien servir les organisations décentralisées ainsi que celles qui se sont développées rapidement grâce aux activités de fusions et acquisitions. Au cours de la dernière année, les centres de fusion ont évolué pour devenir des disciplines combinées que la plupart des organisations séparaient délibérément dans le passé. Le nouveau formulaire inclut des centres de fusion qui se préparent à combiner la surveillance de la sécurité des données, la réponse aux incidents et le rapport de conformité pour le GDPR.

> L’utilisation des grilles de déception et l’impact sur la maturité des opérations ont augmenté au cours de la dernière année – C’est à cause du changement dans l’économie d’une attaque que les solutions de grille de déception peuvent être très attrayantes. Des informations erronées sur les systèmes cibles peuvent altérer les résultats de la reconnaissance par script et pousser les attaquants à déployer des ressources inefficaces sur le système cible. Les organisations commencent également à en apprendre beaucoup sur l’attaquant et la cible de leur campagne en analysant le comportement de l’attaquant dans l’environnement orienté vers la déception.