SOC externalisé vs SOC interne : Comment choisir ?

Aujourd’hui les menaces informatiques sont toujours plus élaborées avec des conséquences désastreuses pour les entreprises – pour leurs finances comme pour leur image. Contrer ces menaces suppose de s’appuyer sur des processus rôdés, sur des solutions de sécurité toujours plus performantes et sur des compétences de hauts niveaux. L’ensemble doit être disponible et opérationnel à tout moment en 24/7. C’est la promesse du Security Operations Center (SOC). 

Le scénario du SOC interne

Les avantages : 

  • Une équipe interne dédiée avec une forte réactivité : un SOC interne présente l’avantage de bénéficier d’employés dédiés qui connaissent très bien l’écosystème de l’entreprise et ses enjeux. Cette maîtrise permet souvent une forte réactivité dans la résolution des problèmes de sécurité.
  • Les journaux d’événements et tous les éléments de suivi des alarmes et incidents sont stockés en internes. Voilà qui réduit un éventuel risque lié au transfert de données en externe.
  • La communication en cas d’attaque est souvent plus rapide car elle utilise les moyens de communication propres à l’entreprise.
  • Les solutions mises en place sont fortement personnalisées pour coller aux besoins de l’entreprise.

Les challenges : 

Avoir un SOC interne requiert la gestion permanente de plusieurs éléments :

  • Le recrutement des compétences et la formation : un SOC nécessite de disposer d’experts sur chacun des périmètres adressés. Aujourd’hui le recrutement d’analystes SOC et d’experts en cybersécurité est un véritable défi et peut prendre un certain temps. Enfin, le maintien et la montée en compétences de ces experts sur les nouvelles technologies, normes ou processus requiert du temps et un budget non négligeable.
  • La montée en maturité : les ressources internes n’étant sollicitées que par l’écosystème interne, le processus pour disposer d’un SOC vraiment opérationnel est assez long. À titre d’exemple la mise en place du SOC Michelin aura mis plus de 4 ans pour atteindre sa phase de maturité.
  • La portée de l’expertise métier : gérer l’inconnu est le paradoxe le plus compliqué en termes de pilotage de risques. Il peut être plus difficile en interne de découvrir des menaces qui seront plus évidentes pour une entreprise spécialisée dans l’identification des comportements malveillants. Un SOC interne aura besoin d’une première confrontation avec une menace nouvelle pour bien la traiter ultérieurement.
  • La documentation des processus internes est bien souvent oubliée :  la connaissance repose souvent sur un nombre restreint d’experts devenant ainsi indispensables. À la clé, sans surprise, un facteur de risque de perte de connaissance en cas de départ.
  • Visibilité budgétaire consolidée des dépenses : la mise en place d’un SOC interne implique un investissement initial important avec des dépenses associées qui restent difficile à recouper. Constituer un SOC interne conduit souvent à agréger de multiples budgets ce qui complique la démonstration des résultats. Comme le confirme Ken Ducatel, directeur de la direction général des systèmes d’information de la Commission Européenne : « garder en interne rend plus difficile de voir exactement ce que l’on dépense ».

Le scénario du SOC externe

Les avantages :

Opter pour le SOC externe via un tiers représente une excellente alternative pour faciliter une mise en place à un coût maitrisé. Avec des avantages multiples :

  • Obtenir et justifier d’un budget par le top management

Choisir un SOC externe apporte de la transparence et simplifie la promotion d’un projet de SOC au sein de l’entreprise. En effet, un projet de SOC externalisé passe généralement par un processus d’appel d’offre et la validation d’un budget au niveau de la direction.

  • Améliorer l’image et la communication

Disposer d’un SOC externe permet de réassurer le top management. La perception associée au recours à un expert externe est souvent meilleure que celle issue d’un SOC réalisé en interne. En outre, la vulgarisation des éléments techniques est facilitée au profit d’une meilleure compréhension des enjeux et besoins par la direction. Et aussi du RSSI mieux positionné pour expliquer sa valeur et démontrer un retour sur investissement.

Le SOC externe limite aussi les conflits d’intérêts potentiels entre les services internes à l’organisation avec des conseils avisés accompagnés de rapports.

  • Disposer de compétences en cybersécurité

Dans ce modèle, des personnes compétentes et opérationnelles sont mises à disposition immédiatement – sans avoir à attendre de longs processus de recrutement. C’est aussi un moyen de bénéficier de l’expérience d’analystes qui ont surveillé d’autres environnements et qui suivent généralement des processus éprouvés.

  • Facilité de mise en œuvre

D’après une étude réalisée par PWC, les DSI et CISO privilégient ce type de SOC car ils ont conscience de la complexité de sa mise en œuvre d’un tel dispositif : mise en place de nombreux outils, recherche d’experts dans le domaine, maitrise des outils, analyse des incidents, forensic.

  • Des niveaux de services élevés

Organisé et mature, ce type de SOC offre également l’avantage de proposer des niveaux de services élevés (ex : 24/7). De plus, avec le SLA (Service Level Agreement), l’ensemble de la prestation est cadré et précis, épargnant à l’entreprise les mauvaises surprises, notamment lors d’attaques.

  • Accès à une « Threat intelligence »

Une « threat intelligence » représente un service de renseignement sur les menaces. Cette veille sur les menaces et incidents est très difficile à réaliser seul. Un opérateur de SOC est bien placé pour consolider de nombreuses sources de renseignement, externes et internes, pour y parvenir.

  • Des coûts réduits

Enfin un SOC externe coûte nettement moins cher car le matériel, les solutions et les experts sont pour la plupart mutualisés. Pour une surveillance et analyse 24/7 via un SOC externalisé, il faut compter un budget entre 300k€ à 700k€ alors qu’une internalisation du SOC coûte entre 1 000k€ et 2 000k€ - ce qui inclut le développement et le maintien de la plateforme mais pas les coûts technologiques.

Ajoutons qu’il s’agit là d’une dépense d’exploitation (OPEX) et non d’infrastructure, une dépense donc plus facile à intégrer dans le budget.

Les challenges : 

Le SOC externe requiert une gestion permanente des éléments suivants :

  • Des experts en externes : bien qu’expérimentés, les personnes dédiées ne peuvent connaitre aussi bien l’infrastructure de l’organisation et leurs compétences sont souvent mutualisées. Dans ce contexte, le partenaire doit prendre le temps de bien comprendre les problématiques métier de l’organisation et mettre en place des procédures impliquant des personnes internes et externes.
  • Données stockées et analysées en dehors du périmètre de l’entreprise : externaliser des données, disposer d’éléments en dehors de l’entreprise peut être synonyme de risques si les mesures de sécurité n’ont pas été mises en œuvre.
  • La réversibilité peut s’avérer complexe notamment si le prestataire s’appuie sur des solutions propriétaires. Toutefois, même avec des solutions du marché et une documentation claire, l’interopérabilité reste limitée et la reprise de compétences sur les règles de détection et les procédures en place peut en pâtir.
  • Un changement de mentalité requis : accepter le traitement de la sécurité par des tiers n’est pas forcément naturel et demande une conduite du changement.

Tableau récapitulatif SOC interne ou externalisé

Source : Linkbynet – Blog 

Partager sur linkedin
LinkedIn
Partager sur facebook
Facebook
Alfabet Group
Nous contacter

Nous rejoindre :

Twitter
Linkedin

#AlfabetGroup