Qu’est-ce qu’un fournisseur de services de sécurité gérés (MSSP) ? 

Au cours des années 90, l’utilisation d’Internet dans les entreprises s’est intensifiée, et le nombre de cyberattaques contre leurs systèmes informatiques aussi. Les fournisseurs d'accès à Internet comme France Télécom ou 1&1 commencèrent à proposer certains services de sécurité à leurs clients sous forme de solutions dites de pare-feu gérés. L’objectif était alors de permettre aux utilisateurs de surfer en toute sécurité sans devoir eux-mêmes se méfier en permanence des cyberattaques. Les premiers services de sécurité gérés (MSS) étaient nés, faisant des fournisseurs d’accès à Internet les premiers fournisseurs de services de sécurité gérés (MSSP). En l’espace de 30 ans, les solutions de sécurité informatique gérées en externe ont ensuite énormément évolué et sont devenues entre-temps des services de sécurité exhaustifs avec un caractère de service complet.

Aujourd’hui, de plus en plus d’entreprises misent sur les services de sécurité gérés (MSS), expression qui désigne, au sein de la branche informatique, des services de sécurité et d’alerte spéciaux pour la protection des systèmes et des réseaux informatiques. Il s’agit en général d’une prestation sous-traitée à l’extérieur, qui est mise à disposition par un fournisseur de services de sécurité gérés (MSSP) au nom d’une organisation. Celui-ci s’occupe de la création d’une infrastructure matérielle et logicielle qui doit protéger efficacement contre les attaques de pirates et le vol de données, mais aussi contre les interruptions de service et la criminalité numérique. Le MSSP prend également en charge la supervision de tous les réseaux et processus numériques, effectue des tests d’intrusion et recherche d’éventuelles failles afin d’informer l’entreprise en cas d’activités suspectes et de prendre les mesures qui s’imposent.

Pour ce faire, l’entreprise a le plus souvent recours à tout un lot de services MSS qui sont mis en œuvre à distance, gérés et régulièrement mis à jour par le prestataire de services de sécurité concerné. Cela va du scanner antivirus à la gestion des logiciels, en passant par la protection contre les logiciels malveillants. Pour ce faire, le MSSP dispose d’un vaste accès aux interfaces importantes au sein de l’infrastructure informatique, généralement via un client VPN ou directement via Internet. Dans le même temps, les spécialistes de la cybersécurité d’une entreprise peuvent également contrôler eux-mêmes les différents services de sécurité gérés (MSS) via une plateforme en ligne correspondante et intervenir activement si besoin est.

Quelle différence y a-t-il entre MSP et MSSP ?

En principe, il convient de faire la distinction entre un MSP (Managed Service Provider) et un MSSP (Managed Security Service Provider). Même si les deux abréviations ont une consonance similaire, le nom est déjà tout un programme. En effet, il s’agit dans les deux cas de fournisseurs tiers et de prestataires de services qui mettent à disposition des entreprises des services de sécurité informatique spéciaux. Mais alors que le MSP s’occupe en premier lieu du support informatique général et de la gestion des réseaux informatiques, le MSSP se concentre avant tout la cybersécurité. Tout comme un centre des opérations de sécurité (SOC) , un lieu central est créé pour une équipe de sécurité informatique externe, afin de pouvoir détecter plus rapidement les processus inhabituels et les incidents critiques pour la cybersécurité, de les analyser en détail et de les résoudre sans tarder. Et ce, indépendamment du lieu, 24 heures sur 24 et 365 jours par an. En revanche, un MSP agit plutôt comme un centre d’opérations du réseau (NOC) par lequel les solutions SaaS sont mises à disposition et la supervision et la gestion générales de l’infrastructure réseau sont effectuées.

Quelle différence y a-t-il entre Managed Detection and Response (MDR) et Managed Security Service Provider (MSSP) ?

Les petites entreprises, en particulier, n’ont souvent pas les moyens de mettre en place leur propre centre opérationnel de sécurité (SOC) avec le personnel informatique et les outils de sécurité informatique correspondants. Outre la pénurie de personnel qualifié, l’état des lieux toujours changeant des cybermenaces potentielles entre aussi en ligne de compte. Grâce à leurs services de sécurité gérés en externe, les fournisseurs de services de sécurité gérés (MSSP) apportent une aide et un soulagement bienvenus. La plupart du temps, ces services ne font que compléter les solutions qui existent déjà ou soutenir l’équipe de sécurité en place. Cela permet au personnel informatique de se consacrer aux failles de sécurité vraiment sérieuses au sein des systèmes informatiques et de l’infrastructure réseau.

Les services sous-traités de supervision et de résolution des incidents de sécurité peuvent également être mis en œuvre au moyen d’un service de Managed Detection and Response (MDR). Il s’agit d'une forme relativement récente de services de sécurité gérés en externe et surtout utilisés pour la protection des terminaux. Les MDR réagissent principalement aux cyberattaques des logiciels d’achat standard. Les entreprises qui doivent faire le choix entre ces deux prestataires de services se basent au final toujours sur les problèmes qui doivent être résolus par l’assistance externe. Si un SOC ou une équipe de sécurité est déjà en place et qu’une assistance externe est nécessaire, la meilleure solution est probablement de faire appel à un MSSP. Les petites entreprises qui ne disposent pas du budget ou de la main-d’œuvre requise préféreront plutôt se tourner vers un fournisseur MDR pour répondre à leurs propres besoins de base en matière de sécurité.

Un fournisseur de services de sécurité gérés ne peut pas remplacer totalement une équipe de sécurité informatique interne ou un centre des opérations de sécurité (SOC). Mais il peut tout de même contribuer de manière décisive à alléger la charge de travail du personnel spécialisé et à augmenter la sécurité informatique générale de l'entreprise. En effet, contrairement à la capacité de travail limitée du personnel interne, les solutions de sécurité gérées prennent en charge la supervision, l’analyse et l’évaluation complètes des menaces éventuelles et réagissent 24 heures sur 24 aux cyberattaques. L’une des fonctions principales les plus importantes du fournisseur de services de sécurité gérés (MSSP) n’est pas seulement de détecter et de réparer les failles de sécurité. Il s’agit en premier lieu de prévenir activement les interruptions de service provoquées par les cyberattaques et de réduire au minimum les coûts qui en résultent. Par ailleurs, le prestataire de services de sécurité soutient l’entreprise dont il s’occupe en lui fournissant des connaissances techniques actuelles et les outils de sécurité les plus récents. Si nécessaire, l’accès à des experts en informatique est également assuré, sans que ceux-ci ne doivent obligatoirement intervenir sur place. En effet, en collaborant avec le fournisseur de sécurité informatique, les services de sécurité MSSP suivants sont mis à disposition à distance sous forme de service entièrement sous-traité.

Aperçu des fonctions principales du MSSP :

• supervision et gestion sous-traitées des réseaux d’entreprise, des systèmes informatiques et de leurs points de terminaison ;
• supervision, gestion et contrôle des services de sécurité informatique sur la base d’une gestion des informations et des événements de sécurité (SIEM) ;
• gestion des réponses aux incidents 24 heures sur 24, par exemple en cas de cyberattaques, de phishing, d’attaques par e-mail, de rançongiciels ou de logiciels malveillants ;
• intégration et sécurisation des infrastructures basées sur le cloud ;
• détection proactive des failles de sécurité ;
• identification des cyberattaques et défense contre celles-ci ;
• mise à disposition d’outils de sécurité, tels qu’un scanner antivirus, un pare-feu, etc. ;
• exécution autonome de mises à jour de logiciels, de modifications de systèmes ou de réseaux ;
• développement et mise à disposition de politiques de sécurité informatique, de catalogues de mesures et de processus de sécurité ;
• allègement de la charge de travail du personnel informatique et réduction des coûts en cas de sinistre ;
• service complet sous forme d’un centre des opérations de sécurité (SOC) sous-traité.

Les fournisseurs de services de sécurité gérés (MSSP) ne sont pas simplement des fournisseurs de sécurité informatique qui imposent de l’extérieur leurs outils et mesures pour garantir une cybersécurité maximale. Il s’agit plutôt de prestataires de services proposant des services de sécurité gérés (MSS) adaptés aux besoins spécifiques d’une entreprise. Parmi les offres de services et de prestations habituelles d’un MSSP, outre la gestion et la supervision des pare-feux et la garantie de la sécurité des e-mails, Web et du cloud, les systèmes de prévention et de détection des intrusions (IDS & IPS) jouent également un rôle prépondérant. En effet, ces systèmes disposent de fonctions appropriées permettant de lutter de manière ciblée contre une éventuelle cyberattaque.

Un prestataire de services MSS met alors à disposition une architecture MSSP complexe comprenant des outils de sécurité et de supervision numériques, des services de sécurité réseau gérés et des experts en sécurité informatique expérimentés dotés de compétences spécifiques, tous reliés à l’entreprise par un tableau de bord MSSP clair. Plus concrètement, cela signifie que la combinaison intelligente des MSS les plus divers permet d’identifier et de corriger plus rapidement les éventuelles failles de sécurité qui ne peuvent pas être traitées, ou seulement de manière limitée, par l’équipe de sécurité interne ou le SOC interne. En ce sens, le MSSP renforce de l’extérieur la sécurité informatique d’une infrastructure réseau interne et de ses points de terminaison.

Mais les MSSP n’assurent pas seulement une gestion des réponses aux incidents efficace, qui inclut la supervision des points de terminaison. Selon la taille de l’entreprise, ils définissent également des directives et des processus de sécurité applicables de manière générale. Cela implique une supervision informatique complète dans le cadre d’une gestion des informations et des événements de sécurité (SIEM), laquelle doit permettre de garantir à tout moment une visibilité et une transparence totales des activités au sein d’un réseau. Grâce à une combinaison efficace de détection MSSP, d’alerte MSSP et de gestion des vulnérabilités, une entreprise est en mesure de réagir en temps réel aux menaces et aux cyberattaques et de prendre des mesures appropriées en cas de violation de la sécurité. Pour ce faire, d’innombrables données sont automatiquement collectées, analysées et catégorisées 24 heures sur 24 à partir des sources les plus variées, toujours dans le but d’acquérir de nouvelles connaissances au moyen de l’expertise informatique et de prévenir de manière ciblée les futurs incidents de sécurité, dans l’idéal, avant même qu’ils ne se produisent.

Le graphique ci-dessus montre, à titre d’exemple, les éléments de la sécurité qui peuvent être confiés à un MSSP. Notez toutefois qu’il s’agit de scénarios types. La question est de savoir si, dans votre cas et avec le fournisseur de services de sécurité gérés auquel vous avez recours, il s’agit effectivement des trois scénarios présentés ci-dessous (ou de scénarios similaires) varie d’un MSSP à l’autre et dépend en outre entièrement de vos souhaits et besoins individuels, lesquels doivent être clarifiés en détail au préalable avec le fournisseur. Si vous souhaitez en savoir plus, contactez-nous ici.

Là où il y a beaucoup de lumière, il y a également une zone d'ombre. Un principe qui s’applique également à la collaboration avec les MSSP. Toutefois, les avantages priment définitivement et les inconvénients sont le plus souvent la conséquence d’erreurs courantes commises par les entreprises. Il s’agit notamment de l’idée reçue selon laquelle un prestataire de services informatiques suffit à lui seul pour couvrir l’ensemble des possibilités nécessaires à une cybersécurité exhaustive. En effet, si une entreprise dispose de mauvais processus de sécurité informatique ou d’une équipe de sécurité informatique mal organisée voire inexistante, même le fournisseur de services de sécurité gérés ne peut pas faire de miracle. En outre, de nombreux MSSP se sont également spécialisés dans des services de sécurité spécifiques ou dans les exigences individuelles de certains secteurs. Par conséquent, il n’est pas très judicieux de s’en remettre à un seul fournisseur MSSP ou à une seule solution de sécurité informatique gérée pour assurer la sécurité informatique.

Il est bien plus important de s’appuyer sur un portefeuille complet de mesures de sécurité pour garantir une cybersécurité optimale et de rationaliser une gestion des risques efficace, que ce soit en développant une stratégie de cybersécurité efficace au sein de l’entreprise elle-même ou en établissant une gestion des risques correspondante. L’objectif de ces deux mesures est d’analyser de manière proactive quelles sont les interfaces de l’entreprise qui sont vulnérables aux menaces, comment évaluer ces failles de sécurité et quels sont les moyens de désamorcer les éventuelles cyberattaques. Pour vous expliquer ce qu’il faut en général prendre en compte dans la protection stratégique des systèmes informatiques et de réseau, et dans quelle mesure des politiques et des processus clairement définis peuvent aider, nous avons rédigé deux articles de Splunk Data Insider : « Qu'est-ce que la cybersécurité ? » (section Stratégie) et « Qu’est-ce que la gestion des risques ? ». L'un des plus grands avantages des MSSP peut aussi être évalué, au sens large, comme l’un des plus gros inconvénients. En effet, une bonne dose de confiance est nécessaire pour permettre à une plateforme tierce d’accéder à des systèmes informatiques, des réseaux ou des sources de données particulièrement vulnérables, et donc à des données d’entreprise et des processus opérationnels sensibles. Malgré la garantie de conformité MSSP, il est naturel que les doutes et les obstacles soient grands lorsqu’il s'agit de confier la sécurité informatique à des fournisseurs MSSP. Toutefois, à ce stade, la question qui se pose est plutôt de savoir si le risque n’est pas nettement plus élevé d’envoyer ses propres collaborateurs sur le réseau via des terminaux mobiles non protégés ou des postes de travail à domicile. Indépendamment de cela, il est parfaitement logique de toujours remettre en question la collaboration avec un MSSP et de ne pas abandonner complètement la responsabilité de sa propre sécurité informatique.

Pourquoi confier un SIEM à un MSSP ?

Comme nous l’avons déjà mentionné, la mise en place d’une équipe de sécurité propre ou d’un SOC interne est toujours liée à des efforts importants, à des coûts élevés et à une main-d’œuvre importante. C’est pourquoi, d’un point de vue purement financier, il est tout à fait judicieux pour les petites et moyennes entreprises de sous-traiter certaines mesures de sécurité ou le centre des opérations de sécurité complet, et ce, surtout parce que la complexité des stratégies de cybersécurité efficaces augmente au même rythme que la malveillance des cybercriminels. Les raisons pour lesquelles il vaut vraiment la peine d’acheter la « cybersécurité en tant que service » d’un fournisseur de services de sécurité informatique gérés sont donc évidentes :

• la possibilité effective de combler les lacunes en matière de ressources, car les professionnels de l’informatique qualifiés sont difficiles à trouver, encore plus difficiles à conserver et coûtent en outre relativement cher ;
• les MSSP disposent des solutions de sécurité nécessaires et de spécialistes en cybersécurité spécialement formés afin de pouvoir réagir rapidement aux menaces ;
• en cas de manque de compétences en matière de sécurité, il est possible de faire appel au savoir-faire des experts du SOC du MSSP, à tout moment et 24 heures sur 24 ;
• les coûts d’exploitation élevés pour un SOC interne ou le développement de stratégies de cybersécurité propres sont en grande partie supprimés ;
• moins de temps consacré à la gestion de filières de sécurité toujours plus complexes et à l’évolution rapide des directives ou des prescriptions légales ;
• une expérience déjà acquise grâce à l’identification et à la prévention des menaces chez d’autres clients du MSSP ;
• une gestion automatisée des réponses aux incidents, y compris les services de supervision et l’exploitation des mesures de sécurité informatique ;
• un niveau de compétences souvent plus élevé que celui d’une équipe de sécurité interne pour identifier et éliminer les points faibles ou les processus de sécurité manquants ;
• les MSSP perfectionnent continuellement leurs solutions de sécurité et leurs stratégies de cybersécurité et collaborent pour cela également avec des partenaires internationaux ;
• les services de sécurité gérés permettent à l’entreprise de se concentrer davantage sur son activité de base ;
• des solutions de sécurité et des services de cybersécurité répondant de manière optimale aux exigences individuelles ou aux systèmes informatiques ou réseaux existants.

La question de savoir quel est le bon fournisseur MSSP pour une entreprise dépend de nombreux facteurs. En premier lieu, cela dépend des exigences individuelles et de l’infrastructure de sécurité informatique déjà en place dans l’entreprise. Dans ce contexte, il convient tout d’abord de clarifier dans quelle mesure un MSSP est en mesure de remplir les exigences de sécurité, actuelles et futures, et de répondre aux questions suivantes : la stratégie de cybersécurité de l’entreprise est-elle adaptée au portefeuille de services du prestataire de services informatiques et inversement ? Le MSSP peut-il garantir la compatibilité avec les cadres existants et les équipes de sécurité informatique et de gestion ? L’entreprise souhaite-t-elle continuer à se développer et éventuellement mettre en place son propre SOC ? Est-il prévu de transférer certains processus vers le cloud ? Compte tenu de ces questions, le MSSP souhaité doit faire preuve d’une certaine flexibilité, tant en ce qui concerne les prestations (c.-à-d. le choix des solutions de sécurité à sous-traiter) que le paiement sous forme de prépaiements, de frais de service forfaitaires ou d'abonnements.

En principe, la décision de collaborer avec un MSSP devrait être prise avant tout par les personnes de l’entreprise les plus au fait des risques commerciaux individuels et des résultats souhaités en utilisant des solutions de sécurité gérées. Cela vaut d’ailleurs également pour le MSSP en question. En général, il s’agit d’experts du centre des opérations de sécurité ou du secteur informatique qui savent exactement quels outils de sécurité sont vraiment nécessaires pour mettre en œuvre une stratégie de cybersécurité. Mais cette tâche peut être confiée tout aussi bien à des professionnels qualifiés de la direction, lesquels connaissent aussi le plus souvent le budget disponible et s’occupent de la mise en œuvre correcte de la conformité du MSSP.

Dans l’idéal, il convient de déterminer ensemble avec le prestataire de services informatiques, dans le cadre d’un dialogue ouvert, quelles sont les possibilités et les limites de l’infrastructure informatique existante. C’est la seule façon d’évaluer précisément quelles fonctions de sécurité doivent être conservées ou sous-traitées. Par ailleurs, cela permet d’éviter qu’une entreprise ne soit trop induite en erreur par les nouvelles technologies au lieu d’obtenir des résultats pertinents. C’est justement pour cette raison que, lorsque vous choisissez un fournisseur de services de sécurité gérés, vous devez toujours garder à l’esprit six points importants :

1. Rentabilité : les services de sécurité gérés ou les solutions de sécurité gérées doivent réduire au maximum le temps et les coûts internes et non pas les augmenter. Cela inclut bien évidemment la réduction des risques effectivement obtenue et l’allègement de la charge de travail de l’équipe de sécurité informatique. De même, les compétences « achetées » à l’extérieur devraient au final être plus élevées et moins chères que si les infrastructures et le personnel correspondants avaient été mis en place en interne.
2. Évolutivité : les solutions de sécurité gérées doivent être parfaitement alignées avec l’infrastructure informatique existante. Cela vaut également pour la collaboration entre les experts SOC externes et les équipes de gestion ou de sécurité internes. De même, il est important qu’en cas de croissance ou d’autres changements au sein de l’infrastructure réseau, l’offre de services du MSSP puisse évoluer facilement si nécessaire et qu’il soit possible de rajouter de nouvelles fonctionnalités.
3. Convivialité : dans l’idéal, les services informatiques proposés par le MSSP doivent pouvoir être gérés et contrôlés via un tableau de bord centralisé basé sur le cloud. Par ailleurs, il est également recommandé de disposer d’un service client disponible 24h/24 et 7j/7, cela afin de pouvoir traiter à tout moment d’éventuelles questions de sécurité ou, en cas d’incident, de pouvoir faire appel sans délai à l’expertise du SOC du MSSP.
4. Objectif : en principe, une entreprise devrait toujours se poser la question de savoir ce qu’elle espère obtenir en collaborant avec un MSSP. S’agit-il uniquement de respecter les directives légales ? Ou bien s’agit-il d’améliorer la sécurité informatique de façon considérable ou de soutenir l’équipe de sécurité interne dans son travail ? En fonction des besoins, il convient de décider dans quelle mesure un MSSP peut mettre en œuvre de nouveaux outils de sécurité, compléter les processus de sécurité existants ou prendre en charge la recherche ciblée de vulnérabilités potentielles via MDR.
5. Efficacité : un MSSP doit disposer d’un portefeuille de services aussi varié que possible et d’une expertise adaptée au secteur concerné. En effet, il doit d’une part être en mesure de réagir aux exigences spécifiques d’une entreprise en ce qui concerne la cybersécurité, et, d’autre part, il doit pouvoir détecter de manière ciblée les éventuelles failles de sécurité et les points faibles du système informatique et y remédier rapidement. De manière optimale, sur différents niveaux technologiques, de l’infrastructure sur site au cloud.
6. Confiance : de même, la confiance et la transparence que le fournisseur peut inspirer à l’entreprise en ce qui concerne ses services informatiques sont des facteurs décisifs dans le choix. En effet, il n’est pas rare de voir des fournisseurs faire de grandes promesses pour finalement n’offrir que des services limités. Autrement dit, même des solutions de sécurité moins modernes peuvent offrir une protection efficace. Il n’est pas toujours nécessaire d’avoir recours aux outils de sécurité les plus modernes. Il suffit parfois même de mettre à jour des outils de sécurité plus anciens déjà en place. Outre le portefeuille général de services et l’expertise technique, la présentation générale et la philosophie d’entreprise adoptée par le MSSP jouent bien entendu un rôle tout aussi important.

La pénurie générale de personnel qualifié dans le secteur informatique, le manque d’expertise actuel qui en découle ainsi que le nombre en constante augmentation de cyberattaques et de directives à respecter expliquent le véritable essor des services de sécurité gérés (MSS). Cette tendance devrait sans doute même s’accentuer à l’avenir avec la numérisation croissante des processus de sécurité et de travail, cela à condition que les fournisseurs de services de sécurité gérés (MSSP) parviennent à placer les solutions de sécurité qu’ils proposent comme une alternative plus efficace et plus économique à l’équipe de sécurité interne ou à un centre des opérations de sécurité (SOC) propre.

Car si les groupes et les grandes entreprises disposent généralement des conditions requises, les petites et moyennes entreprises (PME), elles, ne peuvent souvent compter « que » sur le soutien d’un MSSP. Toutefois, cela n’est pas forcément un inconvénient. Au contraire, en combinaison avec une plateforme d’analyse de sécurité comme Splunk, cela offre un grand nombre de possibilités et d’avantages, que ce soit pour compenser le manque de ressources internes pour la gestion d’une implémentation SIEM, pour permettre la supervision en temps réel des alertes ou pour avoir accès à une expertise absolument nécessaire. Une chose est sûre : une cybersécurité optimale ne peut être garantie que si les failles de sécurité sont détectées à temps, si les menaces sont combattues avec succès et si les directives légales sont respectées de manière systématique. À ce stade, un MSSP peut apporter une aide précieuse, que ce soit en complétant l’architecture de sécurité déjà en place, en mettant à disposition un savoir-faire régulièrement actualisé pour la défense contre les cyberattaques ou en allégeant considérablement la charge de travail du personnel spécialisé. Bien entendu, la réussite ou l’échec de cette démarche dépend toujours du prestataire de services informatiques choisi et de l’efficacité du portefeuille d’outils de sécurité informatique qu’il met à disposition.