De plus en plus d’entreprises intègrent les enjeux cyber à leur stratégie, portées par une réglementation nationale et européenne toujours plus exigeante. Les budgets alloués à la cybersécurité prennent une part conséquente dans les dépenses et la plupart des entités empilent désormais les solutions technologiques de pointe. Pourtant, le volume et l’impact des incidents de sécurité ne diminuent pas. C’est l’observation de terrain de
Philippe Libotte, Security Delivery Manager (SDM) au sein de la practice CYBERDEFENSE – SOC : bien souvent, l’investissement est englouti dans une « course à l’armement » logicielle qui oublie l’essentiel : la capacité d’exploitation.
Découvrez pourquoi votre investissement actuel manque peut-être de performance, et comment redresser la barre pour retrouver une véritable maîtrise opérationnelle.
La collection d’outils n’est pas une stratégie
Avoir le meilleur EDR, le firewall le plus cher ou la solution d’IAM conçue par le leader du marché est comparable à l’achat des meilleures pièces de moteur sans avoir de mécanicien pour les assembler ou en assurer la maintenance.
Chaque outil génère ses propres logs et ses propres alertes. Sans une structure pour corréler ces informations (le rôle central d’un SOC), vous ne possédez que des briques isolées. Le volume de vulnérabilités est trop massif pour être géré par de simples dispositifs sans analyse.
Détecter une intrusion en 5 minutes est inutile si vous mettez 3 jours à intervenir. C’est ici que l’effet domino entre le SOC et le CERT prend tout son sens. Le SOC est votre tour de contrôle (détection). Le CERT est votre unité d’intervention (réponse). Payer pour de la surveillance sans avoir une capacité de réponse immédiate, c’est comme payer un abonnement à une télésurveillance mais ne pas avoir de clé pour entrer dans le bâtiment quand l’alarme sonne.
| Bon à savoir |
|---|
| Selon une étude menée par OpinionWay pour CESIN,95% des personnes interrogées considèrent l’EDR (Endpoint Detection and Response) comme la solution la plus efficace pour leur entreprise ex aequo avec le pare-feu et l’authentification multifacteur (MFA).Toujours selon cette même étude, 80% des entreprises considèrent avoir les moyens de détection, 78% les moyens de prévention et de protection, 67% une capacité de réponse aux attaques et 60% une capacité de reconstruction après attaque. |
Lire aussi : Sécurité numérique : 4 raisons de faire appel à un CERT externe
Prendre en considération l’humain et la « fatigue des alertes »
Le coût le plus caché de la cybersécurité est humain. Vos équipes sont submergées par un « bruit » numérique permanent.Bien que le marché tende vers une approche tournée vers l’IA, certaines alertes – notamment internes – nécessiteront toujours une confirmation par vos équipes.
| Prenons l’exemple d’un utilisateur qui télécharge 200 fichiers avec un label « RGPD » : il est précieux que l’outil de sécurité remonte cette anomalie au plus vite, néanmoins s’il s’agit du DRH de l’entreprise et que cela concerne les fichiers d’évaluation annuelle, seules les personnes comprenant ce contexte pourront le voir comme un événement légitime. Investir dans un SOC performant, c’est investir dans un filtrage et une réponse qui reposent sur une véritable intelligence de situation. |
Pour autant, l’empilement de technologies peut rapidement noyer les équipes, amenant naturellement à une lassitude et un manque de vigilance sur la durée. Il devient alors nécessaire, non pas uniquement de mettre en place des capacités de détection, mais qu’elles soient exploitées à 100% de leur potentiel, avec un socle customisable (basé plutôt sur des règles de détection que sur des curseurs sans précision réelle).
Tirer le meilleur retour sur investissement de votre capacité de détection
La performance d’un SOC ne se mesure pas au nombre d’outils achetés, mais à son équation de performance :
- Réduire le MTTD (temps de détection d’une anomalie).
- Accélérer le MTTR (temps de réaction et de réponse à une alerte).
Notre conseil : quand il s’agit de détection, ne multipliez pas les licences. Concentrez vos ressources sur un modèle opérationnel où l’humain et l’expertise pilotent la technologie, et non l’inverse. C’est la seule façon de transformer une dépense de sécurité en un investissement pour la résilience de votre business.
| Critère de coût | Sans SOC / CERT (Réactif) | Avec SOC / CERT (Proactif) | Impact sur le ROI |
| Temps moyen de détection (MTTD) | Moyenne : 200+ jours (l’attaquant s’installe) | Quelques minutes | Crise prise à temps, en mesure de réagir avant l’impact financier |
| Coût d’interruption | Élevé : semaines d’arrêt, chômage technique | Limité : confinement rapide de la menace sur un périmètre restreint | Continuité d’activité préservée |
| Frais de remédiation | Astronomiques : experts en urgence, reconstruction totale | Maîtrisés : intervention ciblée et structurée | Réduction des coûts d’urgence |
| Sanctions & Amendes | Risque maximal : RGPD (jusqu’à 4% du CA) | Risque réduit : preuve de diligence et de contrôle | Conformité réglementaire |
| Réputation | Durablement entachée : fuite de données publique | Préservée : gestion de crise professionnelle | Capital confiance maintenu |
| Assurance Cyber | Primes élevées ou refus d’assurer | Primes réduites et meilleures garanties | Optimisation des coûts d’assurance |
| Modèle de dépense | Dépense imprévisible, partiellement couverte par les assurances | OPEX prévisible et budget lissé, primes d’assurance potentielles | Meilleure visibilité financière |
Lire aussi : MTTD, MTTR et équation de la performance en détection au sein d’un SOC
Conclusion
Selon OpinionWay pour CESIN, 48% des entreprises interrogées avaient de 5 à 10% de leur budget IT/digital consacré à la sécurité.
Pour qu’une entreprise optimise son budget alloué à la cybersécurité, il ne suffit pas d’empiler un grand nombre d’outils ou d’acquérir une énième solution logicielle de pointe. Penser que la technologie seule peut assurer votre sécurité face à l’exploitation d’une vulnérabilité est une erreur.
Notre conseil est de transformer cette dépense en un véritable investissement proactif en confiant le pilotage opérationnel à un expert humain, par l’intermédiaire d’un SOC et d’un CERT. C’est le seul moyen de mettre en place une mesure de détection et de réponse efficace pour réagir avant de subir un impact financier désastreux. En adoptant cette approche de résilience, vous maîtriserez chaque risque lié à votre activité et préserverez durablement votre réputation.
Que vous ayez une idée claire de vos besoins ou que vous cherchiez du conseil dans ce domaine, nos équipes sont à votre disposition pour vous accompagner dans vos projets. N’hésitez pas à nous contacter pour échanger sur les enjeux de sécurité informatique de votre organisation.
Auteurs :
Philippe Libotte, Security Delivery Manager (SDM) au sein de la practice CYBERDEFENSE – SOC
