Le sujet de la cybersécurité est à la mode. Nombreux sont les acteurs utilisant ce terme accrocheur de façon à déclencher l'acte d'achat. Au risque de déplaire à certains, la cybersécurité ce n'est que du classique remis au goût du jour, un terme à la mode... Mais selon quels critères évaluer un fournisseur de services en cybersécurité ?
Voici 5 "critères" pour évaluer le niveau de maturité d'un fournisseur de services de cybersécurité.
1 - capacité à évaluer son propre niveau de sécurité
Un fournisseur de services de cybersécurité doit être en mesure de présenter à ses clients et prospects de quelle façon il a organisé sa propre sécurité et comment il se protège lui-même des menaces. Car, outre le fait qu'il est lui-même la cible d'attaques (tout le monde étant une cible potentielle), plus il aura de clients et plus il deviendra une cible intéressante. Se rappeler de la compromission de RSA en 2011.
L'expérience montre que les attaques ciblent autant les partenaires d'une société que la société elle-même. S'assurer que son prestataire assure sa sécurité et sait la maintenir dans le temps de façon efficace est donc essentiel. Il faut donc poser les bonnes questions en rentrant dans les détails et ne pas se contenter d'un simple "discours bullshit" mais demander des métriques et des éléments factuels.
2 - un large spectre de services matures
Le sujet de la cybersécurité est complexe. Un fournisseur de services de cybersécurité doit donc proposer un large panel de services permettant de répondre à des besoins variés. Point de salut pour les catalogues sans cohérence, ceux uniquement focalisés sur de la technique pure ou affichant des produits et services en "roadmap" depuis des lustres.
Etre un fournisseur de services de cybersécurité c'est savoir mélanger entre eux des méthodes, des solutions techniques, une compréhension pointue de la menace et des enjeux avec des équipes opérationnelles entrainées et expertes dans leur domaine.
Au-delà des services proposés, un élément clef pour la performance et d'efficacité réside dans la capacité que le fournisseur de services aura à s'intégrer dans le contexte client et à y fondre ses services de façon la plus naturelle possible.
3 - amélioration des compétences et rétention des experts
Un autre facteur clef pour évaluer un fournisseur de services de cybersécurité réside du côté de son personnel. En effet, outre les chiffres qu'il annoncera (« nous avons 800 experts en cybersécurité », « 14 SOC dans le monde » ou « une base de plus 5000 équipements de sécurité », etc.), in-fine c’est le niveau d’expertise des personnes qui fera la différence sur le terrain.
Un fournisseur de services de cybersécurité digne de ce nom investira de façon claire, massive et affichée dans le développement des personnes via des cursus de formation variés et un programme volontariste de rétention des personnes avec des rémunérations attrayantes et des projets dignes de les conserver en interne.
4 - capable d'agir rapidement et efficacement
La tendance actuelle est aux attaques ciblées basées sur l'utilisation de techniques d'ingénierie sociale comme le "Spear Phishing" ou la capacité à exploiter des vulnérabilités très récentes voire parfois inconnues. Dans un tel contexte, la réalité d'une intrusion est donc à considérer comme étant tout à fait normale car aucun système n'est totalement sécurisé.
La capacité du fournisseur de services de cybersécurité à détecter et agir rapidement à la menace est donc un élément clef. Outre la vélocité même de la réaction, celle-ci doit être pertinente et efficace : on retrouve ici l'importance de disposer de "services matures" mis dans les mains d'experts compétents et en nombre suffisant.
5 - un acteur durable capable d'assumer ses responsabilités
Confier tout ou partie de la sécurité de son patrimoine informationnel à un fournisseur de services de cybersécurité est une décision importante. Outre les différents critères présentés précédemment, il est important de sélectionner un acteur ayant l'assise et la réputation nécessaires pour que cette relation de confiance puisse s'établir sereinement et perdurer dans le temps.
Sa capacité de résilience intrinsèque à des évènements imprévus (qui ne manqueront pas de survenir) est un élément critique. En effet, c'est dans les "moments durs" que la solidité d'une relation est éprouvée. Voir son prestataire jeter l'éponge devant l'adversité ou les difficultés, que ce soit plus ou moins fait de façon directe ou détournée, doit être pris en compte dans les critères de choix.
le devoir d'introspection du fournisseur
Un fournisseur de services de cybersécurité digne de ce nom devra donc (cf. le premier critère "capacité à évaluer son propre niveau de sécurité") se poser les bonnes questions afin d'évaluer comment il se positionne vis-à-vis de ces critères.
Pour ce faire, rien de tel qu'une personne ayant des convictions et le dynamisme pour annoncer la couleur sans détour et prendre le taureau par les cornes sur les sujets sensibles. Après, qu'elle soit entendue et qu'elle ait les moyens d'agir concrètement reste un débat en soit : je vous encourage à lire ou à relire l'article d'Eric Wiatrowski "la solitude du RSSI à 10 000 pieds".
Jean-François Audenard (aka Jeff)
Crédit photo : © Photo-K - fotolia.com
Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la sensibilisation à la sécurité. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens