Réservé à quelques OIV et grandes entreprises du CAC40 il y a encore une dizaine d’années, le SOC est désormais accessible à toutes les entreprises. Nouvelles solutions techniques, nouveaux modèles financiers, apports de l’automatisation et de l’IA ont enfin démocratisé cette brique de sécurité emblématique.
Il y a 10 ans, le SOC n’était concevable que comme une structure extrêmement coûteuse, mobilisant des dizaines d’analyses afin de trier des centaines de milliers d’alertes collectées aux quatre coins du système d’information. Un sport de haut niveau limité à quelques grandes structures, essentiellement poussées par un haut niveau de risque et une réglementation contraignante. Cette situation a fort heureusement évolué et il est de plus en plus simple et moins coûteux de pouvoir s’appuyer sur un SOC.
Les analystes de The Business Research Company1 annoncent une croissance annuelle de près de 11 % en 2022 de ce marché au niveau mondial, mais de nombreux MSSP français annoncent une croissance bien plus forte sur leur activité SOC. Jean-Nicolas Piotrowski, PDG d’iTrust, un éditeur toulousain de solutions de cybersécurité, souligne : « Depuis environ deux ans, nous avons noté une forte augmentation de la demande, nous avons réalisé 35 % de croissance en 2022, en grande partie tirée par notre activité SOC. Auparavant, le SOC était l’affaire des grands groupes. Aujourd’hui, il concerne aussi les ETI, les collectivités locales. » L’éditeur a notamment soutenu cette croissance avec une opération SOC à 1 € (par lit d’hôpital) pour le secteur hospitalier et a pu adapter son modèle de pricing aux capacités d’investissement des petites structures. « Nous éditons notre propre SIEM, ce qui nous donne l’avantage de ne pas dépendre de la politique de pricing d’un éditeur tiers américain et de pouvoir faire des offres adaptées aux besoins réels du marché, proposer un ticket d’entrée très bas et des coûts sans surprise. » iTrust propose ainsi son offre SOC à de tous petits acteurs comme des cabinets d’avocats, des notaires, avec un coût annuel de l’ordre de 1 000 à 3 000 euros.
Jean-Baptiste Voron, CTO d’Atos Digital Security, un poids lourd du SOC en France, confirme cette évolution du marché : « Mettre en place un SOC interne est à la fois très complexe, très coûteux et le retour sur investissement est difficile à atteindre. Entre 2018 et 2021, beaucoup d’entreprises se sont épuisées à vouloir mettre en œuvre des SOC très orientés infrastructures et basés sur une collecte massive de logs. Elles ont essayé de mettre en œuvre de l’intelligence artificielle, sans gains substantiels. » Devant les difficultés à former et maintenir en équipe interne des analystes SOC en 24/7, beaucoup d’entreprises ont cherché à hybrider le modèle auprès de prestataires, avec notamment un niveau 1 placé en externe et des niveaux 2 et 3 traités en interne. « Les modèles d’opération sont devenus très compliqués à mettre en œuvre, jusqu’à ce qu’on observe une bascule avec des entreprises qui souhaitent avancer pas à pas et ne plus tenter d’atteindre le 100 % de couverture d’emblée. »
L’externalisation et le Cloud ont changé la donne
La démocratisation du SOC a longtemps été freinée par le coût de mise en œuvre des SIEM de première génération. Véritable fondation technique du SOC, les SIEM avaient la réputation d’être difficiles et coûteux à déployer, mais aussi à opérer. Avec des éditeurs qui facturaient leur SIEM au nombre d’événements par seconde, certains clients voyaient leur facture multipliée par 4 ou 5 en l’espace d’une année. Depuis, des solutions de nouvelle génération sont apparues et le tsunami du Cloud a redistribué les cartes. De nombreux acteurs proposent désormais des solutions SIEM dans le Cloud dont Splunk, Elastic et IBM qui propose aujourd’hui une version “Cloud native” de son SIEM QRadar. Deux Gafam se sont invités sur ce marché : Microsoft avec Sentinel et Google avec Chronicle, des acteurs qui tendent à abaisser encore le ticket d’entrée.
En outre, une révolution bouscule ces architectures, elle vient du côté endpoint : c’est la révolution de l’EDR. Beaucoup d’entreprises ont déployé des EDR sur leurs serveurs et leurs postes clients afin de se protéger des attaques de ransomware. Jean-Baptiste Voron explique : « Les SOC ont été construits sur la volonté de protéger les infrastructures IT. Or les usages évoluant, on s’est peu à peu rendu compte que la Digital Workplace et le Cloud étaient insuffisamment couverts. Avec les EDR, la cybersécurité s’est recentrée sur le endpoint, c’est-à-dire non plus là où se trouve la donnée, mais sur l’utilisateur. » L’expert souligne que si l’EDR simple permet d’aller très vite et couvrir des dizaines de milliers d’endpoints très rapidement, l’approche nécessite de compléter avec du NDR afin de détecter les menaces au niveau des réseaux eux-mêmes. « Les PME commencent avec un EDR sur un scope restreint, puis avancent progressivement vers un SOC complet. »
XDR vs SIEM, le match
L’approche XDR vient pallier les manques de l’EDR en lui ajoutant d’autres sources de données, notamment en intégrant les logs générés d’autres briques de sécurité. C’est notamment la stratégie de Barracuda Networks. Depuis l’acquisition de Skout Cybersecurity en juillet 2021, l’américain s’est positionné sur le marché XDR à destination du midmarket. « Le XDR remonte des informations depuis les endpoints, les firewalls, briques d’authentification MFA. Notre stratégie est de proposer une offre homogène aux PME en maitrisant nous-mêmes toutes ces briques de sécurité », explique-t-il. L’éditeur propose son XDR en mode MSP : « Nos partenaires peuvent la proposer en marque blanche, et, en cas d’incident détecté par nos équipes, soit nous appelons le partenaire qui va prendre en charge la gestion de l’incident, soit nous appelons le client directement, selon son choix initial. »
Le SIEM traditionnel va-t-il céder la place au XDR Cloud ? C’est la position de l’éditeur français Sekoia.io qui propose son XDR en mode SaaS, hébergé chez OVH et Scaleway. « Notre différenciant est d’avoir pris le parti d’étudier les attaquants, les modes opératoires, leurs outils. Cela nous permet de qualifier et contextualiser les alertes » explique Nicolas Caproni, responsable de l’équipe Threat Intelligence de Sekoia.io, un éditeur de cybersécurité européen. « Nous avons pris le parti de ne pas facturer au volume de données, mais au nombre d’assets. Pour assurer une bonne sécurité, il faut être capable de traiter un maximum de sources de données, avec les logs des antivirus, des EDR et de tous les types d’environnements. Une PME n’aura que 200, 300 assets, peut-être moins, donc le prix sera faible et elle n’aura pas à se soucier de la verbosité de ces éléments et de la quantité de données envoyée sur Sekoia.io. »
Pour Guillaume Djourabtchi, CMO de l’offre mySOC d’Advens (conseil et expertise en cybersécurité), l’approche XDR doit encore prouver sa valeur : « Les offres MDR surveillent essentiellement l’activité des endpoints, l’Active Directory, parfois des ressources sur le Cloud public et n’ont pas la couverture d’un SOC traditionnel. » Des approches comme l’Open XDR apportent déjà un élément de réponse à cette critique estime Nicolas Caproni : « Notre catalogue d’intégration compte déjà 120 solutions d’autres éditeurs, dont des antivirus, des EDR, des NDR, etc. Nous faisons partie de l’alliance Open XDR Platform avec GateWatcher, HarfangLab, etc. »
