Depuis quelques années, les entreprises comme leurs prestataires sont confrontés à une pénurie de talents, une pénurie particulièrement sévère dans le domaine de la cybersécurité. Faute de personnel, les entreprises se tournent vers les MSSP.
(Photo : Olivier Bellin, Solutions-Numériques)
Guillaume Poupard, directeur général de l’ANSSI l’expliquait clairement lors de l’édition 2022 du FIC (Forum international de la cybersécurité) : « Le sujet RH est ce qui va nous limiter dans les années à venir ». Si les directions générales ont débloqué des budgets ces derniers mois afin de renforcer la sécurité, force est de constater qu’embaucher des experts en cybersécurité reste un exercice difficile et… coûteux. Un benchmark publié par Wavestone fait état de 15 000 postes vacants en France. Cette pénurie est globale, avec 3 millions de personnes qualifiées qui manquent à l’appel dans le monde, dont 700 000, rien que pour les Etats-Unis. L’administration Biden a lancé un plan sur 120 jours pour mettre en place de nouveaux programmes de formation en cybersécurité, un plan qui s’inscrit dans un programme plus large, le “Good Jobs Challenge” qui vise à drainer de nouvelles populations de candidats, dont les femmes, les minorités vers les métiers plus qualifiés
En France, ce déficit de talents a été bien identifié et de nombreux cursus de formation ont été créés ces dernières années. Le plus emblématique est celui de Microsoft qui, sur le modèle de ce qui avait bien fonctionné pour les métiers du Big Data et de l’intelligence artificielle a créé l’Ecole Cyber Microsoft by Simplon.
Le choix pragmatique de l’externalisation
Néanmoins les écoles en cybersécurité ont bien du mal à faire le plein et les entreprises vont devoir vivre encore longtemps en situation de pénurie. Le recours à la prestation externe est le passage obligé dès lors que l’on souhaite créer puis faire croitre une équipe cyber interne. Ce recours à la prestation à un coût et ne fait que transférer cette problématique RH à un tiers qui se retrouve, lui aussi, confronté à un vivier de candidats bien trop restreint. Une autre approche consiste à privilégier les services managés de sécurité. L’exemple du CyberSOC, le SOC (Security Operations Center) géré par un tiers, est emblématique de ce mouvement. Monter un SOC demande d’investir énormément en technologies et surtout embaucher énormément de personnel si on vise un fonctionnement en 24/7. Même les entreprises les plus prestigieuses ou du mal à garnir leurs salles de supervision, d’autant que le turn over est élevé sur les postes d’analystes de niveau 1.
S’appuyer sur l’offre SOC d’un prestataire spécialisé est clairement un moyen pour des entreprises du midmarket de disposer d’un tel service en 24/7, ce qu’elles ne pourraient faire en s’appuyant sur leurs propres moyens. Si les grandes entreprises peuvent prescrire les solutions mises en œuvre par leur prestataire, pour les petites entreprises, le CyberSOC se présente plutôt comme un service clefs en main beaucoup plus accessibles financièrement. De facto, les MSSP (Managed Security Services Provider) français, qu’il s’agisse des grosses ESN, des acteurs spécialisés ou de prestataires régionaux offrent un large panel de services de sécurité externalisés qui ciblent les grandes entreprises pour les uns, les marchés midmarket et PME pour les autres. Fortune Business Insight estime à +12,6% par an la croissance du marché mondial des services MSSP sur la période 2021-2028.
Outre le monitoring temps réel de la sécurité, une étude Forrester pointe logiquement les audits de sécurité et la Threat Intelligence parmi les domaines les plus fréquemment confiés à un tiers. Pour les responsables interrogés, la gestion des systèmes de sécurité reste le service qui présente le plus de valeur à leurs yeux, devant les données d’intelligence sur les vulnérabilités, l’audit cyber et encore la réponse à incidents. Le marché des MSP et des MSSP évolue avec de plus en plus d’acteurs, des concentrations et de plus en plus de services packagés. L’exemple du décollage des services MDR illustre bien le dynamisme du marché. Il existe une foison d’offres EDR/XDR managées par un tiers, avec des MSSP qui se retrouvent parfois en concurrence avec les éditeurs eux-mêmes. Les solutions de sécurité étant de plus en plus proposées en mode Cloud, il peut sembler « naturel » pour un éditeur de monter une offre packagée exploitant sa technologie. Il s’agit souvent de services généralement ultra packagés et industrialisés auxquels répondent les MSSP par une plus grande personnalisation et une proximité géographique souvent appréciée en cas d’incident.
De l’intelligence artificielle pour remplacer les cerveaux manquants ?
L’autre réponse possible au manque de bras dans la cybersécurité est technologique. Elle passe par une automatisation des processus de réponse à incident, notamment par un recours de plus en plus fréquent au SOAR pour traiter les incidents de sécurité bien connus. Tous les opérateurs de SOC managés ne peuvent espérer améliorer la rentabilité de leurs infrastructures que grâce à une industrialisation à outrance des process techniques et à l’automatisation d’une partie de la réponse à incident. Estimé par ReportLinker à environ 1 milliard de dollars en 2021, le marché des solutions de SOAR (Security Orchestration, Automation and Response) est amené à doubler d’ici 2027. IBM, Palo Alto, Google Chronicle (ex-Siemplify), Swimlane, Rapid7 ou Splunk, il existe de nombreux éditeurs qui proposent des solutions d’orchestration matures. Reste aux DOSI et aux RSSI a placer le curseur de l’automatisation en fonction de leurs propres impératifs business. Il n’est jamais facile de devoir expliquer à une direction générale la mise hors ligne de serveurs de production critiques à cause d’une suspicion d’attaque…
L’autre solution souvent évoquée pour pallier les bras manquants consiste à recourir aux algorithmes d’intelligence artificielle. Outre la détection d’intrusion, l’analyse des signaux faibles, l’IA sera amenée à intervenir dans de très nombreux cas d’usage, depuis la détection de fraude, le DLP (Data Loss Prevention), la gestion des identités et des accès, la conformité. Pour autant, une IA omniprésente aura bien du mal à réduire le déficit chronique de talents dont va souffrir le secteur tout au long de cette décennie.
