Manque de compétences cyber, complexité excessive des solutions mises en œuvre, besoin d’une sécurité en 24/7… De plus en plus d’entreprises sont contraintes de se tourner vers les MSSP et éditeurs de services managés pour assurer leur sécurité.
Les chiffres varient d’un cabinet d’analyste à un autre, mais l’industrie des services managés de sécurité va connaitre une croissance à deux chiffres lors de ces prochaines années. Le service le plus emblématique de ce marché, c’est le cyberSOC ou SOC (Security Operations Center) managé. Tous les géants des services informatiques se sont positionnés avec des dizaines de SOC situés sur les différentes plaques géographiques afin d’offrir un service “Follow the Sun” et des milliers d’analystes. Forrester classe IBM, Accenture, Trustwave, AT&T Cybersecurity, Secureworks et Capgemini parmi les leaders d’un marché qui répond aux besoins des multinationales et des grandes organisations. Mais outre cette vingtaine de géants mondiaux, de multiples acteurs de la cyber ont créé ce type d’offres à une échelle française ou européenne. C’est le cas de Synetis, un opérateur de SOC qui a récemment noué un accord avec Gatewatcher. Frédéric Le Landais, directeur des opérations de Synetis, explique son positionnement : « La sécurité opérationnelle est une grosse activité pour nous dans laquelle nous avons des services managés de sécurité, la partie SOC avec le suivi des incidents et des remontées d’événements de sécurité. La réponse à incidents est réalisée avec l’équipe CERT qui travaille en binôme avec le SOC afin de proposer des offres de bout en bout à nos clients. » L’ESN vient de se doter d’un nouveau SOC afin de proposer une prestation en 24/7, mais aussi offrir des services managés sur des briques de sécurité unitaires, comme l’EDR.
L’EDR/XDR managé, le nouvel eldorado des ESN
Autre acteur à lorgner sur ce marché très porteur, Cloud Temple, l’un des très rares fournisseurs Cloud à être qualifié SecNumCloud. Positionné auprès du secteur public et de l’industrie, Cloud Temple compte Naval Group ou Groupe Avril parmi ses clients : « Au-delà de fournir des infrastructures de Cloud de confiance, nous fournissons des ressources de transformation numérique pour aider nos clients sur le Build, le Build to Run et le Run » explique Christophe Lesur, Chief Executive Officer de Cloud Temple. « Dans ce cadre nous délivrons une prestation SOC sur les périmètres qui nous sont confiés en infogérance. » En outre, Cloud Temple assure la gestion de l’EDR de ses clients en mode managé, un marché extrêmement dynamique que se disputent les MSSP, parfois les éditeurs avec leurs offres MDR.
L’expansion rapide du marché SOC/EDR aiguise de nombreux appétits. Ainsi, si Dell Technologies est bien connu pour ses PC et ses serveurs, le texan développe une activité cyber intense aux Etats-Unis. Il propose des services d’assessment, de l’audit, de pentest, de protection des assets, des services de SOC et enfin de restauration des données. « Nous comptons plus de 5 000 clients sur notre SOC » affirme Raphael Bargas, responsable France des ventes Cyber chez Dell Technologies. « Beaucoup sont aux Etats-Unis, mais nous avons aujourd’hui des équipes tout autour de la planète pour faire du “Follow the Sun”, des centres pour répondre aux appels sur les plaques asiatique, européenne et, américaine. » Dell propose désormais une offre d’XDR managé avec un logiciel maison, Taegis XDR. « Nous avons fait l’inverse de 90 % des acteurs SOC. Nous venons du monde de la réponse à incident et nous avons développé nos propres outils. Notre EDR n’était au départ qu’une sonde qui pouvait être très rapidement déployée en cas d’attaque afin de récolter les artefacts et retrouver au plus vite le “Patient Zéro”. Lorsque nous avons développé notre offre SOC, nous avons embarqué cet EDR. »
La liste des services de cybersécurité disponibles en mode managé ne se limite pas aux seuls services SOC et EDR/XDR. De nombreuses fonctions cyber ont tout intérêt à être mutualisées auprès d’un prestataire.
De la gestion des identités au pentesting
C’est le cas des services liés à la gestion des identités, à la Cyber Threat Intelligence, au pentesting, avec des degrés de standardisation et d’industrialisation des services très variables. Rui Shantilal, cofondateur d’Integrity, société de conseil cyber rachetée par Devoteam en 2021, souligne : « Le pentesting demande beaucoup de ressources humaines. Si on automatise complètement le test, on ne peut reproduire les attaques réelles. Même si nous avons une équipe de plus de 100 personnes et qu’une partie importante du pentesting peut être automatisée, le pentesting aura du mal à se démocratiser. »
Le Cloud accélère l’externalisation des services de sécurité
Si le monde du service et de MSSP est en ébullition pour capter cette croissance, le Cloud vient apporter son grain de sel dans ce festin. En effet, de plus en plus de services et solutions de sécurité sont disponibles dans le Cloud et opérés au niveau mondial par des acteurs qui proposent des solutions rapides à mettre en œuvre et qui abaissent de manière spectaculaire la complexité de mise en œuvre des solutions. C’est par exemple le cas du Cloud Protector, un service de WAF as a Service édité par Ubika, nouveau nom de DenyAll, sorti du giron de Rohde & Schwarz. « Cloud Protector traite 310 millions de requêtes par semaine, pour toutes sortes de clients : des acteurs du e-commerce, du secteur public, dans l’industrie et les services » explique Valentin Artaud, channel Manager chez Ubika. « Notre volonté est de proposer une solution aux entreprises afin d’être agnostique vis-à-vis des Cloud providers pour la sécurité de leurs applications. Les premiers retours d’expérience des clients de cette offre nous ont amenés à créer un package de services managés. L’avantage est de pouvoir s’appuyer sur des professionnels de la cybersécurité, un chef de projet désigné et une tarification à l’usage. »
D’autres acteurs proposent des offres beaucoup plus larges. C’est le cas de Zscaler avec ses services de Cyber Threat Protection de protection des données, de ZTNA (Zero Trust Network Access) et de Digital Experience. Abdel Mokadem, Sales Engineering Manager de Zscaler France, souligne quelques atouts de cette offre intégrée : « Zscaler intervient notamment sur la Cyber Threat Protection : en tant qu’intermédiaires, nous sommes les mieux positionnés pour analyser l’intégralité du trafic, identifier les communications malicieuses, les tentatives d’exfiltration de données et agir directement sur le trafic et pas uniquement lever des alertes. La partie Data Protection permet de s’assurer que les collaborateurs de l’entreprise utilisent à bon escient les services Cloud et n’exposent pas des informations confidentielles. Zscaler dispose de fonctionnalités permettant de protéger les données de l’entreprise et celles des collaborateurs. »
C’est sans doute le modèle “Zero Trust” qui bénéficie le plus d’une approche Cloud intégrée puisque toutes les composantes du modèle peuvent être gérées et opérées par le prestataire, avec l’assurance que chacune des briques en place communique bien avec les autres : « Outre le concept de Least Privilege, nous poussons le modèle Zero Trust un cran plus loin en apportant une abstraction de la connectivité réseau. Les autres solutions effectuent le contrôle de l’identité et de l’accès à la destination.
Détrôner les VPN d’entreprise
Nous, nous effectuons une abstraction complète de l’architecture réseau sous-jacente sur laquelle vient se positionner l’application. Cette abstraction réduit drastiquement la surface d’attaque et augmente la posture de sécurité car le malware qui viendrait infecter le poste d’un utilisateur sera dans l’incapacité de scanner le réseau et d’effectuer des mouvements latéraux. » Venu de la protection DDoS, Cloudflare cherche à détrôner les VPN d’entreprise pour connecter via sa plateforme les utilisateurs ainsi que gérer les flux sortants, qu’ils soient applicatifs ou vers le Web. « L’offre “Zero Trust” inclut le ZTNA, la passerelle Web, le CASB, le DLP, isole la navigation des utilisateurs au niveau Edge pour nettoyer ce trafic de tout élément suspect » argumente Boris Lecœur, directeur général de Cloudflare France. « Sur la protection des infrastructures, nous allons apporter des couches de protection Cloud à un datacenter exposé sur Internet, à l’image de la CNAM qui protège ses deux datacenters derrière Cloudflare. »
L’écosystème de la cybersécurité évolue désormais rapidement. D’un marché d’appliances, il se dirige de plus en plus vers des solutions dématérialisées dans le Cloud et des ressources humaines de plus en plus hybrides, entre maigres ressources internes, prestataires et services managés plus industrialisés.
A l’inverse, CASB (Cloud Access Security Broker), NDR (Network Detection and Response), CSPM (Cloud Security Posture Management) et SDP (Software-Defined Perimeter) sont les services les plus fréquemment consommés sur le Cloud.
