Vaut-il mieux construire son activité de renseignement sur les cyber menaces ou la sous-traiter ? 1/2

Alors que les activités de renseignement sur les cybermenaces (CTI) semblent s’être développées à tel point qu’elles sont maintenant un élément essentiel de l’atténuation des risques de cyberattaques, les organisations sont confrontées à une décision qui se résume finalement à un dilemme « make or buy », autrement dit, construire ou sous-traiter. Quelle fonction de cyber defense vaut-il mieux sous-traiter ? Quelle valeur business pourrait générer une activité de CTI maison ? Les ressources techniques et humaines nécessaires sont-elles durables à long terme ? Ce sont des questions que tout manager devrait se poser lorsqu’il décide de construire ou de sous-traiter un service de CTI. Cet article se penchera sur les arguments génériques et ceux liés aux secteurs industriels spécifiques en faveur de l’externalisation ou de la création d’un service de CTI interne.

Le renseignement sur les cybermenaces (CTI) est une forme de renseignement sur les menaces qui se définit comme “[…] des connaissances fondées sur des preuves, y compris le contexte, les mécanismes, les indicateurs, les implications et les conseils axés sur l’action concernant une menace ou un danger existant ou émergent pour les actifs” (Gartner).

Les activités CTI peuvent être réalisées à trois niveaux, à savoir stratégique, opérationnel et tactique, chacun apportant une valeur différente à une organisation. La CTI tactique et opérationnelle peut soutenir les centres d’opérations de sécurité (SOC) dans la détection des menaces, le triage et la hiérarchisation des alertes de sécurité. La CTI stratégique produit des rapports de renseignement destinés aux décideurs qui ont besoin d’une vue d’ensemble du paysage des menaces afin de faire des choix éclairés.

La valeur business de l’utilisation de renseignements sur la menace est la clé pour comprendre le développement constant de ces activités au sein des organisations. Cette croissance a été suivie par le SANS Institute dans une enquête annuelle qui rapporte les tendances et les évolutions des activités CTI. Les résultats de l’enquête publié début 2021 montrent une formidable progression de l’utilisation de la CTI qui est devenue une réalité pour 85% des répondants, contre seulement 60% en 2017. Par ailleurs, la composition du panel de l’enquête, avec une part importante de petites entreprises (24% des répondants travaillant dans une organisation de moins de 500 employés) démontre que la CTI semble largement plébiscitée comme une norme pour les entreprises qui cherchent à protéger leurs actifs. Ces chiffres sont toutefois à prendre avec précaution dans la mesure où les secteurs présentant les plus hauts niveaux de maturité et de sensibilisation aux cybermenaces (MSSP, secteur de l’information) sont surreprésentés. Les fournisseurs de services de cybersécurité, avec plus de 70 répondants travaillant dans le domaine, est le secteur le plus représenté dans le panel.

Un renseignement sur la menace exploitable reposent sur une combinaison d’outils automatisés et de ressources humaines capables de maîtriser ces outils. La pénurie d’analystes hautement qualifiés renforce le besoin d’outils automatisés capables d’effectuer un traitement de haut niveau de l’information. Elle peut être mesurée par la capacité, par exemple, à identifier les données invalides qui pourraient biaiser l’analyse. Le manque d’automatisation peut faire échouer les activités CTI internes, comme en témoignent les réponses à l’enquête de 45% des personnes interrogées, qui ont identifié le manque d’automatisation et d’interopérabilité comme le principal obstacle à la mise en œuvre de la CTI au sein de leur organisation. Ainsi, l’externalisation évite de gaspiller des ressources humaines rares sur des tâches automatisées réalisées plus efficacement par les fournisseurs.

Le marché de la CTI a atteint une grande maturité et la plupart des fournisseurs de services de sécurité gérés (MSSP) ont mis en place des offres qui incluent ou sont entièrement dédiées à la CTI. En bref, la CTI est devenue un service de sécurité essentiel. Ce changement de paradigme apporte des garanties quant au niveau d’expertise des fournisseurs, ces derniers s’appuyant à la fois sur une main-d’œuvre formée à l’analyse des menaces et sur des outils de qualité leur permettant d’automatiser les tâches à faible valeur ajoutée. Les MSSP s’appuient sur des données provenant de ressources externes qu’ils enrichissent avec des renseignements de source primaire provenant de leur propre télémétrie brute et de celle de leurs clients. Ces informations sont très précieuses pour les organisations qui cherchent à avoir une vision plus approfondie de l’état de la menace dans leur secteur d’activité, car le fournisseur offre un panorama de la menace basé sur des éléments concrets. Les règles de détection des malwares, par exemple, seront enrichies par la mutualisation de la télémétrie interne des clients du MSSP. Les menaces les plus pertinentes pour un client étant celles qui visent le secteur dans lequel il opère, l’externalisation des activités CTI à un MSSP peut avoir du sens si la télémétrie et les sources du fournisseur recouvre ce secteur d’activité.

Toute analyse « make or buy » doit se concentrer sur le prix de chaque option. Fixer un prix est crucial, mais un nombre ne dit pas grand-chose sur la qualité du service. Il semble essentiel de procéder à une analyse coût-efficacité. Il existe deux types de coûts inhérents à la mise en œuvre de la CTI dans une entreprise : 1) les coûts de mise en place, 2) les coûts de fonctionnement.

• Coûts de mise en place: Ils sont constitués des dépenses effectuées dans la phase initiale de l’investissement afin d’assurer le lancement du projet. Ils comprennent l’acquisition d’outils automatisés, l’embauche et la formation d’analystes, l’achat de sources externes ainsi que leur intégration au sein des outils et des serveurs, indispensable pour les faire interagir avec la télémétrie interne. Il convient de noter que même si l’OSINT permet d’accéder à de nombreuses informations, les données doivent être sélectionnées et traitées afin de produire des renseignements exploitables.
• Coûts de fonctionnement : La mise en place d’activités CTI internes entraîne des coûts de fonctionnement à chaque niveau du cycle du renseignement. La collecte d’informations pour produire du renseignement peut être alimentée par des sources externes gratuites telles que les flux CTI open-source ou alors par les nouvelles et rapports des médias. Elle peut également être alimentée par des flux de menaces spécifiques qui nécessitent un abonnement périodique car ces flux sont constamment mis à jour. Dans le premier cas, les coûts d’exploitation comprennent surtout le traitement des informations collectées par les analystes CTI. Dans le second cas, les coûts sont redistribués en amont, lors de la phase de collecte.

D’une part, les capacités CTI internes sont coûteuses à développer et à maintenir. D’autre part, la CTI est devenue une activité centrale dans l’écosystème des MSSP. Le marché de la CTI est donc caractérisé par des économies d’échelle (les fournisseurs de services répartissant les coûts entre les clients d’un même secteur), ce qui exerce une pression à la baisse sur les prix des offres de CTI gérées.    Dans une stratégie de différenciation, les fournisseurs de CTI ont développé leurs offres haut de gamme en permettant une personnalisation du produit aux besoins spécifiques du client. Cela peut se traduire par l’intégration de flux de données externes.  Le développement du marché de la CTI a rendu intéressant pour les entreprises, le recours à des fournisseurs spécialisés. En effet, la maturité de ce segment des services de sécurité a rendu l’expertise dans ce domaine essentielle pour les MSSP dont la différenciation s’est faite par des prix attractifs et des offres de catalogue permettant un plus haut degré de personnalisation des services.

Malgré une forte diversification des offres des MSSP, le choix d’un fournisseur externe n’est pas toujours la solution à plus forte valeur ajoutée. En effet, la personnalisation a un prix qui peut varier du simple au triple selon le niveau de sophistication de l’offre. Ainsi, les contraintes budgétaires d’une entreprise peuvent la conduire à se tourner vers une offre générique qui ne répondra pas forcément aux besoins de sécurité de l’entreprise. Une petite entreprise privée du secteur de la défense ou une administration publique peut avoir l’obligation de faire de la CTI sans avoir le budget pour le faire. Dans ce cas, la mise en place de capacités CTI internes permettra de mieux répondre aux besoins en ciblant des exigences plus précises, adaptées au secteur dans lequel l’entreprise évolue.

Les offres CTI des MSSP positionnés en « best value for the money » peuvent rester inaccessibles des petites et moyennes organisations. Pourtant, la réalisation d’activités CTI ne se traduit pas nécessairement par des équipes importantes et des outils de haut niveau. Selon l’enquête du SANS Institute, qui a portée sur des entreprises de toutes tailles dans des secteurs relativement matures, moins de la moitié des organisations interrogées (44,4%) disposent d’une équipe CTI dédiée et 13,8% gèrent la CTI avec une seule personne. La mise en place d’activités CTI en interne peut répondre plus efficacement à la demande de sécurité et permettre aux organisations de se développer à leur propre rythme.

Le renseignement sur les cybermenaces, comme toute forme de renseignement, fonctionne comme un cycle composé de différentes phases (planification, collecte, traitement, analyse et diffusion). La phase d’analyse produit des rapports de renseignement finis, prêts à être diffusés dans l’ensemble de l’organisation. Disposer de capacités internes de renseignement sur les cybermenaces permet de mieux diffuser les rapports de renseignement à travers les différentes fonctions de sécurité, notamment les analystes du SOC, les RSSI et les équipes de réponse aux incidents. En fin de compte, les parties prenantes travaillant dans ces domaines bénéficieront d’une collaboration avec les analystes de la CTI. Les entreprises qui ont de nombreuses activités à l’étranger utilisent les informations communiquées par les analystes de la CTI pour sensibiliser leurs employés aux nombreux cyber-risques. De même, la diffusion des renseignements à travers divers canaux de communication peut contribuer à l’instauration d’une culture de la cybersécurité en sensibilisant les employés aux cybermenaces visant l’organisation pour laquelle ils travaillent. Enfin, les parties prenantes de l’entreprise peuvent bénéficier d’une meilleure flexibilité concernant les ajustements des exigences de la CTI en cas de nouvelle orientation de la menace. A noter qu’une entité peut être conduite à garder secrète son orientation actuelle en matière de renseignement sur les menaces pour des raisons de sécurité.

Les principaux arguments théoriques concernant ce dilemme construire/acheter sont exposés dans cette première partie.

La deuxième partie s’intéresse au retour sur investissement (ROI) sur la base d’une approche verticale du marché.