Gérôme Billois, partner spécialisé en cybersécurité et digital trust chez Wavestone
« Les entreprises mènent actuellement beaucoup de projets d’externalisation de la surveillance de leur système d’information, notamment de la détection et du suivi d’incidents de sécurité. Le Cyber SOC a été le service le plus emblématique de cette externalisation, mais on voit qu’aujourd’hui cette externalisation évolue aussi. Alors que les entreprises avaient tendance à vouloir externaliser l’ensemble du SOC, donc à la fois le volet technique avec les outils de collecte des journaux, la plate- forme de centralisation des événements et recherche de corrélation et bien évidemment les analystes de niveaux 1, 2 et 3 qui assurent le traitement de ces événements. Le problème de cette externalisation, c’est qu’il s’agit de surveiller un système d’information qui est amené à vivre et évoluer en permanence. Nouvelles applications, périmètre de l’organisation qui peut varier au rythme des fusion/ acquisition, nouvelles activités, il faut avoir quelqu’un qui va faire le lien entre ces évolutions du système d’information et les prestataires de détection, sinon la qualité de la surveillance va se dégrader mois après mois. C’est la raison pour laquelle une approche plus hybride est en train de s’imposer, avec des équipes internes qui sont chargées de la surveillance et de la détection et qui s’assurent que le puits de log internalisé reste cohérent par rapport aux évolutions du système d’information. À côté de cela, le prestataire va apporter des ressources humaines additionnelles pour assurer la surveillance de niveaux 1, 2 et parfois 3. Il fera évoluer son outillage de surveillance en fonction des évolutions métier. »