Sur quels critères choisir son MSSP ?
Vous envisagez de travailler avec un ou plusieurs MSSP afin de sécuriser votre SI ? Mettez toutes les chances de votre côté et posez- leur les bonnes questions. Nos conseils pour bien les choisir avec l’aide des MSSP Metsys et Synetis.
Identifiez vos cyber besoins et leur évolution
Demandez- vous si le ou les cyber services managés dont vous pensez avoir besoin à un instant T, qu’il soit global ou sur un périmètre spécifique de votre SI, évoluera au même rythme que les cybermenaces et les besoins de vos métiers. Le MSSP choisi est- il alors en capacité de vous suivre dans la durée et accompagner votre montée en compétences ?
Corrélez vos besoins à votre budget
Si votre budget est limité et que vous n’avez pas les moyens de superviser des incidents en 24/ 7, mutualisez les ressources avec un MSSP et focalisez- vous sur la gestion des cyber menaces les plus critiques. Vous pourrez ainsi faire monter en charge vos compétences et votre relation avec les MSSP.
Mettez des MSSP en concurrence
Une fois vos besoins identifiés, créez une liste de prestataires qui répondent à vos critères et mettez- les en concurrence, tantôt sur un périmètre spécifique de votre SI ou sur sa globalité, selon la taille de votre entreprise et votre budget. Demandez- leur de réaliser un audit de votre SI, voire un test d’intrusion.
Validez les compétences techniques et services des MSSP
Demandez par exemple qu’est- ce que le MSSP implémente parmi les 11 stratégies SOC du MITRE ? Comment implémente- t- il la définition Gartner du SOAR ? Quelles sont les technologies- clef de détection que le MSSP recommande d’intégrer au périmètre SOC ? Est- ce que le MSSP propose un service de VOC ( « Vulnerabilities Operations Center » ) ou D’EASM ( « External Attack Surface Management » ) ?
Vérifiez les compétences disponibles
Sur un marché où la rareté et la volatilité des cyber compétences est aussi importante, il n’est pas inutile de s’assurer que le MSSP dispose bien des certifications fournisseurs à jour et des collaborateurs annoncés par ses commerciaux. Vérifiez aussi ses niveaux de certification sur le site de l’agence nationale de la sécurité des systèmes d’information ( Anssi).
Optez pour des offres et une tarification claires
Pour éviter les coûts cachés et rendre évolutif votre partenariat, privilégiez un MSSP transparent sur le modèle financier proposé ( voir encadré 4), tant sur ses services managés que sur les licences pour la ou les cyber solutions fournies. En effet, les modèles de facturation ( par abonnement) varient fortement d’un éditeur à l’autre. Ils peuvent être basés sur le volume d’actifs à superviser, le nombre de sièges, de données collectées, etc. Et comment le MSSP vous facture- t- il ses cyber services managés ? Au nombre de tickets traités ou sur un forfait par exemple ?
Souhaitez- vous des services personnalisés ?
Les clients reprochent souvent aux MSSP de ne leur vendre que des cyber services disponibles sur étagère. Ces prestataires peuvent difficilement leur vendre autre chose que des offres bien packagées et industrialisées s’ils veulent qu’elles soient à des prix abordables et bordées juridiquement. Certains MSSP proposent cependant des solutions personnalisées à la carte…, tout comme leur prix.
Faîtes valider le contrat sur le plan juridique
Aux vues des cyber risques et des conséquences désastreuses évoquées, assurez- vous que votre contrat avec le MSSP est en français et bien bordé sur le plan juridique. Est- il valable H24 et sur toute géographie ? Qui est responsable et qui paie les pots cassés en cas de cyberattaque réussie ? Que se passet- il si les outils ou équipes du MSSP ne sont pas disponibles ou au mieux de leurs capacités ?
Favorisez un partenariat dans la durée
La réussite d’une relation avec un MSSP doit être basée sur une confiance dans la stratégie et les solutions proposées, mais aussi dans les équipes qui les gèrent au quotidien. D’autant que les contrats sont souvent proposés pour une durée initiale variant de 24 à 36 mois en moyenne.