La complexité croissante des technologies, le besoin de maîtrise des coûts et le manque de ressources humaines sont les principaux critères qui plaident pour un recours à l'externalisation de la cybersécurité. Points de vue croisés de trois spécialistes.
« Peu d'entreprises ont véritablement les moyens d'exploiter un SOC en interne. L'externalisation est un moyen intéressant de bénéficier des services d'un SOC. Un SOC, ce sont beaucoup de processus extrêmement complexes et le recours à des ressources humaines est très compliqué pour une entreprise lambda. Mais comme pour tout projet d'externalisation, on ne peut externaliser que ce que l'on maîtrise déjà bien en interne. L'entreprise qui choisit ce processus doit être à même de juger de la pertinence de ce que lui propose son prestataire. En outre, un SOC est en évolution permanente. Celui mis en place à une date donnée ne sera plus le même six mois plus tard et sera encore différent un an après. C'est une évolution permanence, dont les contrats doivent absolument tenir compte. Le volet contractualisation est critique dans le succès d'une opération d'externalisation telle que celle du SOC. » Alain Bouillé, délégué général du Cesin (Club des experts de la sécurité de l'information et du numérique).
« Les entreprises privilégient aujourd'hui une approche forfaitaire, sans coûts cachés. Le modèle « As a Service » permet à tous types d'entreprises d'accéder à des services de sécurité clé en main, mais c'est aussi un outil de visibilité et de maîtrise des coûts. L'approche forfaitaire, sans coûts cachés, est plébiscitée. Cela permet d'aller vers une facturation plus simple, prédictible, avec une maîtrise des coûts dans la durée sans pour autant être limité en matière de services. Nous mettons en place avec nos clients un catalogue dans lequel l'entreprise peut choisir d'activer des services complémentaires en cas de besoin. Le forfait suit les évolutions d'activité de l'entreprise et c'est une formule très efficace, car aucun des contrats de CyberSOC que nous avons signés avec nos clients n'a dû faire l'objet d'un avenant sur sa durée. » Arnaud Hess, responsable du Business Development chez Advens.
« La plupart des entreprises qui vont vers le CyberSOC empruntent un même chemin. Les moins matures estiment que la cybersécurité n'est pas une problématique pour elles et n'ont pas besoin de services de sécurité. Puis, lorsqu'elles commencent à s'intéresser au sujet, elles essaient généralement de le faire seules, car elles croient dans la promesse technologique, or la cybersécurité s'appuie sur la règle des trois P : Product/People/Process.
Tout miser sur un produit conduit généralement les entreprises à quelques déconvenues et, le plus souvent, celles-ci se tournent vers les services managés. Là où nous pouvons les aider, c'est, notamment, dans des domaines qui restent inaccessibles ou peu rentables pour beaucoup d'entreprises, comme adresser des nouvelles technologies sur lesquelles elles n'ont pas encore de compétences en interne (par exemple, le cloud ou l'IoT), voire des technologies sur lesquelles elles n'ont plus de compétences, comme les systèmes legacy, car les spécialistes en interne ont quitté l'entreprise ou la DSI concentre ses forces sur les technologies plus actuelles. Enfin, l'externalisation est une réponse à un besoin de H 24.
D'autre part, il y a un besoin de couverture internationale et d'avoir des experts à proximité des centres opérationnels. Il est plus facile de disposer de ressources aux États-Unis pour sécuriser une filiale américaine, par exemple, et il est nécessaire, en Chine, d'avoir un CyberSOC chinois. » Laurent Célerier, CTO d'Orange Cyberdéfense.