277 jours. C’est le temps moyen qu’il faut aux entreprises pour identifier et remédier à une fuite de données. Cette terrible statistique, révélée par le rapport annuel d’IBM sur le coût d’une faille de cybersécurité, fait écho à deux autres chiffres, empruntés cette fois à l’étude 2020 de Sumo Logic sur les opérations de sécurité et l’automatisation : 99% des entreprises estimaient en 2020 que le volume d’alertes était tel qu’il constituait un problème pour leurs équipes de cybersécurité et 93% disaient être incapables de les traiter toutes le jour où elles leur parvenaient.
Voilà pourquoi les centres d’opérations de sécurité – ou security operations centers en anglais, abrégés en SOC – qui sont chargés de détecter et analyser les menaces cyber constituent « un pilier fondamental de la cybersécurité opérationnelle », affirme Samuel Hassine, ancien de l’Anssi aujourd’hui directeur de la stratégie et des opérations de sécurité chez Tanium. C’est le carrefour de la cybersécurité en entreprise : il agrège les données du trafic réseau, celles remontées par les différents outils de sécurité, collecte les logs et permet ainsi d’accélérer la réponse à incident.
Une mission qui s’est étoffée à mesure que les environnements de travail se sont complexifiés. « Les entreprises ont aujourd’hui des systèmes d’information très distribués, certaines avec une politique bring your own device, et des environnements de travail hybrides : cela a augmenté la surface d’attaque et le besoin de surveiller les infrastructures de manière continue. »
La lassitude des analystes SOC
Pourtant, si la liste des tâches des SOC s’est allongée, les analystes, eux, ne se sont pas démultipliés. Bien au contraire. Le métier est l’un des plus pénuriques de la cybersécurité. Et les entreprises ont bien du mal à garder les rares analystes déjà en poste. Le principal défi des centres d’opérations de sécurité aujourd’hui consiste à ne pas devenir « des cimetières d’analystes au bout du rouleau », constate avec lucidité Samuel Hassine.
Et pour cause : les tâches associées au premier échelon de ce poste qui en compte 3 sont particulièrement répétitives. Les analystes de niveau 1 sont ainsi chargés de trier les alertes cyber pour identifier les véritables menaces, qui seront ensuite prises en charge par les analystes de niveaux supérieurs, et écarter les erreurs ou les failles mineures pouvant être résolues par les outils dédiés. « C’est un travail répétitif, où la fatigue et la démotivation guettent », constate Cyrille Badeau, directeur Europe de la plateforme de renseignements sur les menaces ThreatQuotient.
Cette lassitude des équipes en place rend le métier d’autant moins attractif que les perspectives d’évolution sont contraintes par la forte hiérarchisation du métier. « La promotion dans la chaîne des SOC est fondée sur l’expérience : pour être un bon niveau N, il faut avoir été un bon niveau N-1. Il est peu probable qu’un analyste soit engagé directement à un niveau supérieur. » Conséquence : « parmi les métiers de la cybersécurité, ceux liés aux centres d’opérations de sécurité présentent les plus fortes tensions sur le marché », note Yann Bonnet, directeur général délégué du Campus Cyber.
Élargir le vivier de talents
Ouvert en début d’année, le Campus Cyber explore différentes pistes pour promouvoir le métier, notamment celle de la diversification des profils. « Il faut sortir de l’idée que ces métiers sont réservés à des ingénieurs », s’agace Yann Bonnet. « Il y a une tendance à vouloir former des élites, reconnaît Pierre-Emmanuel Scelles-Denni, consultant en recrutement IT au sein du cabinet spécialisé Clémentine. Il en faut mais ils ne voudront pas rester analystes SOC toute leur vie. » La solution ? « Recruter des bac+3 qui vont pouvoir évoluer et devenir des experts », intime Yann Bonnet. Mais aussi des personnes en quête d’un nouveau tournant dans leur vie professionnelle. « Beaucoup de personnes qui travaillent dans les DSI cherchent à se reconvertir en se formant à la cyber. Ce sont des profils qui ont beaucoup de valeur pour les entreprises », note le directeur général délégué du Campus Cyber.
Cette évolution devrait impliquer d’ici peu un élargissement des missions des SOC, notamment vers le renseignement. « Le métier d’analyste de renseignement est souvent prisé des anciens analystes SOC. C’est un travail différent, qui implique d’avoir de l’expérience dans d’autres domaines que la cybersécurité, comme l’intelligence économique ou géostratégique. Tout comme celui de l’analyse et de la gestion du renseignement cyber, qui requiert de s’y connaître en management du risque. »
Miser sur l’automatisation
Les avancées technologiques, notamment le perfectionnement du machine learning, ont aussi permis de délester les analystes en poste des tâches les plus élémentaires. Et donc de soulager les analystes de niveau 1 des missions les plus rébarbatives. Les algorithmes sont désormais capables de repérer les faux positifs et d’opérer un premier tri dans la masse d’alertes. Le SOC peut s’appuyer pour cela sur des outils de plus en plus performants.
Mais qui sont encore loin d’être « magiques », prévient Samuel Hassine. Il souligne le travail que demande l’interopérabilité des différentes solutions technologiques de sécurité. « Les outils de détection automatique aujourd’hui sur le marché nécessitent énormément d’adaptation, de développement pour s’insérer dans le workflow de l’entreprise et intégrer des systèmes tiers. Il faut plusieurs années de travail à un SOC mature pour profiter pleinement des outils les plus performants du marché. »
