Voici un article sur la façon dont Bitdefender a intégré les principes de l’excellence opérationnelle dans son service managé de détection et de réponse (MDR), pourquoi c’est important et comment d’autres peuvent faire de même.
Cet article se concentre sur la façon dont les principes d’excellence opérationnelle peuvent permettre une plus grande évolutivité, automatisation et résilience en cybersécurité.
Naviguer dans le monde « nébuleux » des services MDR
Alors que les cybermenaces ne cessent de croître, les équipes de sécurité des organisations ont du mal à suivre le rythme : un centre d’opérations de sécurité (SOC) traite plus de 10 000 alertes par jour en moyenne. Le traitement est tellement « épuisant » que la plupart des SOC trient moins de la moitié des alertes entrantes et n’ont souvent pas le temps de procéder à des analyses complètes lorsque des incidents se produisent. Cela conduit à des rapports inexacts et à une compréhension incomplète des attaques. En raison de ces difficultés, les organisations se tournent de plus en plus vers les services managés de détection et de réponse (MDR) pour les aider à traquer, atténuer et contenir les cybermenaces. Selon Gartner, 50 % des organisations utiliseront des services MDR d’ici 2025.
Malheureusement, ces services se transforment trop souvent en « usines à alertes » qui surchargent encore plus les équipes de sécurité et n’apportent que peu de valeur, laissant les responsables de la sécurité insatisfaits de leurs investissements et leurs organisations pas mieux protégées qu’auparavant.
Une grande partie du défi entourant les services MDR provient d’un manque de standardisation de l’industrie sur ce qui constitue réellement le MDR, comment ces services devraient être exécutés et comment mesurer leur succès. Il n’y a guère d’accord dans le secteur sur ce qui constitue exactement une chasse aux menaces (Threat Hunting), sur ce qui constitue une réponse et sur les paramètres à utiliser pour juger de l’efficacité du service.
Par exemple, certains fournisseurs se contentent d’alerter les clients d’un incident et considèrent qu’il s’agit d’une réponse, laissant le client se débrouiller seul. D’autres essaient de démontrer la valeur de leur service MDR en mesurant le nombre d’incidents identifiés – mais cela ne mesure que la quantité, pas la qualité. Cela n’aide pas le client à comprendre ce qui se passe dans son environnement, pourquoi il y a tant d’incidents, ou ce qu’il peut faire pour devenir plus résilient face aux menaces futures. Encore moins de fournisseurs de MDR ont mis en place des processus opérationnels pour évaluer les leçons tirées de chaque incident et pour transmettre ces connaissances afin qu’elles puissent être appliquées aux événements futurs.
Ce manque de normalisation dans l’ensemble du secteur rend extrêmement difficile pour les organisations de comparer avec précision les services MDR offerts par différents fournisseurs. Il est même difficile pour les analystes d’évaluer avec précision les services MDR dans leurs rapports, car les approches sont si différentes qu’il est impossible de faire une comparaison directe.
Mais aucun responsable de la sécurité ne devrait payer pour un service MDR et ne bénéficier que de cette « usine à alertes » à la place. Il doit être sûr d’en avoir pour son argent et de pouvoir mesurer la valeur et l’efficacité du service et, surtout, être assuré que son organisation est mieux protégée.
Bitdefender a ainsi conçu et développé son service MDR en gardant à l’esprit les principes de l’excellence opérationnelle, et pourquoi il utilise ces principes pour créer un cycle d’amélioration en continu. Les principes de l’excellence opérationnelle étant intégrés dans chaque aspect de son service MDR, Bitdefender est en mesure de garantir que ses clients bénéficient non seulement d’une sécurité robuste 24h/24, mais qu’ils peuvent également mesurer la valeur et l’efficacité du service.
Définir l’excellence opérationnelle
Il n’existe pas de définition universelle de l’excellence opérationnelle. Cela est dû au fait que chaque organisation diffère dans sa mission, ses domaines d’intervention, ses opérations et ses objectifs stratégiques. Toutefois, la plupart des définitions de l’excellence opérationnelle comportent des thèmes communs. En général, c’est une philosophie d’entreprise axée sur la résolution de problèmes et l’amélioration continue des processus, des technologies et des procédures afin de réaliser des améliorations majeures dans l’entreprise. Ces améliorations peuvent être une efficacité accrue, un avantage concurrentiel durable, des progrès en matière d’innovation ou une plus grande cyber résilience. Lorsqu’elle est appliquée correctement, l’excellence opérationnelle est plus qu’une simple devise sur le lieu de travail ; elle devient une culture et une mentalité profondément ancrées dans toutes les fonctions de l’entreprise.
Traditionnellement, les principes de l’excellence opérationnelle s’appliquent aux opérations à grande échelle dans des secteurs tels que la fabrication et la chaîne d’approvisionnement. Ils ont été développés dans ces industries comme un moyen de rendre les organisations plus rationnelles, d’améliorer les performances, de réduire les erreurs, d’accélérer les processus, etc. Parmi les exemples de modèles d’excellence opérationnelle populaires, citons le Six Sigma, le Lean Manufacturing, le modèle Shingo, la méthode OKAPI, le cadre d’excellence Baldridge, et bien d’autres.
Appliquer l’excellence opérationnelle au MDR
Peu d’organisations, si ce n’est aucune en dehors de Bitdefender, ont pris les principes de l’excellence opérationnelle et les ont appliqués à quelque chose d’aussi dynamique et rapide que les opérations de cybersécurité. En utilisant ses principes comme base sur laquelle Bitdefender a construit ses services MDR dès le départ, il a fallu penser stratégiquement aux processus et aux mesures qui composent ce service : ce qui est mesuré, comment est défini le succès, quels devraient être les résultats d’une chasse aux menaces réussie, comment travailler avec les clients, comment transmettre les leçons apprises, etc. Bitdefender a conçu ses services MDR pour être très spécifiques dans la façon dont sont définis ces paramètres et comment ils sont utilisés pour améliorer les procédures et créer un cycle d’amélioration continue – ce qui manque à la plupart des services MDR du marché.
Les avantages de l’application de l’excellence opérationnelle à un service MDR sont nombreux. Ses principes permettent à un centre d’opérations de sécurité (SOC) – qu’il soit interne ou qu’il soit managé – d’atteindre une certaine échelle, de permettre une plus grande automatisation, de devenir plus efficace, de répondre plus rapidement aux menaces et de devenir plus cyber résilient pour l’avenir. Pour ce faire, ils créent une cohérence et une reproductibilité des processus et des résultats de sécurité. En bref, les principes de l’excellence opérationnelles rendent les opérations de cybersécurité plus efficaces, plus résilientes et capables d’accomplir davantage avec des opérations allégées.
Comment l’excellence opérationnelle permet l’évolutivité et l’automatisation des opérations de sécurité
Le temps est un élément essentiel de la cybersécurité. Lorsqu’une attaque se produit, un SOC doit être en mesure de la détecter et d’y répondre immédiatement. C’est pourquoi les opérations de cybersécurité se tournent de plus en plus vers des solutions d’automatisation telles que les plateformes d’orchestration, d’automatisation et de réponse en matière de sécurité (SOAR). Mais le simple fait de déployer les dernières et meilleures technologies d’automatisation ne rendra pas une organisation plus sûre.
Pour que les outils d’automatisation soient efficaces, un programme de cybersécurité doit avoir mis en place des processus matures, alimentés par des données précises. Si les données qui alimentent les systèmes SOAR ou d’autres outils de sécurité sont défectueuses, les résultats seront sans valeur. C’est pourquoi l’application des principes de l’excellence opérationnelle pour l’amélioration continue des processus est si importante. C’est le meilleur moyen pour un programme de cybersécurité de garantir la précision, la répétabilité et la fiabilité des données, des processus et de la prise de décision afin d’assurer des réponses plus rapides face à une attaque. Et c’est le seul moyen pour un service MDR ou un SOC interne de se développer efficacement face à des menaces croissantes et à une pénurie mondiale de main-d’œuvre.
Prenez, par exemple, la façon dont la plupart des fournisseurs de services MDR structurent leur modèle opérationnel. La plupart utilisent ce que l’on appelle communément le « modèle de l’escouade », où les membres de l’équipe se spécialisent dans des rôles étroits – un membre de l’équipe est un chasseur de menaces, un autre est un analyste de sécurité qui surveille les alertes, un autre encore peut se spécialiser dans une industrie en particulier. Cependant, cette approche n’est pas évolutive. Au fur et à mesure que les services MDR se développent, le fournisseur doit embaucher une toute nouvelle équipe de plusieurs personnes chaque fois qu’un certain seuil de clients est atteint. Dans un secteur confronté à une pénurie de main-d’œuvre de plus de 3 millions de personnes, cette solution n’est tout simplement pas envisageable lorsque le fournisseur MDR prend en charge des centaines, voire des milliers, de nouveaux clients.
En revanche, comme Bitdefender a conçu ses opérations MDR en tenant compte des principes de l’excellence opérationnelle dès le départ, il a été développé une approche différente, qui s’appuie sur une équipe interfonctionnelle d’experts en cybersécurité, où chacun est capable de jouer tous les rôles et est investi dans les résultats du travail de ses collègues. Cette approche permet une plus grande évolutivité, car au fur et à mesure que le service se développe, il est possible d’ajouter des personnes à l’équipe interfonctionnelle plutôt que de devoir embaucher et former une toute nouvelle équipe.
Apprenez-en davantage sur le marché du MDR et sa dynamique dans le rapport 2021 Gartner Market Guide for Managed Detection and Response Services.