Après une étude des différences entre un SOC internalisé et un SOC externalisé, vous avez choisi la 2nde formule. Vous avez l’appui des équipes et de votre direction, une enveloppe budgétaire vous a été attribuée. Il vous reste maintenant à trouver le bon partenaire parmi l’ensemble des acteurs proposant un service de SOC Managé. Un choix difficile à faire, c’est pourquoi nous vous proposons dans cet article, de vous fournir des conseils pour orienter votre décision.
Première chose à savoir : plus votre cahier des charges sera précis et détaillé, plus les prestataires que vous aurez interrogés vous fournirons une approche budgétaire et technique complète. Donc pensez à bien construire ce document en y intégrant tous les aspects techniques, fonctionnels, métiers…
Vérifiez la capacité de collecte du SOC mais aussi la qualité des informations
Le mécanisme de détection des incidents mis en place par le futur partenaire est un élément fondamental. Prenons l’image du chalutier et de son filet. Si ce dernier n’est pas fabriqué avec les bonnes fibres, il ne pourra supporter les centaines de kilos de poissons et en laissera passer. Pour un SOC, c’est le même principe. S’il n’est pas équipé de solutions de pointe en mesure de capter des informations de valeur, vous risquez de passer à côté de menaces. Examinez donc attentivement que les technologies utilisées soient en adéquation avec vos besoins et surtout votre environnement, ainsi que la qualité des rapports et leur interprétation. Et dans certains cas, un POC peut être intéressant, mais attention, cela peut rallonger le temps de mise en œuvre de votre SOC.
Ne faites pas l’impasse sur les compétences techniques de l’équipe
Un SOC n’est pas juste une salle avec de grands écrans, comme on peut le voir au cinéma. Ce sont surtout des hommes et des femmes, experts dans le domaine de la cybersécurité, certifiés et formés aux technologies intégrées au sein du SOC du partenaire. Informez-vous de la certification des collaborateurs et surtout du programme de gestion des connaissances, c’est-à-dire leur formation face aux derniers protocoles d’attaques, à l’analyse de programmes malveillants… En effectuant cette vérification, vous vous assurez des aptitudes des personnes qui auront en charge l’analyse des informations collectées par le SOC.
Ne négligez pas la proximité avec votre futur partenaire
L’aspect humain, la proximité et le mode de gouvernance du sujet ne sont pas à négliger dans le choix de votre prestataire. Trop souvent, les entreprises font appel à un acteur connu, mais dont les équipes ne sont pas situées en région, voire en France, ce qui peut limiter les interactions entre les parties prenantes dans la gestion au quotidien du SOC. En effet, il est primordial que les échanges soient fluides et réactifs, surtout dans le cadre d’un incident grave. Par ailleurs, le mode de gouvernance doit être sérieusement pris en compte, celui-ci doit comprendre un certain nombre de réunions programmées tout au long de la collaboration ; ce sera donc un point à valider lors de votre prise de décision. Sans ces check-points réguliers, vous risquez en effet de perdre le contrôle de votre SOC externalisé et donc de vous rendre vulnérable.
Enfin, « last but not least », faites rencontrer votre équipe et celle qui sera en charge de votre SOC afin de faciliter la future collaboration. Le sujet du SOC étant particulièrement sensible, une compréhension mutuelle est fondamentale pour éviter le plus possible les erreurs.
Pour aller plus loin sur le sujet de l’externalisation, l’ANSII a publié un guide de l’externalisation des systèmes d’information : https://www.ssi.gouv.fr/uploads/IMG/pdf/2010-12-03_Guide_externalisation.pdf
