Comment réussir son projet d’externalisation SOC ?

Cet article vise à préciser les 3 facteurs clés de succès dans le cadre d’un projet d’externalisation de tout ou partie de ses activités SOC.
Pour réussir son projet d’externalisation SOC, l’article est structuré autour de ces 3 facteurs :

  1. La maîtrise de la démarche et du rythme d’externalisation,
  2. La création et l’implication d’une organisation interne adaptée,
  3. La structure de son dossier de consultation.

En filigrane dans cet article, commme dans tous ceux que nous publions, vous retrouverez ce qui est la base de nos convictions chez EXCUBE : l’humain. En tant qu’expert et acteur des processus vertueux, l’humain est nécessaire aux projets de cybersécurité en général et est la clé de la réussite des projets d’externalisation de SOC en particulier.

Pour qui est destiné cet article ?

Cet article a pour vocation d’apporter un éclairage méthodologique. Il peut intéresser toute personne en charge d’un SOC ou en réflexion sur la création ou l’évolution d’un tel service. Notamment :

 

  • Le responsable de la sécurité (RSSI) qui est en phase de réflexion, en amont de la création d’un SOC,
  • Le SOC manager, y compris s’il veut faire évoluer son contrat avec son prestataire pour mieux suivre cette efficacité.

 

Dans quel cas externaliser le SOC  ?

Les raisons qui poussent une entreprise à externaliser un SOC sont multiples, nous pouvons citer par exemple :

  • Profitez du partage d’information entres les clients d’un MSSP: des solutions de détection et qui marchent chez les autres clients et profiter également de partage d’informations de threat intelligence.
  • Se concentrer sur les tâches à fortes valeurs ajoutées : Externaliser permet de délaisser les actions à faible valeur ajoutée telle que les premières qualifications d’alertes au profit de missions de réponse à incident par exemple
  • Accélérer la mise en œuvre d’un service SOC en allant chercher des centres d’expertises reconnus avec une approche industrielle et maitrisée
  • Se conformer à la Loi de programmation militaire (LPM) par la recherche d’un fournisseur PDIS pour l’exploitation de ses sondes souveraines

A la lumière de nos interventions pour de grandes entreprises, voici les 3 facteurs clés de succès pour réussir son projet d’externalisation SOC :

  1. Maitriser la démarche et le tempo !
  2. Mobiliser et définir une organisation interne adaptée
  3. Structurer son dossier de consultation

Nous vous proposons de passer ces éléments clés en revue dans la suite de l’article.

 

1. Maitriser la démarche et le tempo !

Voici un macro-planning qui donne une vision globale pour contribuer à la réussite de son projet d’externalisation SOC :

Figure 1: Vers une méthodologie maitrisée et efficace

Chaque étape de la démarche doit s’accompagner d’un livrable. En voici 3 que nous souhaitons mettre en évidence :

  • En phase de cadrage, on construit son plan projet. Véritable stratégie d’externalisation SOC, ce document doit définir les objectifs, présenter la cible selon les axes techniques, fonctionnelles ou encore financière. Il s’agit d’un point d’appui indispensable pour mobiliser les parties-prenantes et valider un budget.
  • Le dossier de consultation se formalise dans la phase suivante. Il traduit les éléments structurants de la phase de cadrage à destination des fournisseurs à consulter. Il doit être suffisamment précis et étayé. C’est ce qui permet de se concentrer sur le fond du sujet lorsque l’on doit comprendre et analyser des offres.
  • Enfin, une grille d’analyse factuelle est indispensable pour comparer et aligner les offres. Cette grille doit permettre de comparer les aspects techniques et les aspects financiers.

 

Par ailleurs, la réussite d’un projet d’externalisation SOC passe par la maîtrise du bon tempo. Autrement dit, le rythme auquel le projet va progresser.

Il faut prendre le temps de faire les bons choix. En effet, les délais généralement incompressibles à prendre en compte sont les suivants :

  • Cadrage du projet : 1 à 3 mois
  • Rédaction du cahier des charges : 1 à 3 mois
  • Consultation et contractualisation : 4 à 6 mois
  • Projet de mise en œuvre : 6 mois

En règle générale, nous constatons un délai moyen de 12 à 18 mois pour l’ensemble du projet. Un bon casting d’experts aguerris permet en outre une meilleure maitrise de ce timing !

 

2. Mobiliser et définir une organisation interne adaptée

Un projet de SOC est long et nécessite une vraie réflexion sur l’organisation du projet. Nous vous proposons un schéma d’organisation possible qui présente une répartition des tâches entre les différents acteurs internes à mobiliser durant la phase projet.

 

 

 

 

 

Figure 2: Proposition d’organisation client  

Cette organisation doit être définie et validée avant le lancement du projet.

En première approche, on peut estimer que la charge interne nécessaire pour assurer l’ensemble de ces tâches est estimée entre 1,5 et 2,5 ETP. Cette charge dépend notamment de la complexité de l’organisation interne (Nombre de filiales ou d’entités à intégrer dans le service, recours à l’infogérance pour les services de production, etc).

Par ailleurs, on constate un nombre important de retard projet dû au manque de mobilisation de ressources internes. A ce titre, voici une liste d’actions très à risque sur ce type de retards :

  • Diagnostic d’un problème de collecte (mauvais format, logs incomplet, etc) car indisponibilité des experts de la production que l’on sollicite à de multiples reprises
  • Rallongement des prises de décisions et des délais de validation car on mobilise un grand nombre de personne dans la hiérarchie pour valider les choix
  • Etude et validation des spécifications des API nécessaires pour l’interconnexion des outils SIRP fournisseur et ITSM client

Tout retard entraine mécaniquement une augmentation du coût du projet notamment pour les charges internes. De plus, ces retards sont sources de frustration ou agacement que l’on doit éviter à tout prix avec une meilleure préparation et anticipation dans les phases amont.

 

3. Structurer son dossier de consultation !

Le dossier de consultation doit permettre de refléter le contexte et les objectifs définis lors du cadrage. Le dossier de consultation est constitué par :

  • Un cahier des charges qui exprime les exigences fonctionnelles et techniques, y compris une définition précise des engagements de service et des pénalités associées.
  • Un fichier de synthèse financière qui précise les éléments de couts : ce fichier permet de faciliter l’analyse financière. Il n’a pas besoin d’être très détaillé mais doit définir l’ensemble des centres de coûts (Investissement et coûts récurrents)
  • Un fichier de synthèse du cahier des charges qui permet de présenter aux fournisseurs retenus pour la consultation les éléments saillants du dossier dès le démarrage de la consultation. Gardez à l’esprit qu’un fournisseur qui a bien compris votre problématique sera forcément plus motivé et plus précis dans ces réponses.

Voici quelques conseils pour guider la rédaction :

Quel objectif ? Traduction dans le cahier des charges
Inscrire l’objectif d’un service évolutif et efficace dans le cahier des charges

• Définir une démarche forfaitisée pour l’étude d’un nouveau périmètre à couvrir.

• Définir les Unités d’œuvre qui permettront de couvrir ce nouveau périmètre (Nouvelle sources à collecter, nouvelles règles à implémenter, etc)

• Définir les indicateurs qui permettent d’évaluer efficacement un SOC (cf. notre article sur le sujet)

Prévoir un déploiement progressif

• Prévoir un lotissement des périmètres à couvrir dans le bon ordre en fonction des besoins métier, réglementaires mais également de la complexité

• Définir une trajectoire avec des jalons contractuels clairs

Définir le modèle hybride attendu • Prévoir un chapitre sur l’organisation interne pour identifier les acteurs et les tâches réalisées par les équipes interne
Privilégier l’automatisation à l’Intelligence artificielle

• Définir et spécifier les interfaces entre les outils, notamment le SIEM, le SIRP et l’ITSM

• Définir et spécifier les mécanismes attendus d’échanges automatisés des informations de la menace (outil de gestion de la menace du fournisseur, outils interne, SIEM, SIRP, etc)

Réussir son projet d’externalisation SOC : s’organiser et rester conscient des difficultés

Cela fait maintenant plus d’une dizaine d’année que les premières grandes entreprises se sont lancées dans l’aventure des SOC en s’appuyant sur des fournisseurs de services externes avec plus ou moins de réussite.

Force est de constater que le chemin est toujours long et périlleux :

  • La majorité des incidents critiques ne sont toujours pas remontés par les SOC.
  • La priorité est souvent donnée à la quantité (nombre de règles, nombre d’indicateurs) au détriment de la qualité, même si des efforts sont réalisés par les MSSP en ce sens.

 

L’anticipation des incidents, souvent prônée comme argument marketing pour la vente de service SOC, est une promesse irréalisable en pratique alors que l’anticipation par un cadrage adapté et une bonne préparation de l’organisation d’un projet SOC sont des passages obligés pour la réussite de son projet. En guise de conclusion, je dirai qu’il est important de ne pas se tromper : ce sont toujours les humains et la mise en mouvement de l’organisation qui feront les vraies différences pour permettre d’aboutir à un projet SOC réussi !

Pour en savoir plus, évoquer votre cas particulier, n’hésitez pas à nous contacter.

Catégories

Julien Coulet

Julien Coulet

Expert SOC

COO – Directeur Conseil

Co-fondateur EXCUBE

 

Share This