Le modèle managé gonflé par la cybersécurité

Les éditeurs ont conçu les conditions commerciales et techniques nécessaires à l’industrialisation de services managés pour l’externalisation de la sécurité et confié aux MSP une bonne part du volet opérationnel.

Si la complexité du système d’information ne se dément pas, les menaces cyber le sont tout autant. Elles sont contrées par une politique et des outils de sécurité que seules les grandes entreprises ont les moyens de mettre en œuvre en interne. Pour la PME, le managed services provider (MSP) est souvent le seul recours pour assurer sa sécurité. Capable de superviser et de gérer à distance parcs et incidents, le MSP exploite tout un arsenal de mesures pour obtenir une visibilité en temps réel des installations et automatiser les procédures.

Parmi les technologies les plus récentes, le XDR (Extended Detection and Response) devrait rapidement prendre le pas sur l’EDR (Endpoint Detection and Reponse), estiment les spécialistes. Tandis qu’un système EDR collecte et corrèle les activités sur de multiples terminaux, une solution XDR élargit la portée de la détection au-delà des terminaux pour fournir des capacités de détection, d’analyse et de réponse sur les réseaux, les serveurs, les workloads cloud, les Siem et bien plus encore, rappelle l’éditeur SentinelOne.

En récupérant le maximum d’informations quel que soit le silo IT, l’approche XDR fournit une vue unifiée
et convergée des vecteurs d’attaque. La visibilité ainsi améliorée permet de contextualiser les menaces pour faciliter les tris, les investigations, et accélérer les processus de remédiation.

« L’XDR est pour un MSP ou un MSSP l’opportunité de faire bénéficier son client de tout ce qu’il possède dans son infrastructure, de lui agréger cette information et de la transformer en plan d’action. Aujourd’hui, nous encourageons nos MSP à monter d’un cran dans le service qu’ils délivrent à leurs clients autour de la cyber. Beaucoup de prestataires se contentent encore d’une approche où ils déploient une solution EDR et endpoint chez un client, puis opèrent un SOC uniquement sur cette solution EDR et endpoint. Hélas, ils ne couvrent qu’une petite partie de la problématique client », souligne Adrien Vandeweeghe, directeur France et Benelux chez Trellix.

Sa plate-forme XDR Xvision apporte une réponse pragmatique à trois problématiques : Que s’est-il passé dans l’infrastructure ? Quels sont les utilisateurs et les ressources affectés ? Quelles sont les actions de remédiation rapides et automatisées à disposition ?

« Nous encourageons nos MSP à monter d’un cran dans le service qu’ils délivrent à leurs clients autour de la cyber »

Adrien Vandeweeghe, directeur France et Benelux chez Trellix

Le choix des outils

Une plate-forme XDR cohabite souvent avec d’autres outils. « La flexibilité et l’interconnectivité sont deux éléments à considérer. Toutes les solutions possèdent une API qui permet de développer des connecteurs. Mais celles qui ont un grand nombre de connecteurs fonctionnels seront privilégiées par un MSSP.

Autre critère de choix, la convergence des solutions, qui limite le nombre d’outils à déployer et à opérer. Elle permet une automatisation de plus en plus grande et le recentrage des équipes opérationnelles sur les sujets les plus critiques. Lorsqu’ils recherchent un fournisseur de cybersécurité, les MSSP et les MSP se tournent vers les meilleurs technologies et services.

On les voit souvent fournir d’abord des services de SOC, puis envisager d’ajouter des services SD-WAN ou d’XDR. L’intégration de fournisseurs de cybersécurité disparates prend du temps, ce qui réduit la rentabilité d’une nouvelle offre. Un fournisseur de cybersécurité a besoin d’un ensemble intégré de technologies pour mettre en œuvre les stratégies commerciales actuelles et futures du MSP/MSSP », indique Olivier Couston, Business Development & Partnerships Director France de Fortinet.

Au cœur des solutions, l’automatisation s’appuie sur des technologies d’IA pour trier et classifier l’information remontée, puis soumettre aux équipes de sécurité la bonne action à réaliser au bon moment. S’y ajoute la souplesse du cloud pour fluidifier l’exécution des tâches, appliquer des stratégies de sécurité, surveiller l’état des systèmes et résoudre les problèmes sur les ordinateurs distants. Mais les outils nécessitent toujours un paramétrage et un pilotage humain, car l’IA associée à une forme de bon sens n’a pas encore été inventée. L’expertise du MSP est indissociable des usages.

Précieuses dans les activités des MSP, les solutions de RMM (remote monitoring and management) automatisent la collecte d’informations sur les serveurs, les terminaux et les réseaux distants afin d’évaluer leur intégrité. Un tel outil sait à la fois contrôler les appareils, déclencher des alertes, gérer les licences et les tickets d’incidents, et compiler des données de diagnostic et d’analyse à grand renfort de technologies d’apprentissage automatique pour optimiser les réponses aux problèmes. De couche en couche, d’autres solutions s’articulent. C’est le cas des logiciels d’ITSM (IT services management) positionnés sur la gestion globale des incidents, de l’assistance et des actifs IT. « Les critères les plus importants pour le choix de ces outils sont la facilité d’utilisation, le retour sur investissement et la réduction des coûts en général.

Aujourd’hui, un service informatique typique travaille en moyenne avec une centaine d’outils isolés. Cela peut transformer en casse-tête l’identification de la cause première d’un problème informatique, alors que les équipes informatiques doivent décider qui est responsable de quoi. Les solutions adéquates collectent des mesures provenant des couches et éléments de l’environnement informatique, mettent automatiquement en corrélation les données télémétriques et visualisent les informations essentielles. Dans un monde parfait, la même solution ouvrirait également un ticket et mettrait à jour tout progrès sans interaction humaine », indique David Buis, Country Manager chez SolarWinds France.

« Nous proposons aux MSP un business model flexible avec un accès simplifié à nos services et un partenariat »

Olivier Couston, Business Development & Partnerships Director France de Fortinet.

La maîtrise d’usage des MSP

Fournir le meilleur équilibre entre les atouts d’une main-d’œuvre numérique et la nécessité de laisser une grande latitude à l’intervention humaine est la course dans laquelle s’affrontent les concepteurs de plates-formes.

Les consoles d’administration des services sont l’objet de toutes les attentions. La maintenance de plusieurs interfaces sur la plate-forme de sécurité, approche qui diminue la productivité, est remplacée par une offre accessible depuis une interface unique. « L’unification et la consolidation des outils d’administration ne doit pas oublier le volet commercial grâce auquel le MSP est en mesure de promouvoir, réaliser des propositions commerciales, commander et facturer. La maîtrise d’usage de ces outils est fournie par nos formations et notre accompagnement qui rendent rapidement autonome le MSP », souligne Eddy Sifflet, en charge du channel chez Check Point Software.

Les partenariats avec les MSP

« Nous aidons les nouveaux MSP à s’intégrer dans un programme adapté qui leur permet d’acquérir des connaissances nécessaires »

David Buis, Country Manager chez SolarWinds France

Les prestataires de services managés présentent pour les entreprises l’avantage d’être à jour dans l’adoption des meilleures solutions. Les PME, en particulier, attendent d’eux un large éventail de compétences et une maîtrise de tous les enjeux de la sécurité. En leur livrant leur système d’information, les entreprises voient dans les MSP une une cellule d’expertise prête à prévenir et à affronter les attaques.

En plus de prestations, les PME attendent un engagement. À l’heure où elles cherchent à partager la stratégie et le risque global liés à leur cybersécurité avec le MSP, la maîtrise de la solution est une priorité. « Les MSP doivent avoir une solide connaissance technique de nos produits et services ainsi que la capacité de les mettre en œuvre et les gérer pour leurs clients. Nous accordons une grande importance à ceux qui mettent leur expertise technique au service des petites structures. Cette capacité à répondre à leurs besoins uniques et à leur fournir l’assistance technique nécessaire est un atout à nos yeux. Nous aidons les nouveaux MSP à s’intégrer dans un programme adapté qui leur permet d’acquérir des connaissances techniques, commerciales et marketing, et de lancer et développer leur activité.

Ils ont la possibilité de progresser dans les différents niveaux de partenariat de notre programme et d’adapter notre solution aux besoins de leurs projets », indique David Buis.

Aide à l’implémentation des solutions, accès aux SOC, transparence et simplicité de la tarification, formations, tarifs compétitifs, avantages multiples pour favoriser la croissance de revenus, les programmes Partenaires destinés aux MSP ne manquent pas.

« Notre équipe dédiée aux MSP en France a pour ambition de développer et d’accompagner des partenaires spécialisés dans le domaine de l’XDR mais aussi des partenaires généralistes dans le domaine de la cybersécurité avec des services de FWaaS, Secure SD-WAN et SD-Branch ou Sase. Nous leur proposons un business model agile et flexible avec un accès simplifié à nos services et un programme de partenariat qui tient compte du modèle de ventes propre aux MSP tout en valorisant le niveau de certification de leurs collaborateurs. En début de partenariat, nous nous attachons à valider avec le MSP des cibles de marché telles qu’une zone géographique, un segment vertical, un type de solutions ou une combinaison de ces critères. Puis nous allouons un ensemble de moyens commerciaux, techniques et marketing, et proposons des services d’expertise qui complètent les propres offres de services de nos partenaires », détaille Olivier Couston.

« Les MSP attendent avant tout de l’innovation, dans les produits mais aussi dans la façon de traduire les nouveaux enjeux qui évoluent très rapidement. Comme la cybersécurité touche en effet tout le système d’information, nous attendons qu’ils nous aident à sensibiliser les acteurs qui interviennent sur la gestion de parcs et à orienter leur stratégie pour industrialiser le plus possible les bonnes pratiques qui consistent à assurer nos clients que l’orchestration des outils retenus tient compte de leurs spécificités métier mais aussi des axes nécessaires pour renforcer le niveau de sécurité », indique Marc Romatet, directeur général d’Actualburo.

Microsoft, numéro un du marché de la sécurité des endpoints

Selon le rapport « Worldwide Corporate Endpoint Security Market Shares » d’IDC pour 2022, Microsoft a ravi à CrowdStrike la première place sur le marché mondial de la sécurité des terminaux. Ce marché des endpoints a pesé l’an dernier 13,1 milliards de dollars (Md$), en progression de 29 %. IDC souligne que le segment modern endpoint security a progressé de 31,2 %, à 10,3 Md$, et le segment server security est en hausse de 22,6 %, à 2,9 Md$.

Tous confondus, Microsoft a réalisé une croissance de 108 %, avec 18,9 % des parts de marché, devant CrowdStrike qui détient 15,1 % des parts mais n’a progressé que de 56,1 %. On retrouve Trend Micro à la troisième place avec 7,6 % de parts de marché, puis Trellix, Sophos et Palo Alto Networks avec respectivement 6,1 %, 3,9 % et 3,6 % de parts de marché.

Le géant de Redmond doit son succès à son offre MDE (Microsoft Defender for Endpoint), une plate-forme de protection des terminaux dotée de fonctionnalités clés : EDR, gestion des vulnérabilités, réduction de la surface d’attaque ou protection de nouvelle génération. Autre raison, en 2021, Microsoft a lancé MDE P1 (Microsoft Defender for Endpoint plan 1) dont peuvent bénéficier les abonnés Microsoft 365 E3/A3. À destination des petites entreprises, MDB (Microsoft Defender for Business) a contribué aussi à ce succès. Enfin, Microsoft souhaite assurer une parité multi-plate-forme entre Windows, Linux, MacOS, Android et iOS.

Le retour sur investissement de l’EDR en cinq points

Le calcul du retour sur investissement (ROI) des solutions de sécurité ne coule pas de source. La typologie des entreprises, leur secteur d’activité, l’expertise des équipes chargées de la sécurité ou l’absence de ces équipes sont autant d’éléments qui rendent difficile l’évaluation d’un ROI. C’est à la fois le manque de compétences en cyber et la difficulté d’attribuer un budget au risque qui poussent les entreprises à se tourner vers des MSP et des éditeurs de services managés.

Même lorsqu’elles s’en remettent à des professionnels de la sécurité, il n’est pas simple de leur faire comprendre les vertus protectrices respectives des technologies EDR, Siem, Soar et XDR, ni de leur expliquer l’intérêt de tests réguliers d’intrusion pour évaluer la robustesse des solutions de sécurité. « Démontrer le ROI d’une solution peut sembler décourageant. Une approche structurée et réfléchie en cinq point peut faciliter la tâche du MSP. Il faut d’abord sensibiliser les clients sur le paysage de la cybersécurité et comprendre leurs besoins et perspectives, puis dévoiler le coût réel d’une attaque et présenter votre solution et vos futurs plans de sécurité, mais sans oublier de fixer des limites contractuelles si un refus persiste », conseille Stefanie Hammond, Head Nerd chez N-able.