Comment sélectionner un fournisseur de services de sécurité gérés et projections de marché

Publié: 2019-09-10

Les cybermenaces ne sont pas une blague, mais ne vous inquiétez pas, les fournisseurs de services de sécurité gérés (MSSP) sont là pour vous aider ! Avec le marché en plein essor, choisir le bon peut être délicat.

C'est là que notre guide s'avère utile, vous guidant étape par étape pour trouver la solution de cybersécurité parfaite pour protéger votre petite entreprise.

Que vous soyez une startup ou une grande entreprise, nous avons ce qu'il vous faut, vous aidant à naviguer facilement parmi vos options. Prêt à plonger ? Allons-y!

Passer:

  • Qu'est-ce qu'un fournisseur de services de sécurité gérés ?
  • Projections de croissance du marché MSSP
  • Lignes directrices pour la sélection d'un MSSP (7 étapes)

services-gérés-de-cybersécurité

Image personnalisée créée dans Canva

Qu'est-ce qu'un fournisseur de services de sécurité gérés ?

Un fournisseur de services de sécurité gérés est une organisation offrant des solutions de sécurité de grande valeur et une expertise en matière de systèmes, d'appareils et d'opérations de sécurité à des entreprises externes.

Les MSSP emploient des technologies sophistiquées et du personnel qualifié en cybersécurité pour gérer les fonctions de sécurité des clients.

Projections de croissance du marché MSSP

  • Le marché mondial des services de sécurité gérés devrait atteindre 77,01 milliards de dollars d’ici 2030. Le TCAC (taux de croissance annuel composé) est de 12,8 % de 2020 à 2030. (Source : Allied Market Research )  
  • Le marché des services de sécurité gérés en Amérique du Nord devrait passer de 13,82 milliards de dollars en 2022 à 26,24 milliards de dollars d'ici 2027, avec un TCAC de 13,8 %. (Source : Marchés et marchés )

marché-des-services-de-sécurité-gérés-aux-américains

Source

Lignes directrices pour la sélection d'un MSSP (7 étapes)

Passer:

  1. Réaliser un audit de sécurité interne
  2. Rechercher des entreprises MSSP potentielles
  3. Évaluer les capacités du MSSP
  4. Comprendre les méthodologies MSSP
  5. Comparez les modèles de facturation et les contrats MSSP
  6. Vérifier la conformité et la certification MSSP
  7. Visitez les installations du MSSP

fournisseurs de services de sécurité gérés  

1. Mener un audit de sécurité interne

Tout d’abord, évaluez minutieusement les vulnérabilités de sécurité existantes au sein de vos systèmes et déterminez explicitement les exigences de sécurité.

Examinez de près les facteurs cruciaux tels que les réglementations de conformité, les mandats de l'industrie, les cyber-risques, etc.

Il permet d’identifier un MSSP qui répond aux exigences. Définissez clairement les services nécessaires : sécurité du réseau, protection des points finaux, rapports d'audit, tests d'intrusion, renseignements sur les menaces, réponse aux incidents, etc.

Spécifiez tous les besoins spécifiques à l’industrie, comme la conformité HIPAA dans le domaine des soins de santé.

  • Identifiez tous les systèmes d’entreprise, actifs de données et infrastructures critiques qui nécessitent une protection.
  • Consultez l’équipe de conformité et les auditeurs pour déterminer les exigences réglementaires et de conformité.

2. Rechercher des entreprises MSSP potentielles

Effectuez une recherche approfondie dans les annuaires et recherchez des recommandations pour créer une large liste de partenaires MSSP potentiels : ciblez les entreprises possédant une expertise dans votre secteur vertical et à l'échelle de votre entreprise.

Analysez leurs capacités de service, leurs partenariats, leurs informations d'identification et leurs références clients : présélectionnez les MSSP équipés pour fournir les services requis par étape.

  • Maintenir une liste d’au moins 3 à 5 entreprises pour une évaluation approfondie.
  • Recueillez des informations sur les MSSP à partir d'événements de l'industrie, de références par des pairs, d'appels d'offres,
  • Assurez-vous que MSSP a de l'expérience dans votre secteur et avec des clients de taille similaire

3. Évaluer les capacités du MSSP

Évaluez de manière critique les MSSP présélectionnés sur la base de paramètres tels que les services offerts, l'expérience, l'expertise, l'infrastructure, l'évolutivité , la flexibilité, la satisfaction du client, etc.

principaux-défis-de-cybersécurité

Source

Vérifiez qu’ils peuvent répondre efficacement à vos exigences de sécurité définies. Renseignez-vous sur une expérience spécifique dans la prestation de services de sécurité gérés connexes.

Évaluez l'infrastructure, les technologies et les processus pour la détection des menaces, la réponse aux incidents, la mise en conformité, etc.

  • Vérifiez que les capacités de MSSP correspondent à vos exigences en matière de services requis
  • Demandez des études de cas clients et des références dans votre secteur

4. Comprendre les méthodologies MSSP

Examinez de près les processus de surveillance des menaces, de réponse aux incidents, de gestion des vulnérabilités, de rapports d'audit et d'autres services pertinents. Examinez les outils, les technologies et les ressources utilisés.

Comprendre les opérations quotidiennes, l'utilisation de l'automatisation, les procédures d'identification des menaces, l'escalade, le confinement des incidents, etc.

Évaluez également les niveaux d’expérience, les responsabilités et les autorisations de sécurité du personnel.

  • Demander des détails sur les technologies et outils spécifiques utilisés par MSSP
  • Renseignez-vous sur les processus de sécurité, les flux de travail et les capacités d'automatisation

5. Comparez les modèles de facturation et les contrats MSSP

Évaluez et comparez les coûts MSSP en fonction de vos besoins, en mettant l'accent sur la valeur plutôt que sur la simple tarification. Examinez méticuleusement la terminologie du contrat et les accords de niveau de service.

Assurez une définition claire des livrables tels que l’étendue du service, les temps de réponse, les mesures, les responsabilités et la couverture d’assurance.

Négociez une facturation raisonnable et prévisible comme des frais mensuels par rapport à des modèles de tarification alambiqués.

  • Comparez les modèles de facturation – par appareil, utilisateur, incident, etc.
  • Négociez les SLA, les pénalités pour temps d’arrêt et les limites de responsabilité qui vous sont favorables

6. Vérifier la conformité et la certification MSSP

Vérifier que le MSSP détient les certifications de sécurité appropriées (par exemple, ISO 27001), se conforme aux réglementations, suit les meilleures pratiques, effectue des audits, etc.

Confirmez que leurs systèmes et processus répondent aux normes telles que PCI DSS HIPAA qui s'appliquent à vous. Confirmer minutieusement la conformité au moyen de rapports d’audit et de documentation.

  • Consultez les derniers rapports d’audit indépendants pour vérifier la conformité
  • Assurez-vous d'être certifié pour les normes telles que ISO 27001, PCI DSS, HITRUST

7. Visite des installations du MSSP

La visite du centre des opérations de sécurité du MSSP offre un aperçu direct des capacités.

Observez les systèmes, les processus et le personnel en action : visitez les installations pour inspecter les infrastructures, la sécurité physique et les mécanismes de surveillance/réponse aux menaces.

Interagissez avec le personnel pour évaluer l’expérience, l’expertise et le professionnalisme.

  • Rencontrez l'équipe de direction et les analystes de première ligne lors de la visite des installations
  • Demandez des démonstrations en direct de la surveillance de la sécurité et de la réponse aux incidents

Conclusion

La sélection d’un MSSP compétent est impérative pour une sécurité d’entreprise robuste. Effectuer une diligence raisonnable approfondie sur des paramètres tels que l’expérience, les services, les capacités, les méthodologies, les coûts, la conformité et les installations.

Il valide si le fournisseur répond aux exigences définies et offre une valeur maximale.

Bien que prenant beaucoup de temps, il s’agit d’un processus essentiel pour atténuer les risques. Les meilleures pratiques recommandées incluent :

  • Il définit clairement les exigences de sécurité interne.
  • Rechercher de manière exhaustive plusieurs MSSP candidats
  • Comparaison des capacités de service, des informations d'identification et des spécialisations
  • Évaluation de l'infrastructure technologique, des processus et des compétences du personnel
  • Compréhension approfondie des méthodologies opérationnelles et de support
  • Examiner rigoureusement les contrats proposés, les coûts et les modèles de facturation
  • Vérification de la conformité, des certifications et des pistes d'audit
  • Inspection sur place des installations, des technologies et des équipes

Un processus de sélection MSSP systématique et complet garantit le choix d'un partenaire de sécurité de confiance à long terme pour votre entreprise.

L’évaluation exhaustive apporte des dividendes grâce à une solution de sécurité efficace protégeant contre l’évolution du paysage des cybermenaces.

Les examens continus et la gestion des relations restent également essentiels pour maintenir la valeur maximale du MSSP choisi.

Biographie de l'auteur

Dmitry Kurskov, chef du département de sécurité de l'information chez ScienceSoft

Professionnel du déploiement certifié IBM, Dmitry possède plus de 20 ans d'expérience pratique en tant qu'architecte de systèmes d'information et de cybersécurité.

Il gère la conception et la mise en œuvre des politiques et solutions de sécurité au sein de l'environnement informatique de l'entreprise et supervise la fourniture de services de sécurité gérés aux clients de ScienceSoft.

Dmitry prône la cohérence et l'amélioration continue de la cyberdéfense comme la clé pour résister aux cybermenaces en constante évolution. Il a contribué de manière significative à l'alignement du système de gestion de la sécurité de ScienceSoft sur la norme ISO 27001.