La qualité d'un centre de sécurité opérationnelle (SOC) n'est pas qu'une affaire d'outils mais également - surtout - d'hommes. Pour tenter de voir plus clair sur les profils, capacités et lacunes des recrutements dans ce domaine, la start-up israélienne en cybersécurité Cyberbit a mené l'enquête. Plus d'une centaine de responsables sécurité ont participé dans 17 pays, appartenant tous à des entreprises recourant à un SOC d'au moins 5 personnes et dont les budgets IT dépassent 20 millions de dollars. 40% d'entre eux sont en poste depuis au moins 5 an.
Parmi les enseignements qui ressortent de l'étude, le sentiment d'inadéquation de la compréhension du métier de la cybersécurité. Ainsi, seulement 33% des répondants estiment que les ressources humaines comprennent les exigences découlant des enjeux cybersécurité. « Le management cyber et les recruteurs de talents doivent s'assurer qu'ils sont étroitement alignés sur les exigences spécifiques pour travailler dans l'équipe pour attirer le droit type de talent », prévient Cyberbit. Outre un manque d'alignement des RH sur le métier de la cybersécurité, les responsables de ce domaine n'apparaissent pas totalement convaincus par la pertinence des profils de candidats postulants aux offres d'emplois proposées. 35% des répondants estiment ainsi que la majorité des postulants ne sont tout simplement pas assez qualifiés pour les tâches demandées. Ennuyeux. Certes, il ne s'agit pas d'une majorité, mais la proportion significative de répondants interroge sur la capacité autant que les motivations des candidats à pourvoir et prétendre satisfaire aux exigences de compétences demandées. Faut-il y voir un manque de qualification ou bien une surévaluation des capacités par les candidats ? Peut être un peu des deux...
Armés en compétences techniques de défense
Pour évaluer le niveau des prétendants, les responsables cybersécurité recourent le plus souvent à une discussion (70%), quand d'autres passent par la case quiz (12%), voire une mise en situation par des tâches à accomplir (10%) pouvant aller jusqu'à une simulation cyber range (8%).
L'étude a également mis en lumière les caractéristiques propres des équipes sécurité et SOC des entreprises et de leurs responsables cyber. Parmi les résultats saillants, on notera le sentiment des professionnels cyber à se dire davantage prêt à mettre en pratique des compétences de défense techniques (58%), plutôt que de détection d'intrusion (45%) ou de surveillance réseau (42%). « Ces compétences sont les plus nécessaires pour détecter une attaque. Selon IBM, le temps moyen nécessaire pour détecter un acteur malveillant est de 207 jours (6,8 mois), à condition l'attaquant avec plus de temps qu'il n'en faut pour accomplir leurs objectifs avant que l'équipe SOC ne commence le processus de les retirer du réseau (73 jours supplémentaires) », explique Cyberbit.
Des faiblesses en surveillance réseau et détection d'intrusion
Interrogés sur le niveau de maturité des compétences mises en oeuvre dans le cadre de leur SOC, celui-ci varie en fonction de celles concernées, mais sur les 9 étudiées, 6 ne sont pas encore vraiment prêtes. C'est ainsi le cas pour la surveillance réseau (58%), la détection d'intrusion (45%), le test de pénétration (52%), l'état des menaces (51%). Parmi les compétences considérées comme prêtes : les capacités techniques de défense (54%), l'analyse et la gestion des risques (52%) ou encore les soft skills (52%).
Sur le terrain de la formation des équipes cyber, plusieurs outils sont utilisés, mais pas avec la même intensité. Tout d'abord, celle-ci est directement liée à la pratique de terrain et au travail au jour le jour (c'est en forgeant que l'on devient forgeron) que partagent 40% des répondants. Suivent ensuite les modules et cours en ligne (26%), et loin derrière les cyber labs (9%), la simulation red versus blue team (7%) ou encore le cyber range (6%). Interrogé sur le l'efficacité de leurs méthodologies de formation actuelles, seulement 20% des répondants estiment que la formation actuelle est très impactant sur leur performance au travail indique Cyberbit.