< Back
From delegation to collaboration: unlocking the full potential of Managed Security Services (MSS)

Tags:

TCS BELUX TCS BELUX newsletter Risk and threat evaluation
27 octobre 2025

De la délégation à la collaboration : libérer tout le potentiel des Services de Sécurité Managés (MSS)

Renforcer la cybersécurité : trouver l'équilibre entre expertise interne et soutien spécialisé

À mesure que le monde et les opérations commerciales deviennent de plus en plus numériques, les organisations sont confrontées à une augmentation exponentielle de leur exposition aux menaces cyber. Tout comme il est essentiel d’avoir des départements dédiés aux ressources humaines, aux finances et aux opérations, chaque entreprise doit également définir une stratégie claire et proactive pour protéger ses informations et autres actifs. La cybersécurité n’est plus une option - elle est désormais un élément fondamental pour assurer la continuité des activités et préserver la réputation.

Bien que constituer une équipe interne de professionnels de l’informatique et de la cybersécurité soit une approche courante, ce n’est pas toujours la solution la plus efficace ou efficiente. Faire appel à un prestataire externe pour des Services de Sécurité Managés (MSS) représente une alternative stratégique en externalisant la responsabilité de la sécurité de l’organisation. Cette approche réduit le besoin de personnel interne, permettant aux entreprises d’accéder à une expertise spécialisée et à des solutions évolutives sans les contraintes liées au recrutement, à la formation et à la gestion d’une équipe interne.

Externaliser la cybersécurité à une entreprise spécialisée dans un large éventail de services cyber présente plusieurs avantages significatifs. Des professionnels hautement spécialisés apportent une expertise approfondie, une vision élargie des stratégies de cybersécurité permettant de gagner en maturité, ainsi qu’une connaissance actualisée du paysage des menaces en constante évolution. Fortes de leur expérience auprès de nombreux clients, ces entreprises spécialisées mutualisent leur expertise. Elles offrent un accès à des outils et techniques de pointe, tout en permettant à votre équipe informatique interne de se concentrer sur les activités essentielles de l’entreprise.

De plus, les entreprises spécialisées en cybersécurité disposent de capacités avancées en matière de renseignement sur les menaces. Grâce à leur collaboration avec des communautés de Threat Intelligence à travers le monde, elles ont accès aux informations les plus récentes sur les menaces actuelles. Pour en savoir plus, veuillez consulter notre article sur le sujet : « Renforcer la cyberdéfense grâce au renseignement sur les menaces dans le CSOC ».

Enfin, les entreprises spécialisées sont à jour des dernières exigences réglementaires et peuvent garantir qu’une société reste conforme aux lois et normes en vigueur, réduisant ainsi les risques de litiges et d’amendes. Elles veillent également à obtenir les certifications pertinentes pour elles-mêmes (comme l’ISO 27001) et à respecter les standards du secteur afin de renforcer la confiance en assurant aux clients que les services fournis répondent à des critères rigoureux.

Gestion des services : la colonne vertébrale des Services de Sécurités Managés

La gestion des services constitue le socle assurant la bonne délivrance des Services de Sécurité Managés (MSS). Fondée sur des principes issus de cadres de référence tels que l’ITIL (Information Technology Infrastructure Library), la gestion des services propose une approche structurée pour concevoir, mettre en œuvre et améliorer continuellement les services.

Au coeur de cette démarche, la gestion des services met l'accent sur la fourniture constante de services de haute qualité. Cela inclut des conseils proactifs sur les technologies émergentes, une détection robuste des menaces, une réponse rapide aux incidents, etc. En démontrant leur excellence et leur leadership dans la prestation de services, les fournisseurs peuvent instaurer la confiance auprès de leurs clients et bâtir un partenariat solide.

Un catalogue complet de services cyber comprend généralement les piliers clés suivants (selon le NIST CSF) :

Identifier et Evaluer : reconnaître les vulnérabilités et évaluer les risques - Vulnerability Assessment (VA), Threat Expose Management (TEM) and Cyber Threat Intelligence (CTI).

Protéger et Prévenir : mettre en oeuvre des mesures pour réduire la probabilité des menaces, notamment Security Technology Management (STM).

Surveiller et Détecter : observer en continu les activités suspectes - Managed Detection and Response (MDR).

Analyser et Répondre : enquêter sur les incidents et y répondre pour en minimiser l'impact - Digital Forensics and Incident Response (DFIR).

Rétablir et Apprendre : Restaurer les opérations et tirer les enseignements pour renforcer les défenses.

A comprehensive Cyber Service Catalogue typically encompasses the following key pillars

 

Gouvernance et gestion des services (GSM) fournissent la structure de soutien à ces fonctions, garantissant qu'elles soient exécutées de manière efficace et cohérente. Chez Thales, la gestion des services est confiée à l’équipe Projects & Services Management, responsable de l’exécution fluide des contrats MSS. Chaque client se voit attribuer un Service Delivery Manager (SDM) dédié, dont le rôle est essentiel pour assurer la transparence dans la livraison des services souscrits, conformément aux Service Level Agreements (SLA) convenus.

Le SDM agit comme point de contact principal pour le client, entretient une relation de confiance, recueille les retours et propose des améliorations dans la prestation des services. Il est responsable du reporting régulier, de l’analyse et de l’évaluation des Key Performance Indicators (KPI) afin de garantir que les services respectent les standards contractuels. Il veille à ce que l’expertise et les ressources nécessaires soient mobilisées pour répondre aux engagements de service, préside les réunions de revue de service, et assure une communication claire sur les mises à jour, les procédures et les plans d’action.

La mission ultime du SDM est de maintenir et renforcer la satisfaction client. En agissant comme principal interlocuteur du client au sein des équipes opérationnelles de Thales, le Service Manager veille à ce que le partenariat MSS prospère, évolue avec les besoins de l’entreprise et continue à générer de la valeur.

Le reporting : pierre angulaire des MSS

Le reporting est un élément fondamental des services managés, constituant la base de la transparence, de la responsabilité et de l'amélioration continue.

Un reporting complet est essentiel pour instaurer la confiance entre les clients et leurs fournisseurs de services managés. Il rassure les clients sur le fait que les services confiés au prestataire sont gérés efficacement et apportent une valeur mesurable. Bien qu’aucune opération de cybersécurité ne puisse garantir une protection à 100 % contre les attaques, la mise en place de plusieurs couches de sécurité permet de réduire considérablement le risque global pour les organisations.

Des rapports réguliers et détaillés offrent une visibilité cruciale sur des indicateurs clés tels que les délais de résolution des incidents, la performance des systèmes, les taux de détection des menaces et le respect des normes de conformité. De plus, ces rapports constituent des outils précieux pour les responsables de la sécurité et de la gestion des risques du client, leur permettant d’intégrer ces informations dans la stratégie globale de cybersécurité de l’organisation. En exploitant ces données de manière stratégique, les clients peuvent renforcer leurs défenses et s’assurer que la direction générale — qui porte la responsabilité ultime de la sécurité de l’organisation — dispose des informations nécessaires pour prendre des décisions critiques. Ainsi, le reporting renforce non seulement le partenariat entre le client et le fournisseur, mais aussi la posture globale de sécurité de l’organisation.

Enfin, les réunions de reporting (Service Review Meetings) sont des occasions essentielles de collaboration et d’échange d’informations critiques. Ces sessions offrent une plateforme pour discuter des menaces en cours, des tendances émergentes du marché et de l’avancement des initiatives clés telles que les tests d’intrusion, les audits et les plans de reprise après sinistre. Ces réunions favorisent un dialogue constructif entre le client et le fournisseur, garantissant une bonne coordination sur les priorités et les stratégies, et renforcent le partenariat dans son ensemble.

Gestion de la prestation de services appliquée aux contre-mesures du SOC

Le rôle principal du Security Operations Centre (SOC) est de surveiller les systèmes informatiques du client afin de détecter toute activité suspecte et de l’alerter en cas de menace potentielle. Lorsqu’une anomalie est détectée, le SOC suit des procédures d’escalade établies pour informer le client, qui détermine ensuite si l’activité signalée constitue un true positive (incident réel), un true positive bénin (activité légitime ou contrôlée correctement identifiée), ou un faux positif. L’une des actions correctives les plus courantes consiste à bloquer une adresse IP via le pare-feu ou un autre outil de sécurité.

Cependant, pour les scénarios simples ou les situations nécessitant une réponse immédiate, les clients sont de plus en plus intéressés par des contre-mesures actives mises en œuvre directement par le SOC. Cela permet au SOC de prendre des mesures prédéfinies, telles que le blocage d’activités malveillantes, sans attendre l’intervention du client, réduisant ainsi considérablement les délais de réponse et atténuant les risques de manière plus efficace.

La mise en œuvre de contre-mesures actives nécessite une réflexion approfondie et une coordination étroite entre le SOC et le client. C’est là que le Service Delivery Manager (SDM) joue un rôle clé. Il est chargé d’engager le dialogue avec les clients sur l’activation de ces contre-mesures, en veillant à ce qu’ils comprennent les avantages, les risques et les prérequis associés. Ces échanges incluent la définition de règles d’engagement claires, la spécification des types d’actions que le SOC est autorisé à entreprendre de manière autonome, ainsi que l’établissement d’une gouvernance rigoureuse autour de ces activités.

Le SDM doit également faciliter la création et l’intégration des procédures pertinentes, telles que la définition des chemins d’escalade pour les scénarios nécessitant une action immédiate ou une intervention du client. En favorisant la collaboration et en assurant une bonne coordination sur ces mesures, le SDM contribue à construire un cadre de réponse aux incidents plus intégré.

Responsabilités du client dans la construction d'une collaboration solide

Lorsque les clients délèguent des responsabilités en matière de sécurité à un prestataire externe, il est essentiel d’établir une relation de confiance quant à la capacité du fournisseur à gérer des aspects critiques de leurs opérations. Toutefois, la confiance ne suffit pas : les clients doivent jouer un rôle actif dans la mise en place des bases d’un partenariat réussi. Cela commence par leur responsabilité d’instaurer des pratiques de gestion solides et de mettre en œuvre des processus efficaces de Système de gestion de la sécurité de l'information (ISMS). Ces mesures permettent aux clients de définir clairement leurs objectifs et d’identifier les risques à adresser par le prestataire. Le fournisseur externe peut accompagner ce processus, mais le client doit conserver le contrôle total des responsabilités externalisées.

Le prestataire doit agir comme une extension des équipes internes du client. Pour que ce partenariat fonctionne efficacement, une communication claire et ouverte doit circuler dans les deux sens. Les clients doivent fournir au prestataire des informations essentielles sur leur contexte opérationnel, leurs objectifs et leur paysage de risques. Cela implique que certains documents confidentiels, tels que les rapports d’audit, les résultats de tests d’intrusion, les schémas réseau, les rapports d’incidents passés ou d’autres informations sensibles, puissent être partagés (de manière sécurisée) avec le fournisseur.

De plus, l’intégration des fonctions de cybersécurité externalisées aux processus internes existants est cruciale pour garantir la cohésion et l’efficacité opérationnelle. Les clients doivent mettre en place des procédures complémentaires et organiser leurs équipes internes afin d’aligner les services managés sur leurs pratiques organisationnelles. Cela est particulièrement vrai pour les services de Managed Detection and Response (MDR) opérés par un SOC externe.

Le SOC n’est qu’un élément parmi d’autres. La gouvernance, l’analyse des risques, ainsi que les outils de protection et de détection jouent tous un rôle dans la mise en place d’une stratégie de défense robuste. L’efficacité d’un SOC dépend non seulement de sa capacité à détecter et à répondre aux menaces, mais aussi de la collaboration et de la préparation des équipes internes du client. Si les appels sont ignorés par le client, des attaques en cours peuvent passer inaperçues ou être détectées trop tard. Pour maximiser la valeur des MSS, les clients doivent allouer des ressources internes dédiées pour collaborer avec les activités du SOC, gérer les incidents et enquêter sur les menaces.

La mise en place d’un partenariat solide nécessite le développement de procédures intégrées, telles que :

📌 Interpréter fréquemment les résultats des scans de vulnérabilités : évaluer et prioriser les vulnérabilités signalées par le fournisseur.

📌 Revoir régulièrement et résoudre les alertes escaladées en attente : analyser et répondre aux alertes jugées prioritaires ou nécessitant une action du client.

📌 Enquêter sur les alertes selon différents scénarios de détection : définir des playbooks ou manuels décrivant les protocoles d’investigation pour chaque type de menace afin d’assurer une réponse cohérente des équipes internes.

📌 Mettre en œuvre des actions de première réponse : définir les étapes de remédiation pour chaque type d’incident afin d’assurer un confinement et une atténuation rapides.

📌 Définir les étapes d’activation du CSIRT en cas d’incident, y compris les rôles, responsabilités et points de contact ; agir selon les recommandations issues de l’exercice annuel de préparation à la réponse aux incidents.

Ces procédures doivent être bien documentées, accessibles et connues des équipes internes afin d’assurer une gestion fluide lors des moments critiques.

En gardant le contrôle sur ces aspects et en collaborant étroitement avec le fournisseur, les clients s’assurent que le partenariat est aligné avec leurs objectifs stratégiques. Cette approche intégrée renforce non seulement l’efficacité des MSS, mais aussi la posture globale de cybersécurité du client.

En résumé

En favorisant une communication ouverte, en définissant des attentes claires et en mettant en place des contrôles réguliers, le client et le fournisseur peuvent construire une relation solide et collaborative. Ce partenariat permet au client de se concentrer sur ses activités principales tout en s’appuyant sur l’expertise du fournisseur pour relever les défis complexes et évolutifs en matière de sécurité. Ensemble, ils peuvent développer une stratégie de sécurité résiliente, alignée sur les objectifs globaux de l’entreprise et contribuant à leur réalisation.

Contact us

En savoir plus sur ce sujet

cards image

CryptoLove Report
cards image

Implementation of a Cyber risk analysis for an Air Traffic Control Centre
cards image

Cyber Risk Assessment for Air Traffic Management: Insights and Best Practices from Thales and SMATSA