Épuisement du SOC

8 Fév 2019

Le syndrome de l’épuisement professionnel n’est pas un problème nouveau. Lorsque les gens se lassent d’effectuer des tâches monotones, leur esprit commence à divaguer. Par conséquent, ils sont moins attentifs, et moins concentrés. Quel que soit le secteur d’activité d’une entreprise, cette situation n’est pas souhaitable, et entraîne une baisse de la productivité. Mais en cybersécurité les conséquences peuvent être dramatiques, surtout si la personne en question travaille dans un security operations center (SOC).

Les entreprises ont le choix entre deux options lorsqu’elles souhaitent installer un SOC : en créer un en interne, ou travailler avec des professionnels externes. Nous avons une grande expérience dans ce secteur, et nous disposons de notre propre SOC, et d’un centre de services à la clientèle. De plus, nos experts offrent leurs services à des SOC tiers et ont l’opportunité de voir comment les choses se font au sein d’autres entreprises. Armés de formules qui nous permettent de maintenir le professionnalisme de nos employés, nous avons décidé de partager nos réflexions et expériences sur l’épuisement.

Commençons par le plus désagréable : la nature même du travail d’un analyste des menaces dans un SOC mène directement à l’épuisement professionnel. De plus, plus la sécurité de l’entreprise est bonne, plus l’épuisement arrive vite. Cet emploi consiste tout simplement à chercher des anomalies dans les données entrantes, jour après jour. Si quelque chose d’étrange est détecté, les choses deviennent un peu plus intéressantes : il faut faire des recherches sur cet incident, recueillir des données, et effectuer des évaluations de risques et de dégâts. Les entreprises qui utilisent des solutions de pointe pour protéger leurs serveurs, postes de travail, et toutes les informations de l’infrastructure, ne rencontrent pas souvent des incidents informatiques intéressants.

Par conséquent, les experts sont assis, et regardent les flux de données ; autant chercher un chat noir dans une pièce sombre. Dans notre cas, nous supposons toujours que le chat se trouve quelque part, mais en pratique, cela ne rend pas cette tâche moins monotone. Il convient de souligner que notre SOC est un lieu de travail beaucoup plus agréable que n’importe quel centre interne d’une autre entreprise. Comme nous avons de nombreux clients, quelque chose va forcément arriver, et pimenter un peu cette routine quotidienne.

Qu’arrive-t-il aux employés épuisés ? Ils deviennent léthargiques, et sont distraits, et généralement mécontents d’eux-mêmes, et des personnes qui les entourent. S’ils prennent leur travail au sérieux, comme le font tous les employés d’un SOC, ils seront automatiquement épuisés, puisqu’ils sentiront qu’ils ont abandonné leurs collègues. Lorsqu’ils se rendent compte que quelque chose ne va pas, ils font une recherche en ligne pour voir ce que les psychologues de diverses spécialités ont à dire à ce sujet. Dans ce cas, ils trouvent des conseils assez généraux : « Vous devez reconnaître que le cœur n’y est pas. Souvenez-vous de ce que vous aimiez lorsque vous n’étiez qu’un enfant, et n’ayez pas peur de modifier votre méthode de travail. » Peut-être que ces clichés sont utiles pour certaines personnes. Une chose est claire : si les employés ont suivi ces conseils, ils auront un impact négatif sur le SOC.

Comment résoudre le problème

Pour l’entreprise, la principale conséquence de l’épuisement professionnel est une baisse des résultats de l’équipe. Ce problème peut être résolu de plusieurs façons, même si elles ne sont pas toutes humaines, et ne peuvent pas toutes être mises en place en pratique.

Que ceux qui trouvent la situation intenable s’en aillent

Certaines entreprises considèrent que l’épuisement est un problème personnel. Elles permettent aux employés de partir en congés, et de bénéficier d’une assurance maladie, comme les lois l’exigent (si ces lois existent dans le pays en question). Après ces quelques jours de repos, elles espèrent que leurs employés reprennent le travail, et se sentent renaître. Les résultats ne sont pas meilleurs ? C’est dommage, mais vous êtes viré.

Cette approche est peut-être justifiée dans certains secteurs, mais ce n’est pas l’idéal pour un centre de surveillance en cybersécurité. L’analyste du SOC doit être remplacé par un autre expert (ce qui est plus compliqué qu’il n’y parait), formé, et même si cela était possible, il faudrait attendre un certain temps avant que les résultats du nouveau venu n’atteignent ceux de son prédécesseur, bien qu’il soit épuisé. Les entreprises embauchent parfois des personnes qui n’ont pas l’expérience requise, mais ont le potentiel pour devenir un expert de premier ordre. Ensuite, elles les abandonnent puisque l’épuisement serait une perte de temps, d’énergie, et de ressources pourtant investis dans leur développement, et c’est pourquoi la plupart des entreprises ne le font pas.

Transfert interne

La sécurité des informations ne repose pas seulement sur les SOC, loin de là. Les analystes expérimentés peuvent également trouver des postes au sein d’entreprises qui n’appartiennent pas au secteur de la sécurité des informations. Nous pensons notamment aux équipes d’intervention rapide. Il serait alors possible de transférer la personne vers un autre poste au sein même de l’entreprise. Ainsi, l’analyste ne connaît plus cette routine, et l’entreprise ne souffre pas d’une fuite de cerveaux.

Mais en termes de résultats SOC, peu importe que l’employé ait été transféré en interne, ou renvoyé ; il manque une personne au sein du SOC. Il convient de souligner que Kaspersky Lab gère cette situation différemment. Avant que l’employé ne soit épuisé, les autres départements prennent les employés du SOC, puisqu’ils ont acquis une grande expérience pratique ; ils ont appris comment les attaques sont perpétrées, et savent comment les contrer.

Automatiser les opérations de routine

Étant donné que les outils de détection et de recherche sur les incidents s’améliorent, les tâches humaines sont forcément transformées, et ce qui était hier le champ de bataille de l’analyste du SOC, est aujourd’hui le travail d’un contrôleur de qualité qui supervise le travail d’un robot analyste, qui n’est jamais fatigué, jamais épuisé, et ne se plaint pas. Ces nouvelles fonctions de contrôle sont une autre expérience pour l’analyste, du moins au début, puisqu’elles élèvent l’analyste à un autre niveau, l’obligent à sortir de sa zone de confort et d’ennui, et suscitent un nouvel intérêt dans la résolution des tâches, et son travail en général.

On a déjà dit beaucoup de choses sur l’apprentissage automatique, et il est donc difficile d’avoir une révélation impressionnante à ce propos. Il suffit de dire que les assistants qui reposent sur l’apprentissage automatique sont assez bons lorsqu’ils doivent gérer des tâches limitées à l’aide de critères de qualité clairs. Il est certain qu’ils ne peuvent pas remplacer les employés qui se trouvent en première ligne, mais ils augmentent le débit, et permettent aux ressources humaines d’être redéployées comme formateurs de robot, contrôleurs, et développeurs. Certains secteurs ont peut-être encore un certain engouement pour l’apprentissage automatique, mais pour nous, il fait déjà intégralement partie de nos opérations quotidiennes.

Rotation interne

Il est impossible et indésirable de remplacer tous les employés par des robots, et c’est pourquoi nous utilisons un système de rotation au sein de notre SOC. Après tout, l’analyse des flux de données des points de terminaison n’est pas la seule tâche de notre SOC.

Tout d’abord, il y a la systématisation des données des menaces ; les connaissances pratiques obtenues par un analyste au vu des incidents peuvent, et doivent être utilisées pour éviter qu’ils ne se répètent. Cela passe progressivement à une autre tâche : renforcer les outils du SOC. Notre SOC, par exemple, comprend un groupe de recherche, ainsi qu’un soutien de l’infrastructure, et des spécialistes en développement. Vous pensez peut-être que ces postes ne sont pas complètement interchangeables, mais tout le développement de notre activité cherche à automatiser les opérations, pour que l’expérience pratique de l’analyste soit absolument vitale. En changeant régulièrement les tâches des employés, nous réduisons l’épuisement, ce qui nous permet de renforcer à la fois les modules du SOC, et d’aider les collègues. En même temps, la direction comprend quels secteurs retiennent réellement l’attention des employés. Cet intérêt est la pierre angulaire d’un haut rendement, et donc des résultats de toute l’équipe.

Cette méthode n’est pas universelle. Si votre SOC n’emploie que 2 ou 3 personnes, les options de rotation seront limitées. D’ailleurs, c’est un autre aspect qui devrait vous encourager à travailler avec des experts externes pour surveiller vos données. Cependant, nous vous recommandons tout de même d’essayer de voir comment vous pouvez diversifier les tâches de vos employés. Ils pourraient peut-être vous aider à résoudre d’autres problèmes, et ce pourrait être suffisant pour éviter qu’ils ne tombent dans cet épuisement engendré par l’ennui.

En résumé, si vous décidez de former vos propres analystes du SOC, nous vous recommandons fortement de ne pas les lâcher. L’amour n’est la seule chose si difficile à trouver, facile à perdre, et dure à oublier.