Détection des Cybermenaces : l’expérience d’un groupe de la grande distribution
Initialement motivée par une recherche ponctuelle d’expertise accrue dans le domaine de la cybersécurité, l’intervention de Thales auprès d'un acteur de la grande distribution a par la suite permis d’établir les bases d’un partenariat visant à faire évoluer l’approche de la sécurité IT. Au-delà du renforcement de ses capacités de détection et de réaction face aux menaces, le groupe de la grande distribution a entamé une transformation en profondeur de son SI qui s’accompagne d’une responsabilisation accrue des équipes à la sécurité IT.
Intervention initiale
Confronté, comme toutes les entreprises, à des menaces pouvant porter atteinte à l’intégrité du SI, le groupe de la grande distrubution a fait appel à Thales en 2014. Une équipe d’experts et consultants en cybersécurité - la Force d’Intervention Rapide (FIR) - intervient alors in situ, au sein des équipes du groupe. Ses outils dédiés, tels que des sondes souveraines, lui permettent d’accroitre la visibilité et d’opérer un double contrôle afin de lever les doutes et d’évaluer les dispositifs à adapter.
A l’issue de cette première expérience, cet acteur de la grande distribution souhaite continuer la collaboration et a pour objectif d’industrialiser les processus de détection et des traitements associés. De leur côté, les équipes Thales mettent cette période à profit pour comprendre en profondeur l’organisation du SI de cet acteur de la grande distribution.
Etape de transition
La solution de supervision « de circonstance » mise en œuvre pendant les mois qui suivent bénéficie de cet acquis. Basée sur des outils standards parfaitement maîtrisés par Thales, elle est adaptée au contexte de cet acteur qui dispose ainsi d’une solution sur mesure fournissant une vision contextualisée des événements. Elle permet aussi d’identifier les non conformités et de « corriger » le SI en conséquence. Fort des informations recueillies, le Directeur de la Sécurité des Systèmes d'Information (DSSI) du groupe sensibilise/responsabilise aussi bien les équipes informatiques que les utilisateurs et œuvre pour l’intégration rapide des processus de sécurité au sein de l’entreprise. Cette phase transitoire contribue ainsi à une prise de conscience collective des risques encourus et de l’importance de la sécurité informatique.
Après avoir éprouvé l’organisation et les processus de détection/prévention des menaces, l'acteur de la grande distribution lance un appel d’offres pour une solution industrielle de supervision de la sécurité. En 2015, c’est Thales qui est retenu pour mettre en œuvre un CSOC (Cybersecurity Operation Centre) sur mesure, non générique, mais mutualisé pour bénéficier des bonnes pratiques et des retours d’expérience des autres clients. Il s’appuiera sur « l’outillage » éprouvé des CSOC Thales (outils de corrélation, de log management, de gestion des incidents, CERT-IST[1]…) en les adaptant au contexte de l'acteur de la grande distribution.
Une solution sur mesure
En moins de trois mois, les équipes Thales réalisent la solution : connexion du CSOC Thales au SI du groupe de la grande distribution, identification des équipements à superviser et des évènements à remonter, élaboration des processus d’échange avec le client … et – point-clé de la personnalisation - définition des règles à mettre en place basées sur des scénarios de menaces prioritaires et conformes aux bonnes pratiques de l’ANSSI.
Pour Eric Banzet, Directeur commercial pour les activités Systèmes d’Information Critiques et Cybersécurité de Thales, « l’approche graduelle et modulaire de services et solutions nous a permis de construire avec le groupe de la grande distribution un véritable partenariat. La réussite de cet accompagnement dans la durée - du conseil à la supervision – repose sur une association de méthodologie et d’expertise technique dans un objectif de servir les métiers. »
Pour aller plus loin :
L’offre de supervision de sécurité de Thales : une réponse globale, évolutive et adaptable aux besoins de sécurité