single

     

L'intégration du SOC chez Homeserve

Image_digital-strategy_article_503
Pour Thibaut Gadiolet, un SOC efficace doit impérativement et en premier lieu se nourrir de l'intelligence propre à l'entreprise.
ITW : Thibaut Gadiolet, Chief information security officer chez Homeserve

QUEL EST VOTRE PERIMETRE EN TANT QUE RSSI ?

Homeserve est un groupe international basé au Royaume-Uni. En France, nous sommes 500 collaborateurs et 1 million de clients, donc autant de données personnelles. Pour ma part, je suis arrivé en poste il y a environ un an. Avant cela, la cybersécurité n'était pas un sujet en tant que tel puisque je suis le premier RSSI de Homeserve France. Je suis rattaché directement au DOSI, qui siège au Comex.

DEPUIS VOTRE ARRIVEE, AVEZ-VOUS PU DEPLOYER UN SOC ?

Notre SOC est effectivement opérationnel depuis quelques mois, avec deux personnes dédiées à temps plein.

QUELLE CONCEPTION AVEZ-VOUS DU SOC EN GENERAL ?

Je vois aujourd'hui deux écoles s'affronter. Les SOC externalisés d'une part. Pour m'y être aventuré par le passé, je ne suis pas très convaincu de leur pertinence, car ils prennent finalement assez peu en compte le contexte de l'organisation et se déploient souvent loin des métiers. De fait, les alertes remontées par ce type de SOC apportent souvent une faible valeur ajoutée, peu apprenante quant à la gestion des incidents. A l'inverse, je conseillerais plutôt, du moins pour débuter, de monter son SOC avec des ressources internes, à proximité des métiers et à même de les consulter régulièrement pour investiguer.

D'AUTANT QUE LES MENACES SONT AUJOURD'HUI OMNIPRESENTES...

Au final, malgré toutes les mesures de prévention et de protection, on se rend compte que les portes ne manquent pas pour rentrer dans les systèmes de l'entreprise. Nous mettons donc l'accent sur la détection et la réaction, le but étant de limiter l'impact des incidents. Car les crises, si elles existent, sont d'abord métiers avant d'être informatiques. Par exemple, un ransomware a récemment chiffré une grande partie de nos fichiers partagés ; les métiers se sont tout simplement trouvés bloqués dans leur travail.

COMMENT AVEZ-VOUS CONSTRUIT CETTE "PROXIMITE METIERS" ?

Nous avons un événement trimestriel, le Live, qui réunit les 500 collaborateurs sur une demi-journée. Une de mes premières actions a été d'y intervenir pour sensibiliser les collaborateurs à mon rôle et à ma disponibilité, l'idée étant de faire savoir que j'étais là pour aider, accompagner et contrôler et non pour interdire, empêcher ou reprocher.

QUELLES AUTRES ACTIONS DE COMMUNICATION AVEZ-VOUS ENTREPRISES ?

Nous avons également mis en place dix modules d'e-learning, obligatoires avant de valider sa période d'essai à l'embauche. Nous proposons aussi des "cafés com", ateliers d'éveil à la cybersécurité pour les volontaires. Enfin, je communique également sur l'intranet. Ainsi, l'incident sur les ransomwares est intervenu deux jours après une communication par ce biais sur le sujet ; c'est ainsi qu'une utilisatrice a pu relever l'incident et me le signaler, puisqu'elle m'avait identifié à l'occasion du Live. « La sécurité est l'affaire de tous » : les grands classiques sont toujours bons à répéter. Mais au-delà de le dire, il est important de démontrer pourquoi. C'est par l'application concrète que chacun comprend véritablement qu'il a un rôle à jouer dans le programme cybersécurité de l'entreprise.

QUELQUES PISTES POUR RENDRE LE SOC ENCORE UN PEU PLUS "SMART" ?

J'entends beaucoup parler de threat intelligence. Ce qu'il en ressort ne concerne pas toujours notre secteur ou notre zone. Ce n'est pas que ce n'est pas utile, loin de là, mais pour moi, l'intelligence d'un SOC repose principalement sur la qualité de son équipe et l'exploitation faite de son SIEM (plateforme de centralisation des logs). Beaucoup mettent en place le SOC sans prendre le temps de comprendre les logs qui en ressortent et de customiser correctement leur plateforme pour en tirer quelque chose de réellement pertinent.

LA THREAT INTELLIGENCE EXTERNE VIENT DANS UN SECOND TEMPS ?

Je pense en effet que la première action pour rendre un SOC plus intelligent, c'est tout d'abord de commencer petit, de prendre certains logs et d'activer certains scénarii propres à son contexte, à la cartographie de notre réseau, aux flux qui transitent, aux applications, aux métiers... Il faut alimenter le SOC avec de l'intelligence propre à l'entreprise et interconnectée aux différents systèmes. La pertinence découlera ensuite de l'expérimentation et des analyses, conduites par des profils que l'on aura su faire monter en compétences et qui sont proches des métiers. On sait que le ROI de la cybersécurité est toujours difficile à établir, cela ne doit pas empêcher d'y consacrer du temps !

Pour consulter l'ensemble de l'ouvrage, cliquer ici