Europcar élabore son SOC pour la sécurité et au-delà
Le spécialiste de la location de voiture, Europcar, a élaboré son SOC en s'appuyant sur la plateforme Enterprise Security de Splunk avec à la clé des cas d'usage, des tableaux de bord et une orientation métier en complément.
PublicitéEuropcar a changé de nom pour Europcar Mobility Group en investissant dans la mobilité (partage de voitures, scooter, ...) à travers des croissances externes. Historiquement, la société a une forte présence en Europe, en Australie, avec beaucoup de franchisés.
La roadmap sécurité s'étale sur une période allant de 2016 jusqu'en 2020 et comprend 3 grandes étapes. La première portait sur la mise en place des bases, un SIEM, un scan de vulnérabilités, une solution de DDoS et de patch management. « aujourd'hui, nous en sommes à la deuxième étape avec la création d'un SOC, l'utilisation de service CASB (Cloud Access Security Broker), de DLP avec une cible de certification d'ici 2020 », explique Yann Bedard CISO d'Europcar Group.
Sur la partie SOC, la première étape a été le choix du socle technique. L'idée est d'avoir un seul outil pour centraliser l'ensemble de l'administration de la sécurité. Par ailleurs, la simplicité d'intégration était de mise car l'équipe de sécurité n'est pas pléthorique, il fallait donc « un outil rapidement intégrable pour montrer à la direction le chemin que l'on voulait prendre ». Enfin, la solution choisie devait être très évolutive en étant capable de s'intégrer avec l'ensemble des solutions du marché. La plateforme Splunk a vocation à récupérer des données issues de l'infrastructure y compris sur des informations liées à la sécurité à travers différentes applications pour réaliser des tableaux de bord.
Plusieurs cas d'usage dont certains orientés métiers
Une fois les premières briques technologiques implantées, une extension du périmètre du SOC a été mis en place avec par exemple l'ajout de fonctionnalités de détection, de filtrage, de prévention des attaques offertes par les outils (pare-feux, proxy, protection des endpoints). Un accent a été mis sur l'industrialisation de la sécurité avec « le signalement automatique des alertes ». Par ailleurs, « une centaine de cas d'usage a été intégrée. Certains sont liés à la sécurité, d'autres plutôt à la compliance ou liés à la fraude ». En complément, Yann Bedard rappelle que « la plateforme de Splunk apporte déjà des cas d'usage préformatés ».
« Nous avons contractualisé un SOC avec des niveaux 1 et 3 externalisés ». Basé sur Enterprise Security de Splunk, « nous avions la volonté de l'étendre au sein de l'entreprise avec les équipes réseaux pour la partie firewall, mais aussi les métiers avec qui on regarde les logs des gens qui veulent louer une voiture, mais ne concrétisent pas leur achat ». La plateforme Splunk va donc au-delà de la simple sécurité, en apportant de la valeur ajoutée aux métiers. Une idée pas si altruiste, car cela permet aux équipes sécurité d'aller chercher du budget pour maintenir leur plateforme. Cette capacité démontre que le SOC peut apporter de la valeur ajoutée.
PublicitéDes tableaux de bord en mode dataviz
Sur les cas d'usage, Yann Bedard en donne quelques exemples. Ainsi, l'équipe de sécurité voulait avoir un tableau de bord sur les alertes les plus courantes, « nous avons défini les besoins, puis les requêtages avec un travail par itération. Le résultat est un dashboard très technique, mais qui permet de gagner du temps ». Autre cas, sur les applications financières avec des droits d'accès restreints, « nous voulions à travers les logs savoir si des gens utilisaient ces applications ou des fonctionnalités alors qu'ils ne devraient pas. Toujours avec de l'itération, nous avons obtenu un tableau de bord très visuel. On peut par exemple tracer un utilisateur qui se connecte avec un même compte, on calcule ensuite le temps de trajet et si on constate qu'il se connecte en Australie, puis en Angleterre deux heures après, il y a un souci ». Il ajoute en conclusion que « la géolocalisation est un élément facile à installer chez Splunk ».
Article rédigé par
Jacques Cheminat, Rédacteur en chef LMI
Suivez l'auteur sur Linked In, Twitter
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire