Cette grande entreprise française a monté un service de veille de la sécurité qui travaille en 24/7. Ce service appartient à une organisation au sein du groupe qui sert de FAI. Elle a donc souhaité amélioré le système netcool qu’elle utilisait précédemment. Après l’élaboration d’un cahier des charges qui aux dire de ce RSSI était un peu trop complexe et a rendu difficile le dépouillement des réponses. Dans un contexte difficile avec un SI particulièrement hétérogène sur une très grande infrastructure, cette entreprise souhaitait obtenir une solution scalable et un outil de reporting lisible et facile à exploiter. Le choix s’est porté sur la solution de Loglogic après un audit valider sur le système pour vérifier que le système pouvait bien tenir la charge. Une des principales difficultés étaient la demande d’une analyse en véritable temps de chaque incident, sans compter le problème de conservation des 220 millions de lignes de log par jour durant un an. Après implémentation de la solution100 alertes de non-conformité sont reçues par jour. Après analyse manuelle par une personne qui travaille à plein temps aujourd’hui 1 à 2 incidents sont qualifiés au quotidien. Toutefois, ce RSSI espère que le nombre d’incidents de non-conformité devrait diminuer encore car la solution est en cours de tuning. Parmi la centaine d’alertes relevées tous les jours seul 5 à 10 sont des faux positifs selon ces critères de sélection.

L’outil qu’il utilise a des règles de base qui sont pré-paramétrées mais qui ne sont pas adaptées aux besoins de ce RSSI. De plus sa base de menaces évolue perpétuellement en fonction des nouvelles menaces identifiées. Un « Wiki » a été créé que l’équipe sécurité peut enrichir. Un outil de reporting est utilisé à la place de celui proposé en standard par Loglogic.

Pour lui, l’intérêt de la solution Loglogic est la normalisation des logs de tous les équipements. Ainsi, il estime bénéficier d’un ROI direct car il a pu réduire le nombre de personne dans son équipe pour gérer les logs et les alertes induites. De plus pour tous les produits qui ne fournissent pas des fichiers en Syslog, Loglogic propose des connecteurs. Ainsi, par exemple la connexion avec EPO de McAfee a été faite en 5 jours pour l’ensemble de son SI. Un des facteurs de réussite de son projet a été d’avoir su anticiper « les risques au niveau technique et en faisant simple en s’intégrant dans la gestion des incidents déjà en place. » Au niveau organisationnel, il a eu des efforts à produire pour sensibiliser les métiers au niveau de la confidentialité et sur les risques juridiques. Son analyse des incidents montrent que la menace interne est plus importante que les attaques venues de l’extérieur.