Ce RSSI d’une multinationale a abordé les facettes de la sécurisation de l’information à travers la mise en place d’une gouvernance internationale de la sécurité, d’action de sensibilisation et de travail avec les métiers pour implémenter un SIEM (solution de logs management). Il a présenté le contexte qui a poussé sa société à déployer une telle solution. Son projet couvre la sécurité internet en particulier l’accès aux données et la navigation web. A l’époque, il avait plus de 10 millions d’événements de sécurité par jour soit 2 Gigaoctets de données. Il n’avait pas non plus de politique d’archivage des logs, ni d’indicateur d’événements centralisé ou d’analyse de risque préventive. Suite à ce constat, il s’est fixé plusieurs objectifs parmi lesquels :

– disposer d’une politique de sécurité centralisée dans ce domaine
– disposer d’indicateurs de sécurité centralisés
– optimiser le travail des équipes d’exploitation

Pour cela, il a eu besoin d’éléments de collecte et d’archivage, d’outil de corrélation et d’outil de reporting efficace. Selon lui, sur le marché il n’y aurait pas d’offre répondant parfaitement à ses trois critères.

Les sponsors du projet qui ont participé à son déploiement appartenaient à différents services en premier lieu la qualité qui lui a été d’une aide précieuse, l’audit compliance pour la partie conformité, l’archivage compliance, l’IT production et support, les RH et la finance, enfin l’exploitation de la sécurité.

Le projet a suivi les étapes traditionnelles de toute mise en œuvre : définition des besoins de chaque service, analyse des solutions, test et déploiement final. Le facteur clé de la solution retenue était l’intégration facile dans l’environnement jusqu’au couche haute (6 et 7). Le projet a pris 18 mois entre son début et le déploiement sur les deux pays. 45% du projet a été consacré aux éléments à corréler. Il a souligné que le choix d’un intégrateur compétent est primordial et surtout qu’il ne faut pas se fier aux discours des éditeurs. Il est aussi important de construire de nouvelles règles. En effet, il a rencontré des problèmes d’ajustement des règles. Au final, il lui a fallu 5 « input » en termes d’informations pour pouvoir bénéficier de réelles alarmes exploitables. Le premier jour, il a reçu 500 alertes qui ont été réduites en quelques semaines à une centaine. Aujourd’hui, il vise une dizaine d’alertes par jour. Cette phase lui a pris 3 mois.

En termes de RoI, il a fait une analyse qualitative et quantitative. Au niveau qualitatif, il est passé d’un mode réactif à un mode préventif. Il a pu aussi mieux planifier le besoin en équipements en particulier pour les serveurs nécessaires au stockage des logs et améliorer ses SLA. Au niveau quantitatif, il a gagné plusieurs heures de travail par jour pour l’ensemble de ses équipes : investigations, supports, détections des incidents…