Au départ, IBO utilisait un SIEM (Security Information and Event Management)
standard, mais très vite, l’idée de corréler les événements avec l’activité
réseau, pour un suivi en temps réel, est devenue une évidence.

« Un hacker doué peut effacer les traces de son passage, mais pas l’activité
réseau qu’il génère. La solution QRadar choisie par IBO leur permet de corréler
les événements sécurité et le flux réseau et ainsi d’être alertés de tout
comportement anormal avec un degré de sévérité approprié » explique Nicolas
Atger, responsable marché Sécurité IBM Software.

Dans le cadre de sa démarche de recherche de solutions pour mettre en place un SIEM
de type 2.0, IBO a envisagé deux options : une solution issue du monde libre ou IBM
QRadar couplé aux sondes IPS (Intrusion Prevension System) du même fournisseur.
QRadar est une console de management permettant une gestion centralisée de la
sécurité et un contrôle du système d’information. Elle est de plus alimentée
par tous les événements réseaux grâce aux IPS.

Finalement, leur choix s’est porté sur la solution IBM car ils ont été séduits
par sa capacité à consolider, analyser et corréler en temps réel des milliers
d’événements et d’incidents de sécurité entre eux, grâce à de l’intelligence
embarquée, afin de détecter les offenses (attaques potentielles regroupant toutes
les alertes qui y sont liées) et de leur donner un degré de sévérité. Ils sont
ainsi passés de quelques milliers d’alertes à un rythme de quelques offenses
hebdomadaires. De plus, la solution IBM QRadar était directement opérationnelle et
son déploiement relativement rapide, alors que la solution libre aurait nécessité
un paramétrage important, était moins adaptable et surtout plus coûteuse à
administrer.

« La solution IBM est extrêmement efficace. Elle nous permet de gagner à la fois
en coûts de développement, comparativement à des logiciels du monde libre ; et en
temps homme, via une gestion centralisée de la sécurité. Grâce à la solution
QRadar d’IBM, nos équipes sécurité peuvent concentrer leurs investigations sur
une liste utile d’incidents suspects, tout en ayant accès à des informations
détaillées, et peuvent générer des rapports d’activité préétablis. Autrement
dit, nous produisons plus de valeur tout en réduisant nos coûts » explique Gilles
Raturat, directeur technique d’IBO.

La solution IBM permet également à IBO de démontrer sa conformité aux
réglementations en vigueur tant dans le domaine de la santé que dans celui de la
protection des données personnelles et à la fois au niveau technique et au niveau
des processus. Elle va lui permettre de développer son activité tout en maintenant
un haut niveau de sécurité, conforme à sa politique interne.
En cas d’audit lié aux exigences légales relatives à l’hébergement de données
de santé, IBO dispose de rapports automatisés lui permettant de démontrer
simplement et rapidement sa conformité.

« La mise en œuvre d’un SIEM 2.0 nous permet d’aborder de nouveaux marchés et
d’étendre notre couverture géographique, c’est pour nous un différenciant
supplémentaire. La santé est un axe de développement stratégique pour IBO ; nous
avons énormément investi dans ce domaine, notamment dans le cadre de l’obtention
de l’agrément hébergeur de données de santé. De plus, ce projet nous a permis
d’entrer dans une démarche de partenariat avec IBM pour nous développer au niveau
national » explique Frédéric Chaumont, PDG d’IBO.