Avec Sekoia, Systra remet son SOC sur les rails

La société spécialisée dans les mobilités est sortie d'un SOC totalement externalisé pour mettre en place un centre de surveillance où elle conserve la main sur des éléments clefs, comme les règles de corrélation ou le datalake renfermant les logs.

Ancien d'Alcatel-Lucent, de Thales, de Deloitte et de Bouygues Construction, Jean-Baptiste Auchêne a rejoint Systra il y a un peu plus de trois ans pour en devenir le responsable du SOC. A l'époque, l'entreprise spécialiste de la conception de lignes de métro, de trains et d'ouvrages associés (12 000 personnes dans le monde, dont 2 000 en France) dispose déjà d'un centre d'opérations de sécurité, totalement externalisé. « Ce dernier fonctionnait en mode boîte noire. Faute de disposer d'un accès au datalake, mener des investigations sur des événements de sécurité s'avérait par ailleurs difficile et nous n'avions pas de contrôle des règles de corrélation », souligne Jean-Baptiste Auchêne. Arrivé presque en même temps que ce dernier au sein du groupe d'ingénierie et de conseil spécialisé dans les transports publics et les solutions de mobilité, le RSSI Jean-Francois Tesseraud conforte, après plusieurs audits, le besoin de revoir le processus de détection des menaces.

Un nouvel appel d'appel d'offres aboutit au choix de la technologie de SOC hybride de l'éditeur français Sekoia.io, mise en oeuvre par la société de services montpelliéraine SNS Security. « Nous avons à la fois la capacité à être administrateur de la plateforme, disposons d'un accès au datalake, pouvons configurer les règles de corrélations, mettre en place nos propres KPI et définir qui fait quoi sur la solution », énumère Jean-Baptiste Auchêne. Autrement dit, une solution hybride, où les équipes de Systra et celles de la société de services se répartissent les rôles.

Incidents dispatchés aux équipes via Teams

Au sein de la solution Sekoia, certaines règles de détection sont livrées par défaut, un ensemble que vient enrichir SNS Security. « Et nous pouvons nous aussi ajouter nos propres règles pour nous rapprocher au plus près des attentes du métier. Et, s'il nous est impossible de supprimer les règles créées par l'éditeur ou par la société de services, nous pouvons en revanche les désactiver », reprend le responsable du SOC de Systra. Géré par un salarié et un alternant - en sus de Jean-Baptiste Auchêne -, le centre opérationnel dispatche les incidents aux équipes opérationnelles, via l'automatisation de la création des tickets et des notifications dans Microsoft Teams, grâce à une intégration du SOAR (Security Orchestration, Automation, and Response soit l'orchestration, l'automatisation et la réponse aux incidents de sécurité), prévue dans le premier lot de la construction du SOC. « Dans le traitement des incidents, j'estime le gain de temps à 30 ou 40% par rapport à ce qui existait auparavant », indique Jean-Baptiste Auchêne, qui précise que cette automatisation a été mise en place en trois mois environ par SNS Security.

Déployé initialement sur un périmètre IT hybride - cloud et on-premise - couvrant l'ensemble des activités au niveau mondial de Systra, la solution repose sur des agents déployés sur le parc informatique et sur une console, hébergée chez OVH et décorrélée de l'Active Directory. « Ce schéma permet de renforcer la résilience, notamment en cas d'infection par un ransomware », insiste le responsable du SOC, qui a déjà connu ce type d'événement au cours de sa carrière. La solution doit prochainement s'étendre à des applications maison dédiées à l'ingénierie, un des coeurs de métier de Systra. Ce qui nécessite d'intégrer de nouveaux logs à la plateforme, un travail pris en charge par SNS Security. « Comme le contrat est basé sur le nombre d'utilisateurs, nous pouvons consolider autant de logs que nécessaire sans surcoût », souligne Jean-Baptiste Auchêne.

Les promesses de la GenAI pour les équipes SOC

Selon ce dernier, passé la phase de mise en oeuvre, Systra connaît aujourd'hui un recul du nombre de faux positifs émanant de la plateforme. « C'est typique de la mise en place d'un SOC », souligne le responsable, pour qui la capacité à associer des niveaux de criticité aux règles de corrélation au sein de Sekoia.io permet aussi d'abaisser le niveau de bruit que créent les faux positifs. « Par ailleurs, grâce à l'agent Sekoia.io, la plateforme nous a permis de remonter des événements que nous ne détections pas auparavant, comme des déplacements latéraux. »

L'équipe cybersécurité de Systra s'intéresse désormais aux derniers outils intégrés par l'éditeur français, à base d'IA générative. « Ces développements, encore en bêta aujourd'hui, laissent augurer de gains de temps importants, de l'ordre de 50%, sur des tâches comme la recherche ou la conception de règles. Pour les équipes SOC, c'est un levier prometteur permettant de dégager du temps pour se concentrer sur des tâches plus essentielles pour le métier, comme l'exfiltration de données », anticipe Jean-Baptiste Auchêne.