Capgemini lance une offre d’externalisation de SOC
La SSII s’appuie ses ressources en Inde ainsi que sur le système de gestion des informations et des événements de sécurité QRadar d’IBM.
Capgemini vient d’annoncer le lancement de services managés de supervision de la sécurité. Cette offre d’externalisation de centre opérationnel de la sécurité (SOC) s’appuie sur les ressources dont dispose la SSII en Inde et propose trois niveaux de service. Dans un communiqué, Capgemini explique que le premier niveau (bronze) consiste pour l’essentiel à la seule mise en œuvre d’un système de gestion des informations et des événements de sécurité (SIEM). Les niveaux argent et or doivent apporter un « service actif qui s’adapte en temps réel à l’évolution de la menace ». Pour cela, le SIEM se voit enrichi d’une veille avancée sur les menaces, de solutions de mise en bac à sable réseau (sandboxing), de capacités analytiques, et d’une gestion de la gouvernance, du risque et de la conformité.
Pour construire cette offre, Capgemini a décidé de retenir le SIEM QRadar d’IBM. Fin 2015, IBM a joué l’ouverture pour développer un écosystème complet autour de son SIEM, avec le lancement de Security App Exchange, une place de marché dédiée aux applications basées sur QRadar. De quoi concurrencer notamment Splunk dont l’une des forces est justement l’ouverture. Sa place de marché est forte de plus de 460 applications, extensions et autres connecteurs, dans la seule catégorie Sécurité et conformité, contre un peu plus de 130 pour IBM Security App Exchange. Mais ce dernier n’en comporte pas moins des collecteurs pour les systèmes de sécurité de Stonesoft, Palo Alto Networks, Lastline, Fortinet, FireEye, ou encore Blue Coat. On y trouve également un module permettant d’intégrer n’importe quel flux de renseignements sur les menaces aux format STIX ou TAXII, à commencer par ceux partagés sur la plateforme X-Force Exchange lancée par IBM en avril 2015. Depuis la fin juillet, IBM propose également, sur sa place de marché pour QRadar, son propre module d’analyse comportementale et de détection d’anomalies. Celui-ci assure notamment la corrélation entre données NetFlow et événements des journaux d’activité.
En début d’année, IBM a par ailleurs racheté Resilient Systems pour enrichir QRadar de capacités d’automatisation de la réponse aux incidents de sécurité. Mais pour l’heure, Capgemini n’évoque pas y avoir recours dans le cadre de son offre de services managés.
Pas une solution miracle
Fin janvier 2016, une table ronde organisée lors du Forum International de la Cybersécurité (FIC), a été l’occasion de souligner que, si l’externalisation de SOC est une piste viable, ce n’est en rien une solution miracle. Vincent Le Toux, consultant sécurité chez Engie, rattaché à la RSSI Groupe, en soulignait les avantages, à commencer par une transparence qui simplifie la promotion d’un projet SOC en interne, ou encore la capacité à disposer de « personnes immédiatement opérationnelles » sans avoir à les recruter. La capacité à offrir un service en 24/7 peut également séduire.
Mais il soulignait également une difficulté importante : « le prestataire externe ne peut pas remettre les événements dans un contexte métier. Et c’est un processus difficile », d’autant plus que « plus un SOC fonctionne bien, plus il va générer d’alertes », au risque de saturer l’organisation.