Alain Clapaud
Comment le SOC de Nomios se passe d’analystes de niveau 1
Nomios a ouvert les portes de son SOC parisien au MagIT. Le prestataire dévoile comment ses analystes traitent les incidents de sécurité pour le compte de leurs 40 clients français, alliant humain et automatisation.
Basé à Boulogne-Billancourt, Nomios fête ses 20 années d’existence. L’intégrateur de solutions de sécurité des années 2000 est opérateur de SOC depuis 3 ans. Il vient d’ouvrir son 7e SOC en Allemagne, après la France, l’Italie, la Belgique, les Pays-Bas, le Royaume-Uni et la Pologne. L’entreprise compte 700 personnes en Europe, dont 300 en France. Le SOC français compte 25 analystes.
Romain Quinat, directeur marketing de Nomios explique ce repositionnement sur le marché : « nous avons fait le choix d’aller sur ce marché quand nous avons jugé que les outils étaient suffisamment mûrs pour ne pas avoir une armée d’analystes de niveau 1 afin de trier des logs. Embaucher 70 personnes pour trier des journaux d’activité nous paraissait aberrant et, de facto, nous avons construit notre SOC sans analystes niveau 1 ».
Pas de « cols bleus », donc, dans les bureaux de Nomios pour traiter des centaines de faux positifs chaque jour, ni même de recours au nearshore ou à l’offshore comme l’explique Luis Delabarre, directeur des SOC du groupe : « la tendance de tous les SOC est d’aller vers plus d’automatisation, vers plus d’IA. Et aujourd’hui, tout l’effectif est du côté des cols blancs. Une analyse doit être capable de gérer un incident de sécurité de A à Z ».
Les données restent dans le giron de chaque entreprise
En matière d’architecture, l’approche de Nomios est de laisser à ses clients la mainmise sur leurs XDR ou SIEM. Chacune peut décider d’héberger sa solution en interne ou de recourir à un service cloud, et seuls les incidents sont transférés vers le SOAR mis en œuvre par Nomios pour chacun de ses clients.
Luis DelabarreDirecteur des SOC de Nomios
« Nous sommes dans un modèle co-managé », précise le responsable. « Le client peut mettre ses propres règles de détection sur son SIEM ou son XDR ». Cette approche est totalement réversible : en phase de renouvellement de contrat, si le client envoie l’ensemble de ses logs chez son prestataire de SOC, il devra récupérer des pétaoctets de logs s’il veut le quitter. Non seulement cela lui sera facturé, mais il va devoir déployer la technologie pour les recharger : « avec notre approche, le client conserve tous ses logs en interne, il conserve aussi ses règles de détection », explique Luis Delabarre. Autre atout en faveur de ce modèle, l’entreprise choisit où et comment elle installe son puits de logs, et si l’infrastructure SOC de Nomios vient à être indisponible, l’infrastructure du client continue à fonctionner et continue à collecter des données.
De son côté, Nomios met en œuvre le SOAR de Palo Alto Networks Cortex XSOAR (ex-Demisto). Le fournisseur de service gère une instance SOAR par client, ce qui représente de l’ordre de 120 VM en production pour le SOC français. Cette infrastructure implémente du load balancing avec un deuxième centre de calcul.
Le rôle du SOAR est de trier et d’éliminer les incidents considérés comme du bruit, c’est-à-dire les faux positifs, via l’exécution des playbooks mis en place par les analystes. Dans le même temps, le SOAR prépare le contexte pour l’analyste.
« Le SOAR vient enrichir le rapport d’incident de données complémentaires afin que les analystes de niveau 2 et 3 puissent travailler de la manière la plus efficace possible et que nous puissions tenir les SLA, car nos clients attendent de nous que nous intervenions dans un laps de temps mesuré et conforme à leurs attentes », explique Luis Delabarre.
Nomios teste actuellement l’IA générative de Qevlar AI pour synthétiser ces informations en langage naturel. Néanmoins, l’automatisation s’arrête aux portes de la remédiation, car aucun client ne souhaite mettre en place une remédiation automatique des incidents. Seul le « containment » est possible, c’est-à-dire isoler des postes en cas de suspicion d’une attaque avec ransomware, par exemple. Deux analystes ont pour mission de rédiger de nouveaux playbooks et de gérer la bibliothèque de playbooks du SOC.
Luis DelabarreDirecteur des SOC de Nomios
Avec l’ensemble des données assemblées par le SOAR, et notamment celles de CTI (Cyber Threat Intelligence, ou renseignement sur les menaces), l’analyse peut intervenir sur les outils du client pour mener à bien son investigation, notamment se connecter au XDR du client depuis le SOAR. La moitié des clients de Nomios sont sous Palo Alto… l’autre moitié se répartit entre Microsoft Sentinel, Cybereason, Sekioa.io, et SentinelOne.
Un référent pour chaque client
Dans l’organisation interne du SOC, les équipes d’analystes sont regroupées en pods, avec pour chacun d’eux un analyste de niveau 3 et de 4 à 5 analystes de niveau 2. Chaque pod gère une moyenne de 6 à 8 clients, à l’exception du pod 1 à qui sont affectés les 3 plus gros clients de Nomios. Les clients du prestataire comptent de 1 000 à 30 000 postes.
Tous ces pods ne prennent pas en charge l’ensemble des technologies SIEM et XDR supportées par Nomios. Sur les 40 clients français, la moitié des clients Nomios étant sur Palo Alto, chaque Pod se doit d’en maîtriser les solutions, mais aussi une ou plusieurs autres technologies mises en œuvre par les clients de Nomios, que ce soit Exabeam, Splunk, Logpoint, Sekoia.io et Chronicle.
Un SDM (Service Delivery Manager) est affecté à chaque client ; c’est le point de contact avec le client lors des réunions et il anime tous les comités. Sur un contrat standard, 17 réunions sont organisées chaque année : un comité opérationnel chaque mois, un comité de pilotage chaque trimestre, un comité stratégique une fois par an. « Le client doit être totalement impliqué même lorsque son SOC est externalisé », souligne Romain Quinat.
Luis DelabarreDirecteur des SOC de Nomios
Les clients de Nomios ont la possibilité de souscrire à l’option 24/7 sous astreinte. Lors des heures non ouvrées, c’est l’analyste d’astreinte qui est réveillé et doit traiter l’alerte. « C’est le modèle que choisissent 90 % de nos clients », pointe Luis Delabarre. Et de souligner que « cette option n’est facturée que 500 € par mois, ce qui n’est rien pour une entreprise. ».
Une autre approche est le 24/7 avec pupitrage, c’est-à-dire avec un humain devant son écran pour traiter les alertes low/medium et high : « ce service est rendu par notre SOC en Pologne car notre équipe est déjà organisée pour le 24/7 ». Ce SOC est issu de l’acquisition de l’entreprise polonaise SOC24, en 2019 : « s’il s’agit d’un faux positif, l’analyse traite l’alerte. Si ce n’est pas une fausse alerte, c’est l’analyste d’astreinte en France qui est réveillé et qui va traiter l’alerte. Nous avons choisi ce mode de fonctionnement, car nous voulons que ce soit un analyste français qui appelle l’entreprise ». Pour une alerte de niveau high/critique, le SLA appliqué est de 2 heures, contre 24 heures pour une alerte de faible criticité.
En tout, 330 000 incidents ont été traités depuis le début de l’année pour les 40 clients du SOC français. Sur ce nombre, 192 000 ont été clos automatiquement et « seulement » 1 720 menaces ont été effectivement traitées par les analystes.