adimas - Fotolia
Renault se dote d’un SOC externalisé
Le constructeur automobile a choisi de faire appel à Sogeti pour l’exploitation d’un nouveau centre opérationnel de sécurité couvrant l’ensemble de son infrastructure dans le monde entier.
Depuis le début du mois de décembre 2015, Renault profite d’un nouveau centre opérationnel de sécurité (SOC) installé à Toulouse. Opéré par Sogeti, ce SOC doit assurer la surveillance en continu des infrastructures de Renault. La SSII ne précise pas quelles solutions sont mises à contribution – elle se contente d’évoquer « plusieurs solutions leaders du marché » –, mais des éléments pointent en direction du système de gestion des événements et informations de sécurité (SIEM) QRadar d’IBM. En juillet dernier, Gartner le classait d’ailleurs parmi les leaders du marché.
Outre les aspects purement techniques, Sogeti revendique une « collaboration étroite » entre ses équipes et celles du constructeur automobile, évoquant la « mise en place d’un processus d’amélioration continue » visant à renforcer la détection des incidents et en « fluidifier » la résolution. A cela s’ajoute l’intégration de flux de renseignement avec l’utilisation de « nouveaux indicateurs de compromission pour améliorer et accélérer » la détection.
Dans un communiqué, Pierre Gachon, directeur de la sécurité informatique du groupe Renault, explique que « la mise en place d’un SOC est essentielle et s’inscrit dans la stratégie de cybersécurité internationale de Renault ».
Contrairement à ce que cette citation peut laisser entendre, cela ne semble toutefois pas être une première pour Renault. Si notre demande d’entretien n’a pas été honorée au moment de publier ces lignes, le groupe disposait déjà précédemment d’équipes opérationnelles dédiées à sa sécurité informatique en région parisienne.
Pas une solution miracle
Fin janvier 2016, une table ronde organisée lors du Forum International de la Cybersécurité (FIC), a été l’occasion de souligner que, si l’externalisation de SOC est une piste viable, ce n’est en rien une solution miracle. Vincent Le Toux, consultant sécurité chez Engie, rattaché à la RSSI Groupe, en soulignait les avantages, à commencer par une transparence qui simplifie la promotion d’un projet SOC en interne, ou encore la capacité à disposer de « personnes immédiatement opérationnelles » sans avoir à les recruter. La capacité à offrir un service en 24/7 peut également séduire.
Mais il soulignait également une difficulté importante : « le prestataire externe ne peut pas remettre les événements dans un contexte métier. Et c’est un processus difficile », d’autant plus que « plus un SOC fonctionne bien, plus il va générer d’alertes », au risque de saturer l’organisation.
Les processus associés au SOC externe de Renault et à la collaboration avec les équipes de Sogeti semblent toutefois avoir fait l’objet d’une importante attention.