L’histoire de Pipedrive a commencé comme celle de StrangeBee et TheHive.
Il y a plus de 10 ans, un petit groupe de professionnels de la vente était à la recherche d’une plateforme CRM (gestion de la relation client) plus avancée que les solutions disponibles sur le marché. Ils avaient besoin d’un outil efficace et facile à utiliser qui centraliserait toutes les données essentielles, aidant les utilisateurs à visualiser l’ensemble du processus de vente et à remporter davantage de contrats.
Ils ont donc créé leur propre outil, et c’est ainsi qu’est né Pipedrive. La plateforme CRM qu’ils ont développée avec soin a fini par séduire les vendeurs du monde entier. Aujourd’hui, plus de 100 000 entreprises dans le monde l’utilisent, et l’équipe de Pipedrive compte plus de 850 personnes réparties dans 8 pays.
L’équipe cybersécurité de l’entreprise est très attachée à la protection d’une infrastructure mondiale aussi vaste et de ses données sensibles. Pour ce faire, elle a besoin d’outils fiables, efficaces et polyvalents.
Cette success-story raconte comment TheHive est devenu l’un des éléments centraux des workflows de l’équipe, en tant que système de gestion des tickets et des incidents hautement personnalisable et flexible.
Comment Pipedrive utilise TheHive dans ses workflows de cybersécurité (voir plus loin)
Pourquoi l’équipe cybersécurité de Pipedrive a choisi TheHive
Avant de s’engager pleinement dans TheHive, l’équipe cybersécurité de Pipedrive a évalué plusieurs alternatives, y compris des systèmes de gestion des tickets traditionnels (comme Jira et Confluence), ainsi que d’autres plateformes axées sur la sécurité.
La majorité des solutions que nous avons envisagées manquaient de flexibilité et de capacités d’intégration. TheHive nous permet d’ingérer des alertes et de personnaliser les réponses en fonction de nos playbooks de réponse aux incidents. Il permet une intégration fluide pour construire nos automatisations.
Andrew Karell,
Lead Security Engineer
Finalement, TheHive s’est imposé comme le choix idéal. Depuis les premières versions open source (en commençant par la v3 et la v4) jusqu’à la dernière v5, il a été un élément clé du workflow de l’équipe.
Les améliorations apportées à la version 5 de TheHive l’ont rendue encore plus intéressante. Elle offre une plus grande flexibilité pour adapter les workflows à nos processus réels, ce qui rend son utilisation intuitive. De plus, nos analystes et notre direction apprécient la possibilité de créer des tableaux de bord et de suivre les incidents de sécurité de manière structurée.
Joanna Raave,
Security Analyst
TheHive dans le workflow de l’équipe de cybersécurité
TheHive est étroitement intégré à la plateforme SOAR (orchestration, automatisation et réponse en matière de sécurité) conçue sur mesure par l’équipe.
La plateforme SOAR ingère des alertes provenant de sources multiples et se connecte aux outils tiers de Pipedrive. L’équipe l’a conçue pour assurer une intégration fluide avec les systèmes d’alerte, automatiser la majorité des réponses grâce à des playbooks et, in fine, gérer l’ensemble du cycle d’investigation – de la création à la clôture des alertes, cas et incidents – de façon nettement plus efficace et efficiente.
Le SOAR personnalisé permet notamment à l’équipe d’identifier les nouvelles alertes, de hiérarchiser et faire remonter les incidents et de générer des rapports.
Travaillant en étroite collaboration avec la plateforme SOAR, TheHive est un élément essentiel du workflow de l’équipe en matière de gestion des alertes et des incidents.
Ses capacités d’intégration, ainsi que la possibilité de centraliser et d’organiser les données provenant de différents outils d’une manière conviviale et exploitable, nous ont aidés à passer beaucoup moins de temps sur les tâches de routine et à nous concentrer sur ce qui est vraiment important.
Andrew Karell,
Lead Security Engineer
Voici comment l’équipe utilise la plateforme :
Intégration et automatisation par API
L’équipe s’appuie fortement sur l’API de TheHive, utilisant environ 20 endpoints différents pour des actions telles que :
- Créer et promouvoir des alertes vers des incidents
- Analyser les événements observables pour recueillir des renseignements sur les menaces
- Ajouter des pièces jointes, comme des captures d’écran en tant que preuves
- Récupérer des informations à l’aide de fonctionnalités de recherche
L’API leur permet d’intégrer TheHive au système SOAR personnalisé, à Slack et à d’autres outils de sécurité. L’ingestion automatisée des données et l’intégration avec d’autres outils réduisent le travail manuel et rendent leur workflow plus efficace.
Gestion avancée des incidents et gestion des tickets de sécurité
TheHive sert de système de gestion des tickets interne à l’équipe pour le suivi des incidents de sécurité. Il est plus axé sur la sécurité et plus flexible que les autres systèmes de gestion des tickets. Il offre un moyen clair, structuré et user-friendly de gérer les alertes et les incidents.
Les analystes utilisent TheHive pour clôturer les alertes, joindre des fichiers et documenter les incidents de sécurité. TheHive sert également de base de données historique pour les incidents et les actions liés à la sécurité.
Fonctionnalité de recherche
La fonctionnalité de recherche améliorée dans la version 5 de TheHive permet à l’équipe de trouver les alertes et les incidents pertinents beaucoup plus facilement. L’accès rapide aux incidents antérieurs permet de résoudre les incidents plus rapidement et plus efficacement.
Tableaux de bord et rapports
L’équipe utilise également TheHive pour générer des tableaux de bord. Ils affichent les métriques et les tendances, réduisant ainsi le besoin de rapports manuels, et fournissent des informations sur la sécurité à la direction : celle-ci peut suivre les opérations de sécurité sans avoir besoin d’un accès direct aux alertes et aux incidents.
Les tableaux de bord permettent également à la direction d’avoir une vision plus claire et plus précise des tendances en quelques secondes, grâce à la représentation visuelle des données.
Clôture en masse des alertes de faux positifs
TheHive permet à l’équipe de clôturer plusieurs alertes de faux positifs en une seule fois en les marquant comme faux positifs et en ajoutant un résumé unique.
Auparavant, les analystes devaient clôturer les faux positifs manuellement, un par un, ce qui était fastidieux et prenait beaucoup de temps. Cette fonctionnalité allège considérablement le travail des analystes.
Joanna Raave,
Security Analyst
Champs personnalisés et tagging
L’équipe utilise des champs personnalisés pour catégoriser les incidents (p. ex. violation de la politique, phishing, malware). Les tags, quant à eux, les aident à faire la différence entre les cas et les incidents, ce qu’ils trouvaient difficile auparavant.
Les analystes utilisent Slack pour créer des incidents, clôturer des alertes et déclencher des investigations. Slack offre un moyen alternatif d’interagir avec TheHive, même depuis un téléphone.
Cette intégration permet des temps de réponse rapides sans avoir besoin d’un accès direct à l’interface utilisateur de TheHive.
Workflow pour le traitement des alertes
Le SOAR reçoit des alertes de plusieurs sources. L’une de ces sources est Wazuh, qui génère des alertes sur la base de règles définies. Le SOAR filtre ensuite ces alertes avant de les transmettre à TheHive.
Une fois qu’une alerte entre dans TheHive, elle déclenche des notifications Slack pour l’équipe et, pour les alertes de haute gravité, un appel téléphonique automatisé à la personne de garde.
Cela garantit que seules les alertes exploitables parviennent à TheHive, réduisant ainsi le bruit inutile et améliorant l’efficacité de la réponse. Généralement, l’équipe reçoit entre 80 et 100 alertes par semaine.
TheHive dans le workflow de réponse en temps réel de Pipedrive
L’équipe a développé un workflow très réactif et optimisé en temps, en intégrant TheHive, Slack et leur plateforme SOAR personnalisée. Les analystes peuvent agir directement depuis Slack en utilisant des boutons pratiques qui déclenchent l’API de TheHive, ce qui leur permet de créer des incidents, de clôturer des alertes ou d’exécuter des responders sans changer d’outil.
Ces responders personnalisés exécutent des actions prédéfinies selon les playbooks de l’équipe, parfaitement adaptés au contexte de Pipedrive. Les analystes peuvent lancer des actions telles que l’ouverture d’un nouvel incident lors de la réception d’une alerte, la clôture d’un faux positif ou la journalisation des actions de l’incident dans la chronologie de l’incident.
Cette configuration polyvalente permet un traitement rapide des incidents, même à partir d’un smartphone.
Pour différencier les cas et les incidents, l’équipe s’appuie sur les tags et les champs personnalisés de TheHive pour catégoriser les événements en conséquence.
Pourquoi TheHive reste essentiel aux opérations de sécurité de Pipedrive
TheHive est devenu un outil essentiel dans les opérations de sécurité chez Pipedrive.
Sa flexibilité fonctionnelle, combinée à de solides capacités d’API, nous a permis d’améliorer nos workflows de sécurité et notre efficacité globale.
Hendrik Heinsoo,
Responsable de l’équipe cybersécurité
Alors que l’équipe de cybersécurité continue d’évoluer, TheHive restera un élément clé de son infrastructure en tant que système de gestion des tickets et des incidents. L’équipe continuera d’utiliser et d’affiner ses workflows existants à l’aide de la plateforme, et il est prévu d’automatiser davantage de processus pour permettre aux analystes de se concentrer sur des tâches à plus forte valeur ajoutée.
Demander une démo gratuite de TheHive
Laissez-nous vous montrer comment notre plateforme peut renforcer vos opérations de sécurité !
Partager l’histoire à succès
