IDEMIA est une entreprise internationale dont la mission est de rendre le monde plus sûr grâce à la biométrie et la cryptographie. Elle développe des systèmes de vérification d’identité de pointe et de niveau gouvernemental, ainsi que des systèmes de cryptage de nouvelle génération pour une sécurité avancée. L’entreprise bénéficie de la confiance de plus de 600 entités gouvernementales, organisations étatiques et fédérales, ainsi que d’environ 2 500 clients à travers le monde. Elle emploie plus de 15 000 personnes dans plus de 80 pays.
Le SOC d’IDEMIA est réparti dans trois pays différents à travers le monde, selon le principe « Follow-the-Sun ». Une nouvelle entité de l’équipe sera bientôt lancée dans un quatrième pays. Cette approche permet au SOC de travailler 24 heures sur 24, en gardant toujours le contrôle de ce qui se passe dans l’infrastructure.
La taille et le statut de l’entreprise se traduisent par un nombre croissant d’opérations internes et externes susceptibles de devenir la cible de cyberattaques. Pour les gérer et les combattre efficacement, les équipes de cybersécurité distribuées ont besoin d’un moyen pratique de collaborer au niveau international et de fournir une visibilité non seulement pour elles-mêmes, mais aussi pour la direction et les autres parties prenantes.
Des outils disparates au contrôle unifié
En moyenne, les équipes cybersécurité de IDEMIA reçoivent autour de 90 alertes à examiner par mois. Pour garantir les meilleurs résultats, elles ne devraient pas laisser plus de 10 alertes non gérées en même temps, mais parfois, lorsque l’activité des menaces atteint son pic, elles en reçoivent jusqu’à 50.
Nous avons essayé les outils de gestion des tickets SIEM, mais ils étaient trop limités, et les plateformes ITSM classiques n’étaient pas assez agiles.
Jean Mercadier
Responsable du Cyber Defense Center
En 2023, ils ont essayé TheHive comme interface unique et cela a tout changé.
Ils ont commencé à utiliser la plateforme pour toutes leurs cyberactivités, en en faisant la « tour » centrale de contrôle et de communication, comme ils aiment à l’appeler. Les équipes de cybersécurité ont particulièrement apprécié le partage automatique des rapports par e-mail, ce qui a amélioré la visibilité sur les incidents en cours.
TheHive a rendu la gestion des incidents beaucoup plus structurée et transparente. Les analystes ont enfin pu voir chaque étape et suivre chaque action du processus, chaque incident étant désormais attribué à son propre cas. La plateforme ayant optimisé les processus de routine, les analystes ont également pu consacrer plus de temps à leurs tâches : la gestion des événements et des incidents de sécurité.
Les résultats ont été significatifs :
grâce à TheHive, l’entreprise a pu augmenter de 30 % le nombre d’incidents traités. C’est un sérieux coup de pouce pour notre efficacité au travail.
Jean Mercadier
Responsable du Cyber Defense Center
Toutes les données de cybersécurité dans un hub central
TheHive est intégré à plusieurs outils de l’écosystème cybersécurité d’IDEMIA, tels que des solutions EDR et SIEM de dernière génération. Cela permet de centraliser la gestion des incidents et d’obtenir des données d’alerte exploitables.
La plateforme reçoit automatiquement les informations d’alerte des autres outils. Les analystes obtiennent d’emblée des informations enrichies par le contexte, ce qui facilite la gestion des cas et la réponse aux incidents. Le CTI (renseignement sur les menaces cyber), la surveillance du dark web et d’autres informations provenant des plateformes fournies par les MSSP sont également transmis à TheHive.
Les équipes cybersécurité de l’entreprise utilisent également beaucoup de rapports automatisés pour partager rapidement les connaissances post-incident. Les rapports sont envoyés par e-mail via TheHive.
Des alertes aux insights, grâce à la visibilité et à l’automatisation
En tant que console centrale recueillant les données des autres outils de cybersécurité, TheHive a permis aux équipes cybersécurité de IDEMIA d’avoir une visibilité unifiée des alertes à 360°. Associée aux fonctionnalités complètes de case management et aux capacités d’automatisation de la plateforme, cette visibilité permet de ne rien rater lors des phases d’investigation et de réponse, ce qui augmente l’efficacité et accélère considérablement le traitement global de l’incident.
Les rapports personnalisables de TheHive ont permis aux analystes de communiquer et de partager facilement des informations entre eux, avec la direction et avec d’autres parties prenantes.
Par exemple, un analyste basé dans un autre fuseau horaire n’a qu’une heure de chevauchement avec une équipe européenne à la fin de la journée. Le tagging minutieux de cet analyste et la documentation détaillée des investigations dans TheHive permettent à l’équipe européenne de gagner du temps. Lors de l’examen d’un incident traité, il n’y a pas besoin d’explications, le processus écrit fournit toutes les informations nécessaires.
À l’aide d’un playbook N8N, les analystes de IDEMIA ont également développé un processus automatisé utilisant la plateforme. Chaque semaine, un rapport est désormais envoyé par e-mail aux parties prenantes de diverses entités. Il contient des détails sur les incidents ouverts au cours de la semaine, ceux qui sont encore en cours, l’arriéré actuel et les cases clôturés.
Le champ « Résumé » de ces rapports est particulièrement important, car il donne de la visibilité aux parties prenantes. Il peut inclure, par exemple, des statistiques sur les cyberattaques, qui pourraient aider à mettre en place des mesures proactives ciblées pour la protection. L’objectif n’est pas nécessairement d’inciter à une action immédiate, mais de s’assurer que les parties prenantes sont conscientes des activités de leurs organisations et sont en mesure de planifier les étapes suivantes en conséquence.
Auparavant, cette visibilité n’était pas possible. Par exemple, les équipes ne pouvaient pas identifier clairement les cases résolus, tels que ceux impliquant l’ingénierie sociale par e-mail. Désormais, elles peuvent fournir ces informations de manière fiable.
Jean Mercadier
Responsable du Cyber Defense Center
La voie à suivre : les plans de IDEMIA pour étendre les capacités de TheHive
Pour améliorer encore la communication entre les équipes, les analystes de IDEMIA envisagent de synchroniser les tickets entre TheHive et d’autres outils (tels que Jira).
Ils envisagent également d’utiliser la fonctionnalité Email Intake de la plateforme pour lire directement les e-mails et donc agir immédiatement. Cela permettrait de créer automatiquement et directement des tickets et de gagner du temps.
Outre la mise en place de rapports hebdomadaires par e-mail, l’entreprise souhaite mettre en œuvre d’autres processus automatisés avec TheHive.
Les analystes de IDEMIA prévoient également d’ajouter d’autres Analyzers et Responders Cortex à leurs workflows afin d’améliorer encore leurs investigations et leur traitement des incidents.
Cortex est un puissant moteur d’analyse et de réponse qui fonctionne main dans la main avec TheHive. Les deux produits sont développés par StrangeBee.
Pour adapter plus facilement TheHive à d’éventuels changements dans leur infrastructure, les analystes envisagent de passer à la version SaaS de TheHive : TheHive Cloud Platform.
Aujourd’hui, TheHive est le pilier de notre détection et de notre réponse en matière de cybersécurité. C’est là que nous gérons les situations critiques ou les campagnes de phishing. Cela a permis à l’équipe de gagner en maturité et de se mobiliser efficacement en cas de situation exceptionnelle.
Jean Mercadier
Responsable du Cyber Defense Center
Essayer TheHive dès maintenant
Découvrez comment il peut booster les opérations de votre équipe de cybersécurité !
Partager l’histoire à succès
