Pour respecter les délais de mise en conformité imposés par la nouvelle réglementation de sécurité de l’État de New York et parvenir rapidement à la sophistication opérationnelle, cette compagnie d’assurance dommages a engagé Sirius, un partenaire commercial d’IBM pour concevoir, installer et gérer à distance une solution SIEM d’IBM QRadar déployée sur l’ensemble de l’entreprise.
Avec l’introduction d’une nouvelle réglementation complète de sécurité, l’assureur avait besoin d’un moyen rapide de mettre en œuvre la gestion des informations et des événements de sécurité (SIEM) dans l’ensemble de l’entreprise.
Avec l’aide de Sirius, l’assureur a pu répondre à un élément essentiel des exigences globales de la réglementation de sécurité, ceci sans recruter de personnel de sécurité supplémentaire.
Lorsque le New York State Department of Financial Services (NYDFS) a annoncé la « 23 New York Code Rules and Regulations 500 » (23 NYCRR 500), une réglementation de cybersécurité pour toutes les institutions financières qui exercent leurs activités à New York, les organisations concernées se sont rapidement mises au travail, car la réglementation impliquait de nombreuses échéances à respecter.
Répondre aux exigences du règlement s’inscrit dans les plans de cette compagnie d’assurance dommages, qui exerce ses activités à New York et dans plusieurs autres États. Elle savait que la gestion de la sécurité était une fonction stratégique pour l’entreprise, mais elle avait désormais une date limite non négociable et une marge de manœuvre réduite pour la mise en conformité.
Un élément essentiel de l’effort de mise en conformité était de créer un système de gestion des informations et des événements de sécurité (SIEM) à l’échelle de l’organisation et de le rendre pleinement opérationnel avant l’échéance de mise en œuvre de la 23 NYCRR 500, fixée à septembre 2018. L’entreprise disposait d’outils SIEM déployés dans différentes parties de son infrastructure, mais certains des appareils et des entités restaient à découvert. De plus, même avec cette couverture partielle, le volume d’événements généré par les outils dépassait les capacités du personnel actuel. La direction de l’entreprise ne parvenait pas à obtenir la vue détaillée de l’ensemble des activités dont elle avait besoin.
Plutôt que de s’attaquer seule au choix et à la mise en œuvre d’une solution SIEM à l’échelle de l’entreprise, la compagnie d’assurance s’est tournée vers Sirius (lien externe à ibm.com), un partenaire commercial d’IBM de niveau Platine, pour obtenir de l’aide. L’entreprise avait déjà une relation de partenariat avec Sirius, lequel était déjà autorisé à travailler au sein de son environnement informatique, deux facteurs grâce auxquels le fournisseur de solutions informatiques a pu aller vite, exactement ce dont l’entreprise avait besoin.
« La première étape a consisté à sélectionner l’outil SIEM capable de répondre aux besoins actuels de ce client et à fournir une plateforme stratégique parée pour l’avenir », explique Brian Reichart, spécialiste des ventes pour les solutions de services gérés chez Sirius, qui a dirigé les opérations. Sirius a recommandé IBM QRadar SIEM, qui était l’un des outils déjà utilisés dans l’entreprise.
« Le RSSI fraîchement nommé nous a longuement interrogés sur les raisons pour lesquelles nous pensions que QRadar était le produit dont nous avions besoin. Nous avons également eu une discussion détaillée sur la valeur d’un déploiement sur site par rapport au cloud. Après avoir passé en revue les impératifs stratégiques de l’entreprise en matière de sécurité, et tenant compte du fait que la croissance attendue était de 10 à 15 % d’une année sur l’autre, nous sommes parvenus à la certitude qu’une solution QRadar dédiée sur site était la bonne solution pour ce client. »
Parmi les fonctionnalités qui faisaient toute la différence et qui ont contribué à la sélection de QRadar plutôt que d’autres plateformes SIEM, il faut mentionner l’ensemble complet de rapports standardisés inclus ainsi que la flexibilité du reporting. Cela signifie que peu de personnalisation a été nécessaire pour configurer le logiciel de sécurité. La plateforme de gestion des logs offre un accès rapide aux données pour la révision opérationnelle et permet d’analyser les activités dans les sous-ensembles de l’environnement.
Le RSSI de la compagnie d’assurance a également apprécié la possibilité d’ajouter des fonctionnalités par l’intermédiaire d’IBM Security App Exchange, un écosystème de développeurs qui propose des applications et des modules complémentaires pour QRadar et d’autres solutions de sécurité.
L’entreprise ayant un peu plus de six mois avant la date cible de lancement, Sirius a travaillé à l’architecture de la solution QRadar et à l’installation de collecteurs et de consoles dans les trois principaux centres de données de l’entreprise, ainsi que dans plusieurs sites distants. La solution fournie par Sirius comprend des règles de corrélation qui filtrent les faux positifs. Elles sont essentielles à l’efficacité de toute solution SIEM, selon M. Reichart : « En plus des règles de corrélation recommandées par IBM, Sirius a développé et ajoute son propre ensemble de corrélations. Ce réglage permet de réduire considérablement le nombre d’alertes générées par le système. »
Aujourd’hui, l’installation du SIEM QRadar dans la compagnie d’assurance couvre plus de 5 100 appareils, de nouvelles sources de logs étant ajoutées en permanence à mesure que l’entreprise se développe. La solution prend en charge la workload actuelle de l’entreprise à 24 000 événements par seconde (EPS), avec la capacité de monter en charge jusqu’à 40 000 EPS.
La surveillance et la gestion continue sont assurées par Sirius par l’intermédiaire du SOC du partenaire commercial, ce qui a permis à l’assureur de respecter le délai imposé pour parvenir à la sophistication opérationnelle, ceci sans avoir à construire son propre centre d’opérations et sans avoir à le doter en personnel. Cela a permis à l’entreprise d’éviter les amendes et les pénalités potentielles prévues par le règlement 23 NYCRR 500 tout en donnant à l’assureur le temps nécessaire pour équiper son propre SOC et le doter en personnel à l’avenir.
« À l’heure actuelle, nous avons les yeux rivés sur nos écrans et les mains sur nos claviers 24 h sur 24, 7 j sur 7 et 365 jours par an pour assurer une prise en charge optimale de QRadar », explique M. Reichart. La prise en charge continue comprend l’ajout de nouvelles règles de corrélation pour affiner le système, une réunion hebdomadaire avec le client et la mise en place de nouvelles sources de logs au fur et à mesure que l’entreprise ajoute de nouvelles ressources à son environnement informatique.
« Cette entreprise n’a pas ralenti sa croissance », explique M. Reichart. « Elle continue de déployer de nouveaux outils, de nouveaux appareils et de nouveaux serveurs dans l’environnement. Et cela représente autant de nouvelles sources de logs, que nous récupérons au fur et à mesure. »
Cette compagnie d’assurance dommages est agréée dans plusieurs États du pays, et son siège social est situé dans le sud-est des États-Unis
Sirius (lien externe à ibm.com), un partenaire commercial d’IBM niveau Platine, est un intégrateur national de solutions technologiques métier conçues pour être déployées sur l’ensemble de l’entreprise, y compris le centre de données et les unités d’exploitation. Depuis sa fondation en 1980, Sirius est devenu l’un des plus importants intégrateurs de solutions informatiques en Amérique du Nord. Aujourd’hui, Sirius offre des solutions technologiques intégrées et multi-fournisseurs qui répondent aux exigences de l’ensemble des organisations, des petites entreprises de moins de 500 employés aux grandes entreprises qui comptent plusieurs milliers d’employés et des centaines de sites. Pour en savoir plus sur Sirius, accédez à l’adresse : https://www.cdw.com/content/cdw/en/solutions.html (lien externe à ibm.com).
Mentions légales
Copyright IBM Corporation 2018, IBM Corporation, IBM Security, 75 Binney Street, Cambridge, MA 02142.
Produit aux États-Unis d'Amérique, décembre 2018.
IBM, le logo IBM, ibm.com et QRadar sont des marques commerciales d’International Business Machines Corp., déposées dans de nombreuses juridictions dans le monde entier. Les autres noms de produits et de services peuvent être des marques d’IBM ou d’autres sociétés. La liste actualisée de toutes les marques d’IBM est disponible sur la page web « Copyright and trademark information » à l’adresse ibm.com/trademark.
Les informations contenues dans le présent document étaient à jour à la date de sa publication initiale. Elles peuvent être modifiées sans préavis par IBM. Les offres mentionnées dans le présent document ne sont pas toutes disponibles dans tous les pays où la société IBM est présente.
Les données de performance et les exemples de clients cités sont présentés à titre informatif uniquement. Les résultats des performances peuvent varier en fonction des configurations et des conditions de fonctionnement. LES INFORMATIONS CONTENUES DANS LE PRÉSENT DOCUMENT SONT FOURNIES « EN L’ÉTAT », SANS AUCUNE GARANTIE EXPLICITE OU IMPLICITE, NOTAMMENT SANS AUCUNE GARANTIE DE QUALITÉ MARCHANDE, D’ADÉQUATION À UN USAGE PARTICULIER ET AUCUNE GARANTIE OU CONDITION D’ABSENCE DE CONTREFAÇON. Les produits IBM sont garantis conformément aux dispositions des contrats qui régissent leur utilisation.
Il incombe au client de respecter les lois et réglementations qui lui sont applicables. IBM ne fournit pas de conseils juridiques et ne déclare ni ne garantit que ses services ou produits garantiront que le client est en conformité avec la législation ou la réglementation en vigueur.
Déclaration de bonnes pratiques de sécurité : la sécurité des systèmes informatiques consiste à protéger les systèmes et les informations par la prévention, la détection et la réponse aux accès inappropriés depuis et en dehors de votre entreprise. Tout accès non autorisé peut conduire à la modification, à la destruction, au détournement ou à l'utilisation abusive d'informations, ainsi qu'à l'endommagement ou à l'utilisation abusive de vos systèmes, notamment pour les utiliser dans des attaques contre d'autres personnes. Aucun système ou produit informatique ne devrait être considéré comme entièrement sécurisé et aucun produit, service ou mesure de sécurité ne peut être totalement efficace pour empêcher l'utilisation ou l'accès abusif. Les systèmes, produits et services d'IBM sont conçus pour fonctionner dans le cadre d'une stratégie de sécurité globale et conforme à la loi qui implique nécessairement des procédures opérationnelles supplémentaires, et peuvent nécessiter des performances maximales des autres systèmes, produits et services. IBM NE GARANTIT PAS QUE LES SYSTÈMES, PRODUITS OU SERVICES SONT PROTÉGÉS CONTRE LES AGISSEMENTS MALVEILLANTS OU ILLÉGAUX D'UN TIERS OU QU'ILS PROTÉGERONT VOTRE ENTREPRISE CONTRE DE TELS AGISSEMENTS.