Gestion des incidents : une solution open-source dépassée
Alors que la hausse des ventes et la gestion des 120 000 actifs numériques mettaient les ressources existantes sous tension, la modernisation du SOC s’imposait de toute urgence. Il s’agissait de résoudre trois grands défis :
- Scalabilité : la diversité des systèmes retail (TPV, plateformes de supply chain, applications mobiles…) compliquait la gestion. Résultat, l’équipe SOC croulait sous les problèmes et d’innombrables tâches de sécurité.
- Réduction des interventions manuelles : les analystes SOC passaient leur temps à jongler entre plusieurs consoles pour tenter de collecter des données, identifier les faux positifs et effectuer des opérations manuelles répétitives.
- Optimisation de la gestion des incidents : Carrefour utilisait alors la plateforme open-source TheHive. Malgré les nombreuses personnalisations déjà apportées, cette solution restait difficile à modifier et empêchait le SOC de s’adapter aux menaces émergentes et aux nouveaux standards de cybersécurité.
Les dégâts causés par les cyberattaques dans d’autres enseignes nous rappellent combien il est vital de garder une longueur d’avance sur les acteurs malveillants. Malgré la forte résilience de notre sécurité, notre gestion des incidents n’avait clairement pas suivi le rythme. Il nous fallait une solution connectée, agile, automatisée et prête à neutraliser la moindre menace sur le champ.
– David Charpagne
Responsable du SOC, Carrefour
Objectif : trouver la meilleure plateforme du marché
Carrefour a donc déployé Cortex XSOAR de Palo Alto Networks. Automatisation, collaboration des analystes, gestion des incidents et de la threat intelligence… En unifiant toutes ces activités, l’enseigne a considérablement simplifié ses opérations de sécurité.
« Nous avons étudié plusieurs options, mais seule Cortex XSOAR offrait des capacités avancées de personnalisation et la force d’une base communautaire très étendue. Pour une équipe SOC sous pression, l’excellence de l’expérience utilisateur change vraiment la donne », explique Raphaël Garbarg, Ingénieur SOC chez Carrefour.
-
Rentabilisation rapide
L’implémentation de Cortex XSOAR a pris moins de six mois. Le SOC mondial de Carrefour gère désormais jusqu’à 120 000 actifs numériques en France et dans les six autres pays d’implantation du groupe (Belgique, Pologne, Espagne, Argentine, Roumanie et Brésil).
L’équipe Customer Success de Palo Alto Networks a joué un rôle clé dans cette accélération du time-to-value, en apportant l’expertise et l’accompagnement nécessaires pour réduire les risques et passer rapidement de la signature du contrat à la mise en service. « L’équipe Customer Success a tout de suite saisi les enjeux de la grande distribution et est restée pleinement mobilisée », se rappelle M Garbarg.
-
Investigations accélérées des menaces
Données d’incidents, indicateurs de compromission (IoC), threat intelligence… Tout est réuni dans une seule et même console pour permettre une intervention rapide du SOC. L’équipe peut ainsi collaborer en temps réel, gérer les tickets et effectuer une analyse post-incident dans les plus brefs délais.
« Grâce à XSOAR et à son approche centralisée, nous avons déjà réduit de 30 % le volume de problèmes à gérer. Exemple, nous pouvons agréger et éliminer les doublons contenant les mêmes IoC », se félicite M. Garbarg.
-
Standardisation et automatisation des processus manuels
La plateforme XSOAR a permis d’automatiser les workflows IR et les tâches répétitives, recentrant ainsi les analystes sur les incidents les plus critiques.
« Notre priorité reste les menaces les plus dangereuses. Les playbooks nous aident à automatiser les cas d’usage courants du SOC, tels que la réponse aux attaques de phishing ou le blocage de clés USB. Nos analystes peuvent alors se focaliser sur la threat intelligence et d’autres missions cyber plus stratégiques », souligne l’ingénieur SOC.
Et David Charpagne, Responsable du SOC, d’ajouter : « Grâce à cette collaboration, nos investigations gagnent en qualité. Notre département compte parmi les services les plus audités chez Carrefour, et nous obtenons d’excellents scores sur tous les points de contrôle. »
-
Réponse à incident rapide à grande échelle
Ce savant équilibre entre automatisation de la sécurité et intervention humaine permet au SOC de gagner en efficacité. Auparavant, un analyste devait consacrer plusieurs heures par jour à la gestion manuelle des rapports de phishing ou le tri d’e-mails suspects. Aujourd’hui, ces tâches quotidiennes ne prennent plus que quelques minutes, car tout est automatisé par des playbooks.
« Nos analystes adorent XSOAR. Depuis une interface unique, ils peuvent investiguer rapidement chaque alerte : son origine, la raison du déclenchement et les risques éventuels pour d’autres appareils connectés », constate M°Garbarg.
De toute évidence, l’implémentation de XSOAR chez Carrefour préfigure l’avenir de la gestion des incidents dans les SOC de la grande distribution. Forte de cette stratégie visionnaire, l’enseigne internationale peut gérer les alertes sur plus de 120 000 actifs numériques aux quatre coins du globe, standardiser les processus autour de playbooks et automatiser les réponses pour presque tous les cas d’usage.
share this story
