Accueil Cybersécurité IBM ouvre un premier SOC en France

IBM ouvre un premier SOC en France

Le secrétaire d’Etat chargé du Numérique Mounir Mahjoubi a pu visiter les installations du SOC IBM avant que les accès ne soient beaucoup plus restreints, lorsque les données de sécurité des clients d’IBM y seront traitées.

 

IBM complète son réseau de SOC mutualisés avec un centre installé sur le campus EuraTechnologies de Lille, à quelques mètres de son centre de services partagés. Ce SOC se destine en priorité aux clients français de Big Blue, avec un premier client de marque : Auchan.

C’est en présence de Nicolas Sekkaki, président d’IBM France, de Guillaume Poupard, directeur général de l’ANSSI, de Mounir Mahjoubi, secrétaire d’Etat chargé du Numérique et des édiles locaux que le premier SOC (Security Operations Center) a officiellement démarré ses activités le 24 janvier 2018. Nicolas Sekkaki a expliqué ce qui a motivé le choix de Lille dans la décision d’IBM d’installer son dixième SOC partagé en France : « Pourquoi installer notre SOC à Lille ? C’est assez simple : nous avons déjà un centre de services à EuraTechnologies et c’était une extension naturelle. Lille est aussi un bassin d’emplois important qui nous apporte les compétences nécessaires. Il y a un mois, avec Pierre de Saintignon et Martine Aubry [NDLR : fondateurs d’EuraTechnologies], nous avions annoncé l’extension de nos bâtiments ici avec 600 créations d’emplois dans la région et que nous passerions à 1 000. » Actuellement, ce SOC emploie une dizaine d’analystes, mais d’ici trois ans l’objectif d’IBM est de créer une centaine d’emplois.

centre de services qu'IBM
Le SOC d’IBM a été construit à proximité immédiate du centre de services qu’IBM exploite déjà sur le campus EuraTechnologies de Lille.

 

 

Les clients français d’IBM ont le choix entre Lille ou Wroclaw

IBM est loin d’être un nouveau venu sur ce marché des SOC, puisque l’américain s’est positionné sur ce marché dès 2006 et son réseau de SOC internationaux compte 4 000 clients dans 133 pays. Néanmoins les clients français d’IBM qui souhaitaient bénéficier de l’assistance des analystes en cybersécurité étaient jusqu’ici traités par le SOC qu’exploite déjà IBM en Pologne, à Wroclaw. Désormais, ceux-ci pourront voir leurs incidents de sécurité traités en France. « Il s’agit d’un SOC qui vient répondre aux exigences de la LPM (loi de programmation militaire) mais notre ambition est bien plus large » a expliqué Agnieszka Bruyère, directrice exécutive de la division sécurité d’IBM France. « Nous avons développé une vraie expertise dans le domaine de la sécurité, avec 60 centres de sécurité opérationnels dans le monde pour nos clients, plus de 400 analystes spécialisés en détection et analyse des événements de sécurité, de même que nous avons un laboratoire de recherche en cybersécurité de bonne réputation, le X-Force Exchange, et nous sommes bien sûr éditeur de solutions de sécurité.» La responsable a ainsi confié que l’ensemble des SOC gérés par IBM traitent un volume de l’ordre de 35 milliards d’événements de sécurité chaque jour.

Ce premier SOC IBM en France commence ses activités en format réduit, avec une dizaine d’analyste de sécurité pour un client prestigieux, Auchan. A peine sortis de terre, les locaux du SOC restent encore largement inoccupés, mais l’objectif avoué d’IBM France est d’atteindre les 100 analystes, essentiellement par l’arrivée de nouveaux clients français, sachant que les incidents de sécurité des clients français d’IBM sont actuellement traités par le SOC IBM de Wroclaw, en Pologne.

Une dizaine d’analystes SOC et une IA

D’un point de vue technique, l’équipe du SOC met en œuvre de multiples solutions IBM. La collecte des événements de sécurité est réalisée via le SIEM QRadar, lequel est intégré à Watson for Cybersecurity, solution d’intelligence augmentée pour les cyberanalystes comme la qualifie Agnieszka Bruyère.

SOC IBM
La salle des analystes, le cœur du SOC IBM.

Les analystes s’appuient aussi sur les travaux de la plateforme de veille de sécurité X-Force Exchange et enfin l’outil de support IBM Resilient. Mickael Le Floch, architecte sécurité chez IBM France détaille le rôle de Watson dans le travail des analystes : « Watson met en œuvre le Deep Learning afin de consulter l’ensemble des acteurs de cybersécurité sur la toile, notamment tous les éditeurs de solutions de sécurité comme Symantec, FireEye, MacAfee, tous les blogs et forums spécialisés, va analyser tous les documents relatifs aux vulnérabilités connues. Le  Deep Learning va permettre à Watson de comprendre la nature des menaces, les catégoriser et les lier entre elles dans une base de données centrale. QRadar envoie les éléments sur l’incident de sécurité avec les adresses IP malveillantes, les caractéristiques du fichier malveillant et Watson va fournir à QRadar l’ensemble des informations qui sont probablement liées à cet incident de sécurité. » Cette intelligence augmentée doit permettre à l’analyste d’aller très vite dans cette phase d’engagement puis d’investigation afin de lancer la réponse à incident le plus rapidement possible avec le client.

 

Agnieszka Bruyère a révélé à l’occasion de cette inauguration officielle que si IBM possède maintenant 10 SOC partagés interconnectés entre eux dans le monde, l’américain gère pour ses clients une soixantaine de SOC dédiés.

 

 

Inauguration SOC IBM à Lille
Agnieszka Bruyère, responsable de la cybersécurité chez IBM France, Guillaume Poupard, directeur général de l’ANSSI, Mounir Mahjoubi, secrétaire d’Etat chargé du Numérique et Nicolas Sekkaki, président d’IBM France ont inauguré le dixième SOC d’IBM.

 

Auteur : Alain Clapaud