Étude mondiale : les priorités des leaders de la sécurité concernant l’intégrité du cloud, la pénurie de talents et les vecteurs d’attaque les plus urgents.
Une uniformisation des alertes
Le SLCC reçoit des milliers d’alertes chaque année, l’équipe avait donc besoin d’une solution capable de filtrer, trier et hiérarchiser chaque menace potentielle. La solution d’alertes basées sur les risques (RBA) de Splunk répondait à tous ces besoins et a permis de réduire le nombre de faux-positifs et d'accélérer le traitement. Il faut maintenant seulement 13 minutes au SLCC pour transférer une alerte au service concerné après l’avoir reçue.
Comment La Poste a-t-elle réussi à obtenir de tels résultats ? Le SLCC a exploité et affiné les fonctionnalités de Splunk Enterprise Security en fonction de ses besoins. Tous les tableaux de bord, fonctions, règles et recherches sont désormais personnalisés. Les fonctionnalités de RBA de Splunk ES attribuent également des scores de risque aux événements et aux incidents, puis envoient une alerte si ce score dépasse un certain seuil. Cela signifie que le SLCC peut maintenant détecter de manière efficace les menaces potentielles et les activités suspectes. Le nombre de faux positifs a également été divisé par 10. Les analystes peuvent ainsi se concentrer sur les menaces concrètes et urgentes et travailler plus efficacement.
Une collaboration face aux nouvelles menaces
Dans un paysage des risques en constante évolution, la fonction Threat Intelligence Management de Splunk Enterprise Security est un outil précieux dans l’arsenal de La Poste. Lorsque l’équipe du SLCC détecte une nouvelle menace, la fonction de gestion de la threat intelligence l’analyse et la convertit en indicateur technique. Cette métrique est ensuite utilisée pour enrichir les alertes afin de pouvoir identifier et hiérarchiser la nouvelle menace. Surtout, une détection rétroactive est mise en place et analyse les événements passés pour voir si cette nouvelle menace a déjà été rencontrée auparavant.
Tout le monde doit se mobiliser pour repousser les menaces et assurer la sécurité d’une organisation, et La Poste ne fait pas exception à la règle. Son organisation de cybersécurité de 200 personnes se compose du SLCC et de différents SOC dans ses filiales. L’adoption de Splunk permet à toutes les équipes de regrouper l’ensemble des informations et d’utiliser un outil commun avec des interfaces personnalisées, peu importe le scénario d’utilisation concerné : analyse avancée, supervision des KPI, recherches manuelles, la liste est longue. Splunk a non seulement permis aux équipes de cybersécurité de mener des investigations plus rapides et approfondies, mais aussi de collaborer davantage avec les autres équipes.