Client
Le groupe Malakoff Humanis
Issu de la fusion de Malakoff Médéric et d’Humanis en 2019, Malakoff Humanis est un groupe de protection sociale paritaire, mutualiste et à but non lucratif, principal leader du marché dans le monde de la protection sociale. Le Groupe est composé de presque 10 000 personnes, et leur DSI d’environ 700 collaborateurs internes, dont 12 dédiés à la sécurité opérationnelle.
Pour un groupe d’une telle envergure avec des données sensibles, la cybersécurité et la sécurité des systèmes d’information sont primordiales. Un service SOC est la tour de contrôle qui leur permet d’anticiper et d’identifier au plus tôt l’état de la menace ainsi que les risques d’attaques.
La fusion entre Malakoff Médéric et Humanis a été synonyme de transformation de leur SI et du modèle de sécurité à mettre en place.
Advens a récemment mis en place un Security Operations Center (SOC) nouvelle génération chez Malakoff Humanis, spécialiste de la prévention santé. L’enjeu : migrer d’une approche classique de SIEM managé à mySOC, un SOC nouvelle génération enrichi d’intelligence artificielle pour un service de surveillance et de défense qui s’améliore en continu.
Contexte et enjeux
Comment migrer d’un SIEM managé et apportant une visibilité limitée sur la surface d’attaque à un SOC nouvelle génération offrant un très large périmètre de surveillance ?
Après un état des lieux de l’existant issu des deux entités Malakoff Médéric et Humanis (mécanismes de protection en place, processus liés à la SSI…), un nouveau plan stratégique en cybersécurité, avec une revue du modèle existant, a été mis en œuvre. Un SOC (SIEM classique) existait depuis 2017 – peu de sociétés étaient équipées à cette époque. Il fallait donc faire évoluer le dispositif en place et se mettre en conformité avec nos nouveaux objectifs en termes de détection et de réponse à incident de sécurité, pour maintenir le meilleur niveau au sein du dispositif opérationnel :
- flux d’alimentation du SOC,
- règles et cas d’usages,
- modèle d’investigation interne,
- processus de gestion des incidents.
Tout cela sur un délai d’un peu plus de trois mois, équivalant à la durée de réversibilité.
Pourquoi Malakoff Humanis a choisi Advens
Le choix de Malakoff Humanis s’est porté sur le socle technique d’Advens, avec un pari sur ses technologies innovantes. Le SOC nouvelle génération d’Advens combine en effet un modèle classique et de l’intelligence artificielle (IA).
Advens et Malakoff Humanis : des valeurs communes
Advens veut avoir un impact sur la société et le monde souhaités pour demain, afin de sécuriser les métiers comme ceux de Malakoff Humanis.
Le partage de valeurs communes et l’engagement dans le projet sont des critères essentiels pour Malakoff Humanis. Des éléments tels que la réactivité, la confiance et la compatibilité entre les équipes Advens et Malakoff Humanis, une compréhension mutuelle et la qualité des réponses apportées sont nécessaires pour la réussite de la mise en place d’un service comme mySOC.
“Advens peut nous faire bénéficier de nouveaux services en fonction de l’évolution du marché et c’est un atout ainsi qu’un point de réassurance afin d’être à la pointe. »
Eric Doyen • directeur du pôle sécurité opérationnelle pour Malakoff Humanis
Approche et mise en œuvre
Advens devait relever 4 défis :
- reprendre un service SOC existant,
- migrer vers une approche data first avec corrélation de logs et machine learning,
- étendre le périmètre surveillé avec notamment de l’EDR,
- garder les équipes engagées et impliquées dans ce nouveau challenge.
La plateforme open XDR permet aux analystes Advens d’avoir une parfaite connaissance de l’ensemble de l’écosystème du Groupe Malakoff Humanis. Advens a donc accompagné et formé les équipes pour leur transmettre cette connaissance et donner les moyens au SI de prouver la performance et l’intérêt de ses actions, notamment auprès du COMEX et des différentes BU.
De plus, le service SOC s’améliore en continu, à l’aide du machine learning, en intégrant les comportements du SI pour parvenir à non seulement détecter les événements réguliers ou non mais aussi à agir en amont pour anticiper les menaces. Le SI doit donc être formé pour connaître les règles de fonctionnement de mySOC et contribuer à ces améliorations.
Le SOC nouvelle génération mis en place par Advens offre une bien plus grande maîtrise du périmètre sous surveillance et permet aujourd’hui :
- de couvrir une quarantaine de technologies au total, soit l’ensemble des dispositifs assurant la défense périmétrique ;
- d’ajouter des composants pour la défense en profondeur ;
- d’inclure des technologies Cloud.
25 %
Un quart des règles du plan de surveillance est basé sur de l’analyse statistique des comportements du SI du client.
Résultats
Le renouvellement du SOC de Malakoff Humanis, c’est :
- un déploiement avec migration réalisé en 3 mois de set-up et 1 an de run ;
- un vrai succès d’équipe ;
- de l’écoute, pour faire face au doute, et accompagner le client dans ses interrogations et la mise en place du projet.
Se défendre en cas d’attaque, être en capacité de toujours mieux anticiper, maintenir la sécurité des données de l’entreprise et des clients : ce sont des défis essentiels que Malakoff Humanis peut désormais relever avec l’aide de mySOC. Le groupe peut utiliser la performance de son SOC et l’effort fait sur la couverture de la menace cyber en interne comme axe de communication fort et même comme argument marketing.
L’efficacité du service mySOC peut-être facilement démontrée auprès de toutes les équipes, en interne, grâce à un grand nombre d’indicateurs de performance :
- nombre de technologies monitorés au cours du temps ;
- nombre de règles de supervision en place/risque monitorés ;
- nombre d’incidents par type de risque remontés ;
- pertinence des alertes remontées (taux de faux positif faible) ;
- célérité de notification et de traitement des incidents par types d’incidents.
“Un des atouts d’Advens dans le transfert est la capacité d’intégrer l’ensemble des technologies du groupe, qui nous permet aujourd’hui de monitorer plus de 40 sources de logs chez Malakoff Humanis. »
Eric Doyen • directeur du pôle sécurité opérationnelle pour Malakoff Humanis
Les 4 premiers points forts visibles en termes de résultats sont :
- le gain de temps opérationnel et la pertinence des supports des analystes,
- la détection d’événements qui passaient jusqu’alors entre les mailles du filet, à l’aide de l’intelligence artificielle,
- la qualité de réponse qui offre un maintien et un engagement des équipes et se traduit par une baisse du nombre de tickets non pertinents,
- l’amélioration continue permise par le machine learning, par les audits de la Purple Team ainsi que par la gouvernance en place.
Opération Purple Team : le test du SOC en conditions réelles
Après 8 mois de RUN, une opération Purple Team a été lancée : une série d’attaques réalistes menées par la Red Team, avec analyse et blocage par la Blue Team – un dispositif maison de sécurité offensive. Les résultats ont permis d’identifier des axes d’améliorations, à la fois pour la détection du SOC mis en place par Advens, mais également des guidelines d’amélioration de certaines configurations du SI du client.
Conclusion : l’avenir du SOC Malakoff Humanis x Advens
“La confiance de Malakoff Humanis s’illustre par la volonté actuelle d’avancer avec nous sur des extensions de service (notamment MSS de l’EDR d’ici à la fin d’année). Une des clés de la réussite du projet est la proximité que l’on a avec le client.”
Ludovic Fouéré • SOC manager pour Advens
“Ce partenariat a su rapprocher les valeurs de nos sociétés et notre engagement réciproque dans l’engagement social et sociétal vis-à-vis de la protection des données de nos assurés et de nos allocataires en maintenant la sécurité de leurs informations au meilleur niveau dans un contexte cyber complexe et menaçant.”
Eric Doyen • directeur du pôle sécurité opérationnelle pour Malakoff Humanis
