Les cybercriminels usent de tactiques de plus en plus sophistiquées pour contourner les mesures de sécurité traditionnelles et infiltrer les réseaux des entreprises. Pour aider ses clients à y faire face, Excellium Services met à leur disposition un Security Operations Center (SOC) reposant sur la plateforme QRadar d'IBM. Sébastien Lacombe, Cyber Security Operations Center Manager, et Sébastien Kaiser, SOC Engineer Supervisor témoignent de la relation de confiance que leur entreprise entretient de longue date avec le géant de la tech.

Une offre pertinente

« Ce qui nous préoccupe en premier chef en tant que professionnels du SOC, ce sont les actions non autorisées, les attaquants et la mise en place de règles de détection de comportements anormaux. Et pour détecter au plus tôt ces comportements anormaux, nous avons recours à des indicateurs », explique Sébastien Kaiser. 

« QRadar SIEM – Security Incident and Event Management – est un outil qui permet aux entreprises d'être informées de ce qui se passe sur leurs systèmes d’informations », intervient Sébastien Lacombe. « Depuis maintenant 10 ans, cette solution d’IBM nous permet de réaliser de la détection au cœur des réseaux informatiques. Cette solution ayant été pensée dès le départ comme un outil de sécurité, elle est beaucoup plus pertinente que ses homologues du marché. Chez Excellium, nous sommes technologiquement agnostiques », poursuit-il. « Nous avons de l’expertise sur toutes les solutions similaires à QRadar SIEM, ce qui nous permet d’affirmer que son orientation sécurité est la plus pertinente du marché. QRadar SIEM est d’une grande simplicité d’utilisation et offre un gain opérationnel non négligeable. En plus d’être souvent plus rapide et efficace que ses concurrents, il se démarque clairement en matière d’investigation et d’analyse », affirme-t-il.

« IBM fait la démonstration d'une grande stabilité de service au travers de QRadar. Nos analystes qui reçoivent des alertes de sécurité en continu, effectuent des recherches, suivent les vulnérabilités, … ne peuvent pas se permettre d'être continuellement interrompus. Dans notre métier, il est impensable d'être contraint d'appliquer régulièrement de nouvelles mises à jour ou d'être bloqué à cause de bugs fréquents. Ce qu’attendent les professionnels de la sécurité, c’est de la stabilité. Nous voulons être en mesure d’analyser des logs 24h/24 et ne pas subir d’interruption de service. Avec QRadar, on peut ressentir l’expertise, le produit est stable et peu de bugs surviennent » ajoute Sébastien Kaiser.

1er partenaire d’IBM en Europe du Nord

« Le monde de la cybersécurité évolue sans cesse. Depuis 10 ans, de nouveaux produits émergent qui permettent d’augmenter les périmètres de détection, d’être plus pertinent. Ces produits apportent de nouvelles possibilités comme la contre mesure et la réponse automatique à un incident. IBM, au travers de nouveaux outils tels que QRadar SOAR – Security Orchestration, Automation and Response – et Qradar XDR – eXtended Detection & Response - élargit sa gamme QRadar et aide les entreprises comme la nôtre à simplifier et automatiser énormément de tâches répétitives à faible valeur ajoutée tout en étendant le périmètre de détection et d’actions chez nos clients », dit Sébastien Lacombe. « SOAR, par exemple, est un système qui s’implante au-dessus des outils de détection et permet de gérer les flux d’alertes trop important en standardisant les méthodes et le flux de travail pour les analystes, enrichit avec du contexte pertinent ces alertes et nous apporte une meilleure centralisation et visualisation de notre activité.»

« Notre relation avec IBM remonte aux débuts d’Excellium », se remémore-t-il. « Des liens forts se sont tissés avec le temps. Nous valorisons notre savoir-faire aussi bien au Luxembourg qu’en Belgique afin d’y développer le marché mais aussi parce que les deux secteurs sont complémentaires. Aujourd’hui, nous sommes le premier partenaire d’IBM en Europe du Nord pour tous les produits de sécurité », dit-il. « 60% de nos clients utilisent la technologie d’IBM. Dans notre modèle de service classique, les clients conservent leur infrastructure de corrélation de logs dans leurs locaux, que cela soit pour des raisons de conformité, de conservation des données ou encore par crainte de fuites d’informations. Ils ne nous autorisent pas à agglomérer leurs logs sur une plateforme centrale. Pour les clients qui n’ont pas ces exigences régulatoires, nous avons créé une plateforme mutualisée afin de délivrer ce service en mode ‘Platform as a Service’. Pour la réalisation, notre choix s’est naturellement porté sur IBM, pour les raisons techniques déjà évoquées et la qualité de la relation que nous entretenons avec eux. Le support que nous apporte IBM nous permet de gérer toutes ces infrastructures de manière sereine et en toute confiance. »

« La plateforme d’IBM a fait la preuve de sa robustesse et a réussi à évoluer avec le temps en intégrant les nouvelles technologies. IBM est par exemple parvenu à adapter sa plateforme à la montée en puissance du Cloud en permettant de réaliser des intégrations dans des environnement comme AWS, Microsoft 365 ou encore Google Cloud Platform. Ce critère, en plus de ceux que nous venons d'évoquer, contribue à démontrer la pertinence de cette plateforme », conclut Sébastien Kaiser.