Questions-réponses avec le directeur des opérations de Thetabyte

La mission de moderniser un centre d'opérations de sécurité (SOC) est rarement simple, mais lorsque le client est le Société nationale nigériane du pétrole (NNPC), les enjeux sont exponentiels. C'est pourquoi la NNPC a contracté Thétaoctet, un fournisseur de services de cybersécurité spécialisé dans la transformation des SOC d'entreprise à grande échelle, pour diriger ce projet crucial.

La NNPC est la compagnie pétrolière nationale nigériane, propriété de l'État, et l'une des plus importantes entreprises énergétiques d'Afrique. Ses activités sont essentielles et contribuent largement à l'économie, aux recettes publiques et aux réserves de change du Nigeria. Son environnement a présenté des défis considérables en raison de son ampleur, de son importance nationale, des exigences réglementaires strictes et de la nécessité d'intégrer des infrastructures existantes très diverses.

J'ai parlé avec Ron Maman, directeur des opérations chez Thetabyte, qui a dirigé le déploiement de Turbine de couloir de nage IA agentique Plateforme d'automatisation à la NNPC. Ron partage les coulisses de la manière dont cette solution a permis à la NNPC de surmonter la surcharge d'alertes, d'atteindre des objectifs de conformité rigoureux et de réduire considérablement les temps de réponse aux incidents sur l'ensemble de son infrastructure diversifiée.

Poursuivez votre lecture pour découvrir un résumé sous forme de questions-réponses de ma conversation avec Ron, où il détaille l'expérience de Thetabyte avec Swimlane Turbine.

Quels étaient les défis spécifiques auxquels la NNPC était confrontée et qui ont engendré le besoin crucial d'automatisation par l'IA ?

La NNPC était confrontée à trois défis majeurs :

• fatigue d'alerte
• ensembles d'outils fragmentés, 
• manque de visibilité centralisée sur leurs opérations de sécurité. 

Les processus manuels ralentissaient systématiquement la réponse aux incidents, et les analystes étaient submergés par des tâches répétitives et peu prioritaires. De plus, ils n'étaient pas en mesure de corréler de manière fiable les flux de renseignements sur les menaces avec leurs alertes SIEM existantes. Ce manque de connexion engendrait d'importantes lacunes dans la détection des menaces.

Pourquoi avoir choisi Swimlane Turbine plutôt que d'autres solutions concurrentes ?

Nous avons évalué plusieurs plateformes. Les plateformes concurrentes manquaient tout simplement de la flexibilité visuelle et de type glisser-déposer que nous avons trouvée dans Turbine pour la création de scénarios personnalisés complexes. Turbine Canvas L'interface low-code/no-code et la conception modulaire des playbooks offrent la manière la plus simple et la plus efficace de créer et de gérer l'automatisation. 

Le générateur de playbooks low-code, associé à son intégration API fluide avec quasiment tous les outils, en a fait le choix idéal. Il était également essentiel que la plateforme puisse accompagner les analystes de tous niveaux (du niveau 1 au niveau 3) grâce à des playbooks personnalisés, ce que Turbine fait avec brio.

Lire l'étude de cas

Quelles sont les fonctionnalités de Turbine que vous utilisez le plus ?

Nos fonctionnalités préférées dans Turbine sont Toile et tableaux de bord et rapports.

• Canvas permet de prototyper et de déployer rapidement des scénarios complexes sans nécessiter de compétences approfondies en programmation. Il accélère considérablement notre capacité à mettre en œuvre de nouvelles solutions d'automatisation.
• Les tableaux de bord en temps réel et les rapports enrichis par l'IA fournissent des indicateurs et des KPI en temps réel, présentés clairement à nos analystes techniques SOC et aux dirigeants de la NNPC. C'est un outil précieux pour démontrer le retour sur investissement et garantir une visibilité optimale.

Quels outils avez-vous intégrés à Turbine ?

Swimlane nous a permis de connecter facilement tous les outils de la suite de sécurité de NNPC en un seul clic via Marché Swimlane. Les principales sont :

• Jira : Élastique: Ingestion des alertes de données SIEM et triage automatisé
  
• VirusTotalEnrichissement en temps réel des renseignements sur les menaces
  
• JiraFacilite la création et le suivi automatisés des tickets pour des transferts SOC fluides.
  
• Outil propriétaire de renseignement sur les menaces : grâce à son API, nous avons pu l’intégrer à Turbine et obtenir un enrichissement et un contexte complets et en temps réel pour les alertes.

Quels sont vos cas d'utilisation de Turbine ?

Nous nous sommes concentrés sur deux cas d'utilisation clés et à fort impact au sein de l'environnement NNPC.

1. Tri et enrichissement automatisés des incidents
   Dès réception d'une alerte SIEM, Turbine lance immédiatement des scripts d'enrichissement automatisés. Cela implique l'interrogation de bases de données externes. Renseignements sur les menaces Le système utilise des flux d'informations sur les indicateurs de compromission (IOC) malveillants connus et effectue des recherches dans la base de données des actifs internes afin d'identifier le propriétaire concerné, la criticité du système et son emplacement. Les analystes disposent ainsi instantanément d'un ensemble d'alertes complètes et contextualisées.
2. Confinement et remédiation des menaces
   Depuis les tableaux de bord Turbine, les analystes bénéficient d'une visibilité complète sur les fonctions automatisées telles que l'identification des indicateurs de compromission (IOC), la corrélation des données et l'exécution des actions correctives, notamment le blocage du trafic malveillant directement au niveau du pare-feu périmétrique. Ils maîtrisent l'ensemble du processus depuis un écran unique, ce qui leur permet d'exécuter rapidement les mesures de confinement et de défense nécessaires, comme la mise sur liste noire d'adresses IP, sans avoir à jongler entre différents outils de sécurité ni à se connecter manuellement.

Quel est un exemple de problème que Swimlane a permis de résoudre ?

L'un des principaux défis consistait à corréler manuellement les IOC entre différents systèmes. Avant Swimlane, les analystes devaient passer manuellement d'un SIEM à un autre., EDR, et les journaux du pare-feu.

Avec Swimlane, nous avons mis en œuvre une corrélation automatisée des IOC sur l'ensemble des systèmes, réduisant ainsi le temps d'investigation moyen de 45 minutes à moins de 10 minutes par alerte.

Avez-vous déjà rencontré une situation où Turbine a empêché une compromission majeure ?

Nous avons subi une campagne de logiciels malveillants ciblant les employés de la NNPC. Turbine nous a permis de détecter et d'isoler la menace en moins de 5 minutes, empêchant ainsi toute compromission des comptes utilisateurs.

Quels résultats avez-vous obtenus depuis la mise en œuvre de Turbine ?

Au cours des trois premiers mois, nous avons atteint un objectif important : l’automatisation de plus de 601 000 tâches de triage de niveau 1. Cette réussite a immédiatement allégé considérablement la pression qui pesait sur nos analystes généralistes.

Depuis la mise en œuvre de Turbine, nous avons constaté une augmentation considérable de l'efficacité de notre SoC :

• Notre temps de réponse aux incidents a chuté de façon spectaculaire de 70%.
• Notre délai moyen de détection (MTTD) et le délai moyen de réponse (MTTR) a diminué de manière significative.
• La satisfaction des analystes au travail a augmenté immédiatement, directement grâce à la réduction de l'importante charge de travail manuelle.
• Les pistes d'audit et les rapports ont instantanément amélioré notre conformité.
  
  

En définitive, Turbine offre aux équipes de sécurité la ressource la plus précieuse qui soit : la liberté. Comme le conclut Ron Maman :

“ Je recommanderais Swimlane à mes collègues car il permet aux équipes de sécurité d'en faire plus avec moins. Il automatise les tâches fastidieuses, accélère les interventions critiques et donne aux analystes la liberté de se concentrer sur l'essentiel. ”