• ÉTUDE DE CAS

MSSP choisit Swimlane pour sa flexibilité et son évolutivité

Découvrez comment Swimlane aide un important fournisseur de services de sécurité gérés (MSSP).

Demander une démo

Étude de cas

Arrière-plan

Assurer une surveillance et une réponse continues pour des centaines de clients à travers le monde représente un véritable défi. Un important fournisseur de services de sécurité gérés (MSSP), disposant de plusieurs centres d'opérations de sécurité (SOC) opérationnels 24h/24 et 7j/7 en Amérique du Nord, en Europe et en Asie, était confronté au problème courant de la gestion d'un nombre croissant de clients avec des effectifs d'analystes limités. L'augmentation du nombre de clients s'accompagnait d'une multiplication des solutions de sécurité et d'une augmentation constante du nombre d'alertes. L'entreprise souhaitait accroître la productivité de son équipe de sécurité grâce à l'orchestration et à l'automatisation, afin que le personnel puisse gérer efficacement les alertes et garantir la sécurité des clients.

Ceci est devenu réalité grâce à la mise en œuvre de la plateforme Swimlane. La solution SOAR (Security Orchestration, Automation and Response) de pointe de Swimlane aide ce MSSP à développer son activité sans avoir à recruter de personnel supplémentaire à chaque nouveau client.

Critères clés

Besoins

Ce fournisseur de services de sécurité gérés (MSSP) recherchait une plateforme d'orchestration et de réponse autonome et performante. Avant de choisir Swimlane, il utilisait un outil de réponse aux incidents interne, mais celui-ci ne possédait pas les capacités d'automatisation et la flexibilité nécessaires. Ses exigences clés étaient les suivantes : Solution SOAR étaient:

  • Hautement évolutif pour prendre en charge un nombre important et croissant de clients
  • Flexible pour répondre à une multitude de cas d'utilisation actuels et futurs
  • Doit s'intégrer à leurs systèmes existants, notamment à leur moteur d'analyse, via une API

L'objectif de ce fournisseur de services de sécurité gérés (MSSP) était de disposer d'une plateforme d'orchestration unique pour ses centaines de clients, permettant ainsi la centralisation de toutes les alertes entrantes. Ses analystes, travaillant pour différents clients, avaient également besoin de pouvoir attribuer automatiquement les alertes en fonction de leur type ou de leur gravité, plutôt que de les attribuer uniquement en fonction du client. Sans instance unique et globale, un analyste devait se connecter à chaque environnement, ce qui représente un manque de flexibilité. Grâce à Swimlane, ce MSSP peut désormais agréger toutes les alertes, exécuter automatiquement les workflows, puis attribuer et transmettre automatiquement les incidents aux analystes, uniquement si nécessaire.

L'utilisation de Swimlane présente plusieurs avantages :

  • La plupart des alertes ne nécessitent pas d'intervention humaine pour être résolues, ce qui permet de libérer du temps pour le personnel, qui peut ainsi se consacrer à des activités à plus forte valeur ajoutée.
  • Les analystes n'ont pas à se voir attribuer des clients fixes, ce qui permet une meilleure utilisation du personnel.
  • Les analystes peuvent se spécialiser sur des types spécifiques d'alertes ou d'enquêtes, ce qui permet d'accroître l'efficacité et la satisfaction du personnel.

Face à la croissance rapide du MSSP, l'importance de la flexibilité de sa plateforme SOAR était cruciale. La solution SOAR devait intégrer des fonctionnalités qui, bien qu'inutiles actuellement, pourraient s'avérer nécessaires à l'avenir. La capacité de Swimlane à affecter dynamiquement des analystes et des groupes d'analystes simplifie considérablement la gestion des SOC en pleine expansion et facilite grandement la prise en charge des incidents, notamment en cas de panne. À titre d'exemple, l'entreprise a mis en avant la fonctionnalité qui automatise le regroupement des analystes et l'affectation de ces groupes aux clients.

Les cas d'utilisation étaient variés et le MSSP a testé quelques cas clés, principalement autour de la détection et de la réponse aux incidents sur les terminaux (EDR) et de la protection des flux de travail dans le cloud. Mais il s'agissait simplement de démontrer les capacités de la plateforme, car “ l'intérêt principal d'une plateforme d'orchestration réside dans sa flexibilité et sa capacité à gérer n'importe quel cas d'utilisation, idéalement ”, a déclaré le directeur des produits de sécurité du MSSP. Swimlane est reconnu par les MSSP et les grandes entreprises pour sa capacité à aller au-delà des solutions classiques. Cas d'utilisation de SOAR, Swimlane couvre un large éventail de fonctionnalités, allant des tests d'attaque automatisés aux menaces internes, en passant par l'intégration et le départ des analystes. Grâce à ses vastes capacités d'orchestration et d'automatisation, les cas d'utilisation sont quasiment illimités.

De solides capacités d'intégration API constituaient le troisième critère essentiel. “ Avec la plupart des plateformes SOAR, vous pouvez utiliser les API, mais vous devez importer l'alerte directement dans l'outil d'orchestration ”, explique le directeur des produits de sécurité. Grâce à Swimlane, ce fournisseur de services de sécurité gérés (MSSP) bénéficie d'une plus grande flexibilité, car l'API de Swimlane permet au client de répondre aux exigences clés de son flux de travail, notamment l'envoi des alertes de sa solution EDR Carbon Black vers ses outils d'analyse, puis leur transfert vers Swimlane. L'API de Swimlane facilite également “ l'extraction de données de votre plateforme d'orchestration de sécurité vers notre portail client afin de leur présenter un aperçu de la situation ”. Swimlane prend en charge des centaines d'outils tiers et des milliers d'intégrations. Cette capacité est cruciale pour les MSSP, car ils n'ont pas les ressources nécessaires pour créer et maintenir eux-mêmes des intégrations API.

SOLUTION

Et les alternatives ?

Ce fournisseur de services de sécurité gérés (MSSP) a évalué six fournisseurs : la moitié proposait des solutions axées sur la sécurité et l’autre moitié des solutions d’orchestration et d’automatisation informatique. Si les solutions d’orchestration et d’automatisation informatique n’ont que partiellement répondu aux besoins du MSSP, deux fournisseurs SOAR de premier plan, dont Swimlane, ont été retenus pour des tests internes. Swimlane s’est avéré être le meilleur.

Selon le directeur des produits de sécurité, les principales raisons pour lesquelles Swimlane s'est distingué comme le meilleur choix étaient les suivantes :

  • “ Les API étaient omniprésentes. ” La plateforme Swimlane est entièrement compatible avec les API et sa documentation est exhaustive. Ce client avait déjà été déçu par des fournisseurs qui prétendaient proposer des API, mais celles-ci ne fonctionnaient pas comme prévu. Le bon fonctionnement des API de Swimlane a été un critère de décision déterminant et facilite grandement l'importation et l'exportation de données vers et depuis la plateforme.
  • La plateforme Swimlane a démontré l'évolutivité et la flexibilité dont ils avaient besoin. Cela s'explique en grande partie par le fait que le PDG et les autres membres de l'équipe Swimlane travaillaient dans des SOC et connaissaient parfaitement leur fonctionnement. Bien que l'autre fournisseur de SOAR disposât d'une équipe de sécurité, celle-ci n'était pas composée d'experts en opérations de sécurité, et cela s'est fait sentir.“
  • Le contrôle d'accès basé sur les rôles (RBAC) précis de Swimlane était essentiel pour ce client. Un RBAC robuste lui permet d'accorder à son réseau mondial d'analystes l'accès aux seules fonctionnalités ou aux seuls clients nécessaires, réduisant ainsi les risques de sécurité.
  • Des tableaux de bord soignés et flexibles permettent de générer facilement et de comprendre en un coup d'œil des indicateurs et des rapports.
  • L'architecture de haute disponibilité/reprise après sinistre atténue les inquiétudes liées aux interruptions de service.
  • Swimlane est une entreprise indépendante Plateforme SOAR, atténuant ainsi les inquiétudes concernant une focalisation ou un parti pris en faveur de l'écosystème d'un seul fournisseur

Retour sur investissement

Pour un fournisseur de services de sécurité gérés (MSSP), il est essentiel d'obtenir un retour sur investissement positif lors de l'ajout de nouveaux outils. Pour ce client, l'intégration de Swimlane comme solution SOAR a permis d'atteindre le retour sur investissement escompté grâce à une efficacité et une performance accrues. “ Forrester, le cabinet d'analystes, a vu juste ”, a déclaré le directeur des produits de sécurité. “ L'objectif (avec SOAR) n'est pas de prendre plus de mauvaises décisions plus rapidement, mais de prendre de bonnes décisions. On automatise les tâches simples pour que les analystes puissent se concentrer sur les aspects plus complexes. ”

Vidéo

Interview de CyberRisk TV : La valeur de l’IA, de l’automatisation et du low-code pour les MSSP

En savoir plus
Blog

Opérations de sécurité automatisées pour les fournisseurs de services de sécurité gérés (MSSP)

En savoir plus
Blog

Pénurie de personnel en cybersécurité | Optimisez l'efficacité de votre MSSP avec SAO

En savoir plus

Explorez la turbine de couloir de nage

La plateforme d'automatisation de sécurité la plus performante au monde

Explorez Turbine
Fond abstrait à dégradé bleu : imagerie géométrique conceptuelle pour les interfaces SaaS modernes et natives du cloud.