LMi-MAG20 Dec - Flipbook - Page 35
Pour automatiser ses processus
de sécurité, la société a misé sur
une start-up offrant un service SaaS
pour développer des work昀氀ows.
SÉCURITÉ RÉSEAU IT : FIREWALL,
FILTRAGE URL, GESTION DE LOGS,
PRÉVENTION D’INTRUSIONS…
Cahier des charges
« Je peux ainsi vérifier que l’équipe
Blue Team (chargée de la défense du
système d’information, ndlr) a bien
traité les alertes qu’elle a reçues et,
au besoin, la renotifier », indique le
responsable de la plateforme de solutions d’e-santé.
écrire des scripts ne suffit pas, il faut
maîtriser les environnements auxquels ils s’appliquent, apprendre le
tinyurl.com/gestion-logs
mode de fonctionnement des API des
Depuis la signature du contrat avec Mindflow il y a
différents outils ciblés, sans oublier de gérer le déploieenviron six mois, l’équipe d’Eric Lexcellent a développé
ment et la maintenance de ces développements », note
12 workflows d’automatisation, assurant l’intégration
Fabrice Delhoste, le fondateur de Mindflow. « Dans les
avec dix outils différents (EDR, IAM, AWS, Jira, SIEM,
entreprises, les idées d’automatisation fourmillent, mais
GitHub...). Une célérité qui s’explique notamment par le
la plupart n’aboutissent pas, car elles requièrent trop de
fait que la plateforme SaaS Mindflow propose un large
temps. »
catalogue d’API prêtes à intégrer dans ses workflows, ainsi
qu’un catalogue de templates facilitant le développement
Les observations de cet ancien de Thales rejoignent les
des playbooks. « Le recours à cet outil est devenu notre
problématiques rencontrées au sein de l’équipe sécurité
premier réflexe, dit le responsable. Dès qu’une nouvelle
de Doctolib, soit une vingtaine de personnes dans une
idée se fait jour, nous pouvons la déployer en quelques
société qui en compte aujourd’hui quelque 3 000. « Dès
minutes et au besoin, effectuer un retour arrière si un
2022, nous avons pris conscience que l’équipe en charge
problème survient lors du déploiement. » Doctolib a, par
de la cyber n’allait pas pouvoir grandir aussi vite que
exemple, développé un workflow permettant de traiter
l’organisation, qui est passée de 1 000 à 3 000 personnes
les alertes du SIEM directement dans Slack et un autre
en deux ans », indique Eric Lexcellent, responsable de
automatisme pour la gestion des droits des utilisateurs
la sécurité de la plateforme et des applications corpochangeant d’équipe en interne. Qui plus est, grâce à la
rate de la société née en 2013. En parallèle, ce dernier
base de données adossée au projet, l’ajustement de ces
cherchait à rendre les interfaces des outils de sécurité
droits et rôles est désormais devenu auditable. « C’est un
plus cohérentes entre elles et à couvrir de nouveaux
état d’esprit à acquérir et développer, dit Eric Lexcellent.
besoins, liés en particulier à la réglementation. « Nous
Il faut que le réflexe d’automatisation prenne, car, avec la
avons testé différentes solutions. Des développements
croissance du nombre d’intégrations, la valeur obtenue
internes d’abord, qui ont montré leurs limites en termes
avec cette démarche explose. »
de maintenabilité. Mais nous avons également bâti des
prototypes sur des solutions SOAR (security orchestration and automation response). Nous y avons vu plutôt
des outils de ticketing améliorés, mais peu faciles à
mettre en œuvre. » Or ces SOAR sont précisément censés standardiser et automatiser la réponse aux attaques
et incidents, et libérer du temps aux analystes.
APPROFONDIR
12 workflows développés en six mois
Ces pistes abandonnées, Doctolib relance le projet après
une rencontre avec Mindflow sur un salon professionnel. « Au début, je n’étais moi-même pas très convaincu.
Jusqu’à un premier test, consistant à migrer un script
Python dédié à un processus de conformité », raconte
Eric Lexcellent. Un galop d’essai qui se révèle concluant.
Pour passer Mindflow en production, Doctolib fait deux
choix d’implémentation qui ont eu leur importance
dans le projet : conserver toutes les interactions utilisateurs dans Slack, l’outil qui est entré dans les habitudes
chez ces derniers, et tracer toutes les interactions dans
une base de données, pour les besoins de conformité.
ÉCOUTER EN LIGNE
Podcast
tinyurl.com/Doctolib-podcast
LIRE EN LIGNE
Article
tinyurl.com/article-Doctolib
35