La ex construcción de Alcatel-Lucent, Thales, Deloitte y Bouygues, Jean-Baptiste Auchêne se unió a Systra hace poco más de tres años para convertirse en el jefe del SOC. En ese momento, la compañía especializada en el diseño de líneas metropolitanas, trenes y trabajos asociados (12,000 personas en todo el mundo, incluidos 2,000 en Francia) ya tiene un centro de operaciones de seguridad completamente subcontratado. "Este último funcionó en el modo de caja negra. Sin tener acceso al datake, realizar investigaciones en eventos de seguridad también fue difícil y no tuvimos control de las reglas de correlación", subraya Jean-Baptiste Auchêne. Llegó casi al mismo tiempo que este último dentro del grupo de ingeniería y consultoría especializado en soluciones de transporte público y movilidad, confirma el RSSI Jean-Francois Tesseraud, después de varias auditorías, la necesidad de revisar el proceso de detección de amenazas.

Una nueva llamada para licitaciones lleva a la elección de la tecnología Hybrid SOC del editor francés Sekoia.io, implementado por la compañía de servicios de Montpellier SNS Security. "Tenemos tanto la capacidad de ser administrador de la plataforma, tener acceso al datalake, podemos configurar las reglas de correlación, configurar nuestros propios KPI y definir qué hace la solución", dice Jean-Baptiste Auchêne. En otras palabras, una solución híbrida, donde los equipos de Systra y los de la compañía de servicios se distribuyen los roles.

Incidentes enviados a equipos a través de equipos

Dentro de la solución Sekoia, ciertas reglas de detección se entregan por defecto, un conjunto que SNS Security enriquece. "Y también podemos agregar nuestras propias reglas para acercarnos a las expectativas de la profesión. Y, si es imposible para nosotros eliminar las reglas creadas por el editor o por la compañía de servicios, sin embargo, podemos desactivarlas", dice el SoC de Systra. Gestionado por un empleado y una alterna adición a Jean -Baptiste Auchêne, el Centro Operativo envía incidentes a los equipos operativos, a través de la automatización de la creación de boletos y notificaciones en equipos de Microsoft, gracias a una integración de la Soar (Orquestación de Seguridad, Automatización y respuesta es la orquestación, la automatización y la respuesta a los incidentes de seguridad) el primer lote de la construcción del Soc. "En el tratamiento de incidentes, estimo el ahorro de tiempo en 30 o 40% en comparación con lo que existía antes", dice Jean-Baptiste Auchêne, quien especifica que esta automatización fue implementada en aproximadamente tres meses por la seguridad de SNS.

Inicialmente implementado en un perímetro híbrido de TI (nube y en el premisas, que cubre todas las actividades de todo el mundo en Systra, la solución se basa en agentes desplegados en el parque de computadoras y en una consola, alojada en OVH y decorrelada de Active Directory. "Este esquema permite fortalecer la resiliencia, en particular en caso de infección por ransomware", insiste el jefe del SOC, que ya ha experimentado este tipo de evento durante su carrera. La solución pronto debe extenderse a aplicaciones caseras dedicadas a la ingeniería, uno de los corazones comerciales de Systra. Esto requiere integrar nuevos registros en la plataforma, un trabajo compatible con SNS Security. "Como el contrato se basa en la cantidad de usuarios, podemos consolidar tantos registros como sea necesario sin un costo adicional", dijo Jean-Baptiste Auchêne.

Las promesas del Genai para los equipos de SOC

Según este último, después de la fase de implementación, Systra actualmente está experimentando una disminución en el número de falsos positivos que emanan de la plataforma. "Es típico de la implementación de un SOC", dijo el gerente, para quien la capacidad de asociar los niveles de criticidad con reglas de correlación dentro de Sekoia.io también permite reducir el nivel de ruido que crean los falsos positivos. "Además, gracias al agente Sekoia.io, la plataforma nos permitió subir eventos que no detectamos antes, como viajes laterales."

El equipo de ciberseguridad de Systra ahora está interesado en las últimas herramientas integradas por el editor francés, basado en la IA generativa. "Estos desarrollos, aún en beta hoy, auguren un ahorro significativo en el tiempo, del orden del 50%, en tareas como la investigación o el diseño de reglas. Para los equipos de SOC, es una palanca prometedora que permite el tiempo centrarse en tareas más esenciales para el comercio, como la exfiltración de datos", anticipa Jean-Baptiste Auchêne.