Amenazas que están en constante evolución. Y cada vez más herramientas, con siglas cada vez más esotéricas. Durante la Conferencia de Seguridad, que se celebró en Mónaco del 11 al 13 de octubre, los CISO presentes dieron testimonio de las dificultades que encuentran a la hora de procesar los tickets y las alertas generadas por esta herramienta heterogénea. De ahí el interés en el enfoque de Doctolib, cuyo objetivo es industrializar la automatización de sus procesos de seguridad. Todo basado en la herramienta de una startup nacida en 2021, Mindflow, que ofrece una plataforma de automatización TI basada en un enfoque sin código. “Para aliviar a los analistas de seguridad, las empresas buscan automatizar. Pero escribir scripts no es suficiente, hay que dominar los entornos en los que se aplican, aprender cómo funcionan las API de las diferentes herramientas específicas, sin olvidar gestionar el despliegue y el mantenimiento de estos desarrollos, señala Fabrice Delhoste, fundador de Mindflow. En las empresas abundan las ideas de automatización, pero la mayoría no llegan a concretarse porque requieren demasiado tiempo. »

Las observaciones de este antiguo empleado de Thales son coherentes con los problemas encontrados en el equipo de seguridad de Doctolib, es decir, una veintena de personas en una empresa que hoy cuenta con unas 3.000. “A partir de 2022, nos dimos cuenta de que el equipo encargado de la cibernética no iba a poder crecer tan rápido como la organización, que pasó de 1.000 a 3.000 personas en dos años”, afirma Éric Lexcellent, responsable de seguridad de la plataforma. y aplicaciones corporativas de la empresa nacida en 2013. Al mismo tiempo, estas últimas buscaban hacer más coherentes las interfaces de las herramientas de seguridad entre sí y cubrir nuevas necesidades, relacionadas en particular con la normativa. “Probamos diferentes soluciones. En primer lugar, los desarrollos internos, que han mostrado sus límites en términos de mantenibilidad. Pero también hemos construido prototipos de soluciones SOAR (Orquestación de seguridad y respuesta de automatización). En cambio, vimos herramientas de emisión de tickets mejoradas, pero no fáciles de implementar. » Sin embargo, se supone que estos SOAR precisamente estandarizarán y automatizarán la respuesta a ataques e incidentes, y liberarán tiempo a los analistas.

12 flujos de trabajo desarrollados en 6 meses

Abandonadas estas vías, Doctolib relanzó el proyecto después de una reunión con Mindflow en una feria. “Al principio yo tampoco estaba muy convencido. Hasta una primera prueba, que consiste en migrar un script Python dedicado a un proceso de cumplimiento”, afirma Éric Lexcellent. Una prueba que resulta concluyente. Para poner Mindflow en producción, Doctolib tomó dos decisiones de implementación que fueron importantes en el proyecto: mantener todas las interacciones de los usuarios en Slack, la herramienta que se ha convertido en un hábito entre ellos, y rastrear todas las interacciones en una base de datos, para fines de cumplimiento. “Puedo así verificar que el Equipo Azul (responsable de la defensa del sistema de información) ha procesado correctamente las alertas recibidas y, si es necesario, volver a notificarlo”, indica el responsable de la plataforma. Soluciones de salud electrónica.

Desde la firma del contrato con Mindflow hace aproximadamente 6 meses, el equipo de Éric Lexcellent ha desarrollado 12 flujos de trabajo de automatización, garantizando la integración con 10 herramientas diferentes (EDR, IAM, AWS, Jira, SIEM, GitHub...). Esta velocidad puede explicarse en particular por el hecho de que la plataforma Mindflow SaaS ofrece un gran catálogo de API listas para integrarse en sus flujos de trabajo, así como un catálogo de plantillas que facilitan el desarrollo de playbooks. “Utilizar esta herramienta se ha convertido en nuestro primer reflejo”, afirma el directivo. Tan pronto como surge una nueva idea, podemos implementarla en minutos y, si es necesario, retroceder si surge un problema durante la implementación. » Doctolib ha desarrollado, por ejemplo, un flujo de trabajo que permite procesar las alertas SIEM directamente en Slack y otra automatización para gestionar los derechos de los usuarios que cambian de equipo internamente. Además, gracias a la base de datos respaldada por el proyecto, la adaptación de estos derechos y roles ahora es auditable. “Es un estado de ánimo que hay que adquirir y desarrollar”, afirma Éric Lexcellent. El reflejo de la automatización debe afianzarse, porque, con el crecimiento del número de integraciones, el valor obtenido con este enfoque se dispara. »