Au vu de la recrudescence et de la complexification croissante de cyber-menaces et de risques en tous genres pour le (bon) fonctionnement des entreprises et des organisations (para-)publiques – un phénomène qui n’épargne pas les petites et moyennes structures -, WIN a décidé de lancer son propre CyberSOC ou centre opérationnel de sécurité.

De quoi procurer aux PME (ou plus grandes structures), aux acteurs du secteur public ou encore aux hôpitaux (belges et luxembourgeois) une plate-forme externalisée spécialisée dans la surveillance, la protection et la remédiation de cyber-menaces et cyber-incidents.

Le service sera délivré au départ du centre de données de WIN à Namur, où seront déployées et gérées les solutions de cyber-sécurité sélectionnées (voir ci-dessous) et sera opérationnel d’ici la fin de l’année. Pour l’heure, la plate-forme est en cours de test “grandeur nature” puisque WIN en vérifie les rouages et prestations en la testant sur lui-même. 

Trois personnes ont d’ores et déjà été engagées pour assurer la gestion et la prestation de services de ce CyberSOC – une service delivery manager, responsable des contacts et du suivi direct des clients, et deux responsables support N2 et N3 (ingénieur sécurité, analyste sécurité). L’intention est de renforcer progressivement cette équipe pour monter à 20 personnes. Une équipe qui vient par ailleurs s’ajouter et interagir avec la dizaine de collaborateurs orientés sécurité que WIN emploie déjà dans le cadre de ses autres activités (réseau, cloud…).

Une offre “sur mesure”

Avec son nouveau service CyberSOC, WIN s’adressera donc essentiellement à une clientèle de (petites à grosses) PME, aux administrations publiques (tous niveaux de pouvoirs confondus), ou encore – une clientèle très demandeuse, selon les responsables WIN – aux hôpitaux.

Si WIN se lance sur ce marché, c’est en raison de la prise de conscience que les offres similaires existant sur le marché proviennent encore majoritairement de grands acteurs dont les solutions, certes performantes, sont surdimensionnées en termes de coût et manquent, pour certaines (c’est en tout cas un argument qu’utilise WIN), de la flexibilité et personnalisation qu’attendent les petites et moyennes structures de notre territoire.

“Nos clients nous ont clairement signalé que face aux cyber-menaces, à des assaillants de plus en plus virulents et à l’impact, financier ou autre, de ces attaques, ils ont besoin de renforcer leur protection mais ne peuvent investir en solo dans une plate-forme de cyber-sécurité”, indique Dimitri Verscoore, directeur marketing chez WIN. “Il s’agit dès lors de mutualiser. D’où notre décision d’investir dans ce domaine.”

Avec une offre et une tarification “abordables” et modulables en fonction du besoin ou du type de client concerné…  “La tarification des services CyberSOC se fera en fonction du nombre de dispositifs, équipements et éléments d’infrastructure à surveiller et du nombre d’événements. Mais le client pourra par exemple choisir de ne protéger que ses équipements les plus critiques, ne serait-ce que dans un premier temps pour tester la solution… Nous avons voulu notre offre évolutive.”

Dimitri Verscoore (WIN): “Nous avons voulu notre modèle modulable afin d’être accessible à tous les clients. Pas question d’une usine à gaz impayable.”

L’offre et son modèle tarifaire seront également pensés, promet WIN, en fonction du métier du client. Il est clair, en effet, que les besoins d’une PME ne sauraient être comparés à ceux d’un établissement hospitalier… “Notre décision de proposer un CyberSOC a été en grande partie motivée par notre souhait de nous adresser au monde des hôpitaux. Environ 90% des hôpitaux wallons utilisent d’ailleurs déjà le réseau WIN. Nous connaissons donc bien leurs besoins et l’offre que nous leur ferons sera adaptée à leurs capacités budgétaires”. De quoi aussi positionner WIN par rapport à de grands acteurs des services de cybersécurité, d’une envergure plus grande, tels qu’Orange Cyberdefense (pour ne citer que lui…).

“Proximité client”

Autre argument sur lequel table WIN: la “proximité”. Proximité géographique (équipe et solutions hébergées sur le sol wallon). Proximité linguistique. Proximité sous l’angle du “dimensionnement” de l’offre. Et proximité concrète avec service de reporting périodique en présentiel chez le client.

Outre le suivi quotidien, en 24×7, auquel le client a accès via une interface pré-paramétrée, une présence sur site, d’au moins une demi-journée par mois, sera prévue. Une présence à périodicité modulable en fonction du client (mensuelle, trimestrielle…), impliquant une visite sur le site du client d’un(e) service delivery manager “qui viendra faire rapport, expliquer, analyser en profondeur la situation vécue par le client.” Avec, bien entendu, des passages chez le client indépendants de ce calendrier pré-établi si un incident survient.

Une équipe en voie de constitution

Le montage et la gestion de ce CyberSOC se font en collaboration étroite avec IMS Networks, opérateur français qui s’est spécifiquement spécialisé en cybersécurité informatique. Partenaire que WIN a sélectionné pour diverses raisons.

Il y a – et c’est évidement l’un des tout premiers paramètres -, l’expertise de la société en cybersécurité, les solutions qu’elle met en oeuvre (en intégrant notamment des solutions de cybersécurité tierces ayant fait leurs preuves) et la démarche de services qu’elle a élaborée (les clients d’IMS sont essentiellement de moyennes entreprises). 

A son catalogue figurent notamment une solution SIEM (Security Information and Event Management), un gestionnaire de logs, un scanner de vulnérabilités…

Dimitri Verscoore (WIN): “Le CyberSOC est déployé dans notre datacenter, sur notre réseau. Nous pouvons donc analyser concrètement les événements, réagir rapidement, proposer une gestion de bout-en-bout à nos clients: connectivité, téléphonie, SIEM, CyberSOC…”

“En taille, IMS est une entreprise assez semblable à la nôtre. Le partenariat que nous avons signé est donc important pour eux et nous ne sommes pas perdus dans la masse comme nous l’aurions été avec un major”, raisonne Dimitri Verscoore. “Nous sommes dans une relation de pair-à-pair et nous voulons grandir ensemble.” L’unicité de langue, facteur non négligeable en cas d’intervention sur menaces, a également pesé dans la balance.

Dans une première phase, IMS est intervenu et continuera d’intervenir pour former les collaborateurs de WIN à ses solutions et à sa méthodologie. Par ailleurs, le support de premier niveau (récolte de données, analyse des logs…) sera assuré par la société française, WIN assurant pour sa part les niveaux de support 2 et 3 (analyse, assistance, notification, recommandations…). “A terme, l’intention est de disposer de toutes les compétences en interne”, tient par contre à signaler Dimitri Verscoore.