Accueil
Case Studies
Doosan Digital Innovation
De nouvelles approches pour de nouvelles cybermenaces
Grande nouvelle ! Nous testons un nouvel outil de génération de rapports. Pourriez-vous cliquer sur le lien ci-dessous et exécuter quelques exemples de rapports ? Il est censé fonctionner sur notre SSO ; aussi, si un mot de passe vous est demandé, utilisez simplement celui de votre réseau. Dites-nous ce que vous pensez de cet outil.
E-mail légitime ou tentative de hameçonnage ciblée ? C’est la question à laquelle d’innombrables entreprises et employés sont confrontés chaque jour, et ces attaques se faisant toujours plus précises, il est de plus en plus difficile de faire la différence.
Environ 40 % des cyberattaques commencent par un hameçonnage
IBM a observé en 2021 que les tentatives de hameçonnage étaient devenues le vecteur de menace le plus courant, servant de point de départ pour environ 40 % des attaques. Et lorsque les criminels et les escrocs ajoutent un appel téléphonique correspondant (vishing ou hameçonnage vocal), la tentative a trois fois plus de chances d’aboutir. De même, les attaques par ransomware sont devenues une cyber-menace majeure, qui représente 21 % du total des attaques.
Même les secteurs plus traditionnels connaissent une augmentation des cyber-menaces, en particulier lorsque ces entreprises commencent à explorer la manière dont la transformation numérique peut leur apporter un avantage concurrentiel évident. Selon l’étude d’IBM, en 2021, les services financiers ont été remplacés par le secteur de la fabrication au premier rang des secteurs soumis à des attaques. Ce dernier représente 23,2 % du total des attaques résolues par l’entreprise cette année-là.
Fabrication : le secteur ayant subi le plus d'attaques en 2021
Ainsi, avec l'adoption croissante de l’IA et du cloud hybride dans les ateliers de production et alors que les prises de décision basées sur les analyses dictent des changements en temps réel au niveau des flux de travaux, les pirates informatiques et autres acteurs illicites trouvent de nouveaux environnements riches en cibles.
« Il suffit d’une seule tentative de piratage réussie pour compromettre votre société, souligne Robert Oh, vice-président exécutif et responsable de la stratégie numérique de l’entreprise pour le groupe Doosan et directeur de l’exploitation (COO) au sein de Doosan Digital Innovation (DDI), une entité qui fournit des services informatiques et de technologie de l’information principalement au groupe Doosan. « Il peut même s'agir d'une action isolée non malveillante effectuée par un employé, qui par exemple va cliquer sur un lien qu'il aurait dû ignorer. Et une fois que cette porte dérobée est ouverte et que les pirates ont un accès, la plupart des sociétés ne réalisent pas qu’elles ont été compromises depuis plus d’un mois. Et pendant cette période, ils peuvent faire beaucoup de dégâts. »
Déploiements plus rapides
Conception et déploiement d'une infrastructure de sécurité globale et intégrée en moins d'1 an à compter du lancement du projet
Des réponses plus rapides
Utilisation de SOAR pour accélérer les temps de réaction aux menaces, réduisant d’environ 85 % les temps de réponse
Début 2021, en plus de son rôle de vice-président exécutif et responsable de la stratégie numérique d’entreprise du groupe Doosan, M. Oh a également été nommé directeur de l’exploitation au sein de DDI. A l’occasion de cette nomination, il s’est penché sur l’évolution du contexte de sécurité et la manière d’y faire face, convaincu qu’un programme de cybersécurité efficace et complet devait être le fondement de tout effort de transformation numérique. Et heureusement, dans le cadre de ses nouvelles fonctions, il a pris en charge le pilotage du processus de transformation numérique, non seulement pour DDI, mais aussi pour le groupe mondial Doosan.
« L’une des premières choses que j’ai mentionnées à notre équipe de direction était l’importance de protéger notre investissement dans la transformation numérique, » se souvient M. Oh, « Et comme vous l’imaginez, il a fallu un peu de temps pour la convaincre de renforcer notre position. Souvent, la sécurité est tenue pour acquise : jusqu’ici, tout s’est bien passé, il n’y a pas de raison que cela change. Mais je me suis efforcé de leur démontrer que la sécurité était un élément fondamental de notre réussite future. Que ce n’était pas quelque chose qui existait en parallèle de notre transformation, mais le fondement de celle-ci.
M. Oh souhaitait notamment faire évoluer le groupe Doosan vers une posture de sécurité plus proactive et plus globale. Jusque-là, les efforts de sécurité de l’entreprise étaient gérés par une unité business ou au niveau régional, ce qui pénalisait la collaboration entre les équipes de sécurité.
« Le groupe Doosan est présent dans plus de 40 pays », ajoute M. Oh. « A l’échelle mondiale, il est impossible d’harmoniser les choses pour tous vos employés. Ils doivent déjà en être à ce stade grâce aux politiques, aux processus et à des outils technologiques proactifs.
« Je voulais m’assurer que tous les membres de nos équipes de sécurité internationales bénéficiaient d’une même vue consolidée sur tous les points de terminaison que nous gérons. Cela passait par l’élargissement de notre périmètre et l’intégration d’une visibilité globale, exploitable et en temps réel. »
Penser au niveau mondial, protéger au niveau local
Normaliser et centraliser la politique de sécurité dans 40 pays n’est pas une tâche simple, comme le reconnaît M. Oh. « Au début, j’ai dit à mon équipe qu’elle était sur le point de vivre l’aventure d’une vie », se rappelle-t-il. « Nous avons rarement l’occasion de transformer les méthodes de travail au niveau mondial, mais je savais qu’avec un support cohérent, nous pourrions mieux maîtriser cette aventure. Et c’est IBM qui a nous apporté ce support.
Dans un premier temps, une équipe IBM Security X-Force à distance a évalué et identifié les domaines, où la visibilité pourrait être améliorée au cœur des processus établis de DDI. Ensuite, le personnel de sécurité du client s’est coordonné avec une équipe de consultants IBM Security X-Force présente sur site, chargée d’effectuer une analyse de maturité plus approfondie du réseau mondial du groupe. Armée de ces informations, l’équipe mixte a élaboré des recommandations visant à renforcer les systèmes de sécurité et à promouvoir une gouvernance mondiale conforme aux bonnes pratiques de l’industrie.
Dans le cadre de cet effort, l’équipe DDI et IBM a identifié et défini les rôles et responsabilités appropriés du personnel de Doosan travaillant au sein de l’infrastructure de sécurité. De même, l’équipe commune s’est engagée dans la planification des capacités pour cette nouvelle posture de sécurité tout en identifiant des options supplémentaires de cas d’utilisation et de réponse aux incidents qui aideraient à renforcer les efforts de protection.
L’équipe conjointe DDI et IBM a également déterminé que le groupe Doosan serait mieux desservi en consolidant ses centres d’opérations de sécurité régionaux (SOC) prenant les traits d’un SOC mondial unifié. Avec une stratégie de surveillance plus étroitement intégrée et normalisée, le groupe pourrait établir des mesures de performance communes et coordonner plus facilement les sites et les zones géographiques.
Affichant sa satisfaction vis-à-vis de cette évaluation, DDI a procédé aux améliorations de sécurité recommandées. Le nouveau SOC mondial, supervisé par une équipe IBM Security X-Force, assure une surveillance et une protection 24 heures sur 24 selon le modèle « Follow the sun ». Au cours de chaque cycle de 24 heures, la responsabilité de la sécurité de l’infrastructure mondiale de Doosan est répartie à tour de rôle sur trois sites IBM, ce qui permet d’aligner la détection et la réponse gérées (MDR) dans la région la plus active, à n’importe quel moment de la journée.
En outre, la solution SOC mondiale offre à DDI un accès permanent aux experts industriels d’IBM et au support en matière de conseil en sécurité d’IBM, ainsi qu’aux informations les plus récentes sur les menaces mondiales. En bénéficiant de l’accès à ce pool de connaissances régulièrement mis à jour, DDI et le groupe Doosan peuvent rester mieux protégés contre les vecteurs de menaces les plus récents, y compris ceux spécifiquement ciblés sur le secteur de la fabrication.
Pour contrôler les opérations du SOC mondial, DDI a travaillé avec IBM pour mettre à jour son infrastructure de sécurité principale. L’équipe a renforcé les efforts de gestion proactive des incidents et événements de sécurité (SIEM) de l’entreprise, déployant Cybereason EDR pour superviser la détection et la réponse au point de terminaison (EDR). Le logiciel EDR peut rapidement identifier les menaces potentielles, réagir et y remédier. IBM a également intégré la technologie IBM Security QRadar SOAR, fournie par IBM Cloud Pak for Security, tirant parti de la plateforme ouverte avec la solution Cybereason EDR pour fournir une automatisation basée sur l’IA qui rationalise davantage les réponses aux menaces.
« Nous avons intégré la fonctionnalité SOAR afin de pouvoir résoudre les fausses détections de menaces sans empiéter sur le temps précieux de nos employés, » explique M. Oh. « Elle s’harmonise avec notre SOC mondial, ce qui nous permet de nous concentrer sur ce qui compte vraiment. Et si le système trouve effectivement un problème légitime, nous pouvons agir avec agilité et conviction. »
Pour stimuler une croissance continue, une maturité et un paysage en constante évolution, Doosan s’appuie sur les conseils d’IBM X-Force pour optimiser en permanence sa stratégie de sécurité, sa gouvernance, ses mesures et son modèle d’exploitation. « Notre posture de sécurité a changé », ajoute M. Oh. « Notre capacité à examiner et à réagir à une menace potentielle a évolué. Notre culture a changé. Et notre état de préparation à la transformation numérique a changé grâce à l’équipe mondiale de DDI et d’IBM. »
Voir quelque chose, faire quelque chose
Avec le SOC mondial désormais disponible, M. Oh et Doosan préparent déjà mieux le présent et le futur.
Imaginez, par exemple, que l’un des employés de Doosan dans l’un des 40 pays clique accidentellement sur un lien malveillant. Instantanément, le ransomware commence à chiffrer le disque dur de l’employé. Heureusement, la nouvelle solution EDR de Doosan offre trois couches de détection des incidents, de sorte que la plateforme remarque déjà le chiffrement suspect et agit, mettant instantanément en quarantaine le secteur du disque dur concerné.
Au même moment, les protocoles de sécurité automatisés informent une équipe IBM Security Managed Detection and Response. Après avoir vérifié qu’il s’agit bien d’une attaque, l’équipe IBM se coordonne avec le personnel sur site pour reformater le disque dur concerné et le reconnecter rapidement afin de minimiser les interruptions d’activité.
Une action plus rapide pour moins de complications
La surveillance mondiale et en temps réel assurée par la technologie et l’équipe d’IBM place DDI dans une meilleure position pour gérer les incidents de sécurité potentiels dès qu’ils surviennent. « C’est ce qu’elle est censée faire, » remarque M. Oh. « Avec l’EDR/MDR intégré, nous gérons une grande quantité de menaces potentielles chaque mois. Et nous faisons face à toutes ces attaques potentielles sans interrompre nos activités. »
« Et SOAR a également été critique, poursuit-il. Grâce à la mise en correspondance automatique des modèles basée sur l’IA, nous pouvons détecter, déchiffrer et traiter les incidents beaucoup plus rapidement, ce qui réduit les temps de réponse d’environ 85 %. »
Parallèlement à l’automatisation, le SOC mondial fournit une visibilité centralisée sur l’état et les opérations de sécurité de l’entreprise. « Nous sommes présents dans 40 pays, il est donc impératif d’avoir une vision globale », ajoute M. Oh. « Grâce à IBM, nous disposons désormais d’une vision précise du monde 24 heures sur 24, en temps réel. Nous pouvons voir chaque point de terminaison et chaque système. Et cela a contribué à renforcer l’efficacité de la collaboration entre nos équipes. »
Ces efforts normalisés permettent également de mener des enquêtes cohérentes et concertées à propos des menaces, capables d’assurer une protection et une surveillance accrues, tout en simplifiant les processus de production de rapports, de suivi et d’audit.
Au-delà des améliorations fonctionnelles apportées par l’architecture de sécurité mise à jour et le SOC mondial, DDI a d’autres raisons de travailler avec IBM. « Nous avons mis sur pied l’ensemble de ce projet rapidement », explique M. Oh. « J’ai dit : « Je veux que cela se fasse en moins d’un an ». Et grâce à l’engagement sans faille de mon équipe mondiale et à l’expertise d’IBM, nous y sommes parvenus. »
M. Oh reconnaît également le leadership éclairé fourni par l’équipe IBM : « Notre compétence principale chez Doosan n’est pas la cybersécurité. Il était donc logique de travailler avec des entreprises mondiales pour transformer la culture et la posture de cybersécurité de Doosan. C’est pourquoi nous avons engagé un leader mondial capable de faire le travail de sécurité, et d’afficher l’état d’esprit et les compétences permettant de faire face aux menaces quotidiennes. »
En outre, alors que DDI arrivait au terme de ce projet et préparait ses efforts de transformation numérique, l’entreprise a constaté un impact culturel plus large auprès de ses employés. « Nous accordons beaucoup plus d’attention à la sécurité », remarque M. Oh. « Nous organisons de nombreuses formations internes sur les campagnes d’hameçonnage par e-mail, ce qui signifie que nous envoyons régulièrement des faux e-mails pour tester nos employés, partout le monde entier. Au cours de l’année écoulée, après avoir déployé cette transformation, le taux de clics de ces tests a chuté de manière notable et continue. Et le nombre d’utilisateurs insuffisamment attentifs qui ont compromis leur mot de passe a considérablement diminué. »
« Travailler avec IBM a rendu notre voyage, cette aventure, plus prévisible », ajoute M. Oh. « Ils s’intègrent parfaitement dans notre stratégie 3A visant à réduire l’ambiguïté, à établir des alliances et à adopter la méthodologie Agile. Et je pense qu’ensemble, nous sommes arrivés à un point où nous pouvons réfléchir à la prochaine étape plutôt qu’à ce qu’il faut améliorer. »
Certaines de ces prochaines étapes visent à renforcer davantage la structure de sécurité de DDI. Par exemple, l’entreprise étudie actuellement l’utilisation étendue des principes de sécurité Zero Trust. Et maintenant que DDI a sécurisé le périmètre de son réseau mondial, l’entreprise crée de nouvelles couches d’authentification à mesure que les utilisateurs naviguent au sein de l’architecture.
« Ainsi, lorsque vous accéderez à des infrastructures ou des serveurs plus critiques, vous devrez à nouveau vous authentifier, » explique M. Oh. « Cela créera un environnement Zero Trust beaucoup plus sécurisé et beaucoup mieux contrôlé. »
Au moment où DDI continue de renforcer son architecture de sécurité de base, l’entreprise a pris des mesures suffisantes pour élargir sa volonté de transformation numérique. Comme l’explique M. Oh : « Je ne regarde plus ce que nous devons faire. Désormais, je regarde ce que nous pourrions faire. Comment rendre les choses plus efficaces au niveau de la fabrication grâce à la technologie ? Comment intégrer ces nouvelles fonctionnalités de sécurité aux produits que nous fabriquons ? Comment utiliser cette transformation pour créer de nouvelles activités que nous n’aurions jamais pu imaginer ? »
A propos des composants de la solution Doosan Digital Innovation (DDI)
DDI (lien externe à ibm.com) est responsable de fournir des offres informatiques et de technologies de l’information à l’ensemble du groupe Doosan (lien externe à ibm.com), un conglomérat d’entreprises principalement spécialisées dans la fabrication. Avec une riche histoire remontant à 1896, le groupe Doosan opère dans 40 pays à travers le monde, et son siège social et celui de DDI sont actuellement situés à Séoul, en Corée du Sud.
Mentions légales
© Copyright IBM Corporation 2022. IBM Corporation, IBM Security, New Orchard Road, Armonk, NY 10504
Produit aux États-Unis, octobre 2022.
IBM, le logo IBM, ibm.com, IBM Cloud Pak, IBM Security, QRadar et X-Force sont des marques commerciales d’International Business Machines Corp., déposées dans de nombreux pays. Les autres noms de produits et de services peuvent être des marques d’IBM ou d’autres sociétés. La liste actualisée des marques d’IBM est disponible sur la page Web « Copyright and trademark information » à l’adresse ibm.com/legal/copyright-trademark.
Les informations contenues dans le présent document étaient à jour à la date de sa publication initiale. Elles peuvent être modifiées sans préavis par IBM. Les offres mentionnées dans le présent document ne sont pas toutes disponibles dans tous les pays où la société IBM est présente.
Les données de performance et les exemples de clients cités sont présentés à titre informatif uniquement. Les résultats des performances peuvent varier en fonction des configurations et des conditions de fonctionnement. LES INFORMATIONS CONTENUES DANS LE PRÉSENT DOCUMENT SONT FOURNIES « EN L’ÉTAT », SANS AUCUNE GARANTIE EXPLICITE OU IMPLICITE, NOTAMMENT SANS AUCUNE GARANTIE DE QUALITÉ MARCHANDE, D’ADÉQUATION À UN USAGE PARTICULIER ET AUCUNE GARANTIE OU CONDITION D’ABSENCE DE CONTREFAÇON. Les produits IBM sont garantis conformément aux dispositions des contrats qui régissent leur utilisation.
Déclaration de bonnes pratiques de sécurité : la sécurité des systèmes informatiques consiste à protéger les systèmes et les informations par la prévention, la détection et la réponse aux accès non autorisés depuis l’intérieur et l’extérieur de votre entreprise. Tout accès non autorisé peut conduire à la modification, à la destruction, au détournement ou à l’utilisation abusive d’informations, ainsi qu’à l’endommagement ou à l’utilisation abusive de vos systèmes, y compris pour attaquer d’autres personnes. Aucun système ou produit informatique ne doit être considéré comme entièrement sécurisé, et aucun produit ou mesure de sécurité ne peut être totalement efficace pour empêcher des accès ou utilisations non autorisés. Les systèmes, produits et services d’IBM sont conçus pour fonctionner dans le cadre d’une stratégie de sécurité globale et conforme à la loi qui implique nécessairement des procédures opérationnelles supplémentaires, et peuvent avoir besoin d’autres systèmes, produits ou services pour optimiser leur efficacité. IBM NE GARANTIT PAS QUE LES SYSTÈMES, PRODUITS OU SERVICES SONT PROTÉGÉS CONTRE LES AGISSEMENTS MALVEILLANTS OU ILLÉGAUX D’UN TIERS OU QU’ILS PROTÉGERONT VOTRE ENTREPRISE CONTRE DE TELS AGISSEMENTS.