Comment Sega Europe a réduit ses délais de réponse aux incidents
Le centre opérationnel de sécurité du spécialiste du jeu vidéo a radicalement amélioré son efficacité en adoptant le système de gestion des informations et des événements de sécurité en mode Cloud de Sumo Logic.
Le spécialiste des jeux vidéo Sega Europe a réduit ses délais de réponse aux incidents de cybersécurité et le temps moyen de traitement des événements de sécurité par son centre opérationnel de sécurité (SOC), après avoir adopté le système de gestion des informations et des événements de sécurité (SIEM) en mode Cloud de Sumo Logic.
Le SOC de Sega Europe a un mandat étendu : il doit assurer la cybersécurité de plusieurs studios de développement avec Relic Studios au Canada, Amplitude Studios en France, et Creative Assembly, Sports Interactive, Two Point Studios et Hardlight au Royaume-Uni. Il supervise également les activités d'édition de Sega, qui sont distribuées dans le monde entier. Ces différents studios utilisent un mélange de ressources informatiques sur site et d'instances de cloud public et privé pour superviser le processus de développement des jeux.
Le SOC de Sega Europe s’attache également à sécuriser la grande quantité de données générées par les clients qui jouent à des jeux en réseau. Et puisqu’un grand nombre de joueurs ont moins de 18 ans, le SOC doit composer avec des règles strictes de protection des données personnelles.
Avec un tel contexte, le SOC est soumis à une pression intense pour soutenir au mieux la posture de sécurité de Sega Europe. Et cela d'autant plus que les entreprises spécialisées dans le jeu vidéo peuvent parfois être exposées à un risque particulièrement élevé de cyberattaque : « nous avons un éventail incroyablement large de clients à supporter. Il est donc essentiel pour nous d'avoir le soutien de la direction et une approche de la sécurité appropriée. Les jeux que nous produisons créent des volumes importants de données, et nos studios utilisent ces données pour influencer en permanence la façon dont ils sont développés », explique Kashif Iqbal, responsable de la technologie et de la cybersécurité de Sega Europe. Et pour lui, « cela signifie que notre approche de la sécurité doit être tout aussi agile, capable de fournir des résultats plus rapidement et de rendre notre équipe plus productive ».
Kashif Iqbal était à la recherche d'un SIEM en mode cloud qui puisse répondre aux besoins des deux facettes de l'activité de Sega, en intégrant sa suite d'applications cloud en pleine expansion et ses jeux de données de manière consolidée.
Après quatre mois de recherche, en intégrant également des produits tels que LogRhythm et Splunk, Kashif Iqbal a estimé que le produit Cloud de Sumo Logic répondait parfaitement à ses critères pour plusieurs raisons, dont une intégration en aisée avec les instances en Cloud public, une meilleure évolutivité et élasticité à tous les niveaux d'agrégation, et enfin des capacités d’utilisation du renseignement sur les menaces supérieures.
Kashif Iqbal estime ainsi que « SIEM Cloud de Sumo Logic nous fournit des renseignements et des informations en continu sur la sécurité. L'approche intégrée du renseignement sur les menaces est également très utile pour nous. Avec Sumo Logic, l'équipe de sécurité peut être un partenaire proactif pour nos studios ».
Dans le cas de Sega Europe, il s'agit notamment de surveiller un framework hybride exploitant à la fois Amazon Web Services (AWS) et Microsoft Azure. Accessoirement, le spécialiste du jeu vidéo avait exploré le marché du SIEM il y a quelques années, lors du déploiement de cette infrastructure. Mais s’était heurté à des questions de coûts et robustesse des outils SIEM qui étaient alors disponibles, sans compter leur utilisabilité directe par les équipes internes.
Déploiement en interne
Et justement, comme Kashif Iqbal considérait qu'il était important de pouvoir embarquer plus rapidement les futures acquisitions de Sega Europe, le déploiement a été exclusivement assuré par le personnel interne. De quoi permettre d’établir une architecture sur-mesure – jusqu’à l'introduction de conventions de nommage spécifiques, la configuration des conteneurs de données pour la croissance future, etc.
Ainsi, Sega est rapidement passé en production, en intégrant dans la nouvelle instance les données de ses diverses sources, dont AWS GuardDuty, Microsoft Advanced Threat Protection, les journaux d'antivirus et certaines applications développées en interne. Au total, le SIEM collectait initialement 30 Go de données chaque jour, qui sont rapidement passés à plus de 50 Go.
Un an plus tard, avec une quinzaine d'utilisateurs dédiés, Sega est en mesure de mettre en œuvre un vaste éventail d'applications et d'alertes Sumo Logic pour fournir des informations et des analyses de sécurité, ainsi que de créer ses propres tableaux de bord personnalisés.
A l'avenir, Kashif Iqbal indique prévoir déjà d'approfondir sa relation avec Sumo Logic, en ajoutant des données provenant de sources telles que AWS Inspector et CrowdStrike, et en construisant son propre tableau de bord sur mesure. Il espère également tirer parti des capacités d'apprentissage automatique du SIEM pour épauler ses capacités d’ingestion du renseignement sur les menaces.