Alain Buu for L'OreÌal

L'Oréal optimise sa gestion des incidents de sécurité

L'équipe de réponse à incident de la multinationale française a saisi l'opportunité du déploiement de ServiceNow à l'échelle du groupe pour améliorer ses interactions avec le reste des équipes IT.

C’est tout le groupe L’Oréal qui a décidé de miser sur la plateforme de ServiceNow pour améliorer la gestion de ses services IT. L’équipe chargée de la gestion des incidents de sécurité a voulu profiter de sa transversalité pour améliorer ses échanges avec les autres équipes IT avec lesquelles elle est amenée à interagir. Accompagnée par Devoteam, l’équipe a donc entrepris le remplacement de sa solution de gestion de tickets existante, OTRS.

Lors d’un entretien téléphonique en marge des Assises de la Sécurité, à l’automne dernier, Damien Pierson analyste sécurité chez L’Oréal, avançait ainsi une volonté de « faciliter les interactions avec les équipes de support », en évitant autant que possible le recours à des canaux dérivés comme l’e-mail.

Et cela tombait plutôt bien : depuis le début 2016, ServiceNow ne cache pas ses ambitions dans le domaine de la gestion des incidents de sécurité et des vulnérabilités. Damien Pierson le souligne d’ailleurs : pour l’essentiel, la gestion de tickets d’incidents de sécurité ressemble à celle de tickets d’incidents de production. S’y ajoutent des attributs spécifiques.

Pour autant, le passage d’OTRS à ServiceNow a nécessité quelques efforts de développement. Fin octobre dernier, ils étaient terminés et la plateforme était en phase de test en pré-production. Le principal effort a porté sur le traitement des e-mails, un canal de communication majoritaire parmi les sources de sollicitation des équipes de réponse à incident de L’Oréal : il fallait par exemple automatiser la récupération du contenu des entêtes « pour faciliter le travail des analystes ». Mais également savoir gérer les fils de discussion, ou entendre supporter les modèles de catégorisation des incidents existant, d’identification des entités concernées, etc. A cela s’est également ajouté un travail de personnalisation du reporting avec des indicateurs propres aux équipes de L’Oréal.

Mais Damien Pierson souligne que tout a été réalisé avec le souci de « rester au plus près de la plateforme telle qu’est nativement, pour éviter que des mises à jour ne fassent régresser des développements spécifiques ».

Il faudra attendre que le déploiement de ServiceNow à l’échelle de tout le groupe soit achevé pour que la plateforme fasse la pleine démonstration de son potentiel. Mais les attentes sont grandes parce que, comme le relève Damien Pierson, les équipes de réponse à incident sont amenées naturellement à échanger avec les équipes d’administration de systèmes, de réseau, voire même les partenaires d’infogérance : « nous avons la volonté de fédérer tout le monde autour de ServiceNow ». Plutôt d’envoyer des e-mails à ces acteurs pour leur demander d’accomplir des actions, des tâches pourront leur être affectées directement dans la plateforme, ce qui améliorera déjà le suivi.

Mais aller plus loin n’est pas exclu, comme par exemple réaliser une intégration avec le système de gestion des informations et des événements de sécurité (SIEM). Mais pour l’heure, L’Oréal est en train d’en changer et il faudra attendre la stabilisation de l’outillage. L’orchestration, côté remédiation, fait également l’objet de réflexions pour la suite.

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)

Close