Nous vous l’avons récemment annoncé, IBM s’est emparé de la société ISS qui commencait tout juste à dévoiler son nouveau positionnement orienté MSS. Peu avant cette acquisition, nous avions voulu en savoir plus sur la nouvelle offre et le nouveau positionnement d’ISS, Thierry Engelen a MSS Business Developement ISS EMEA – a répondu aux questions de Vulnerabilite.com.

Pouvez-vous expliquer à nos lecteurs le nouveau positionnement d’ISS ?

Durant les dernières années, ISS a continuellement étendu ses services d’infogérance de la sécurité avec des offres telles que le  » pare-feu managé  » ou la  » protection garantie par IPS « . Un nombre de composants de ces services ont été élevés à un niveau supérieur créant le Virtual-SOC (V-SOC). Avec le V-SOC, le client final obtient toute la flexibilité de rattacher ses différents équipements au contrôle et monitoring des SOCs (Security Operation Center) et/ou de bénéficier de l’intelligence apportée par la X-Force avec des nouveaux services tels que Security Event Monitoring (SEM) et Log Management System (LMS). La plate-forme V-SOC inclut également le noyau nécessaire permettant des services à la demande.

Pensez-vous que l’ensemble des problématiques de sécurité puisse être externalisé ?

Oui, avec la remarque que le degré du besoin dépend du client final :

– Pour certains clients, qui ne disposent pas d’une équipe de sécurité en interne, ISS prend en charge la totalité de la protection. Pour la plus grande partie, il s’agit ici de petites et moyennes entreprises ou de divisions isolées d’entreprises plus importantes. Ce qui est particulièrement intéressant pour ces clients, c’est que sur ses sondes Proventia G (avec blocage actif des intrusions), ISS propose un service de Protection Garantie ; c’est-à-dire que le service ne sera pas facturé si une intrusion n’est pas arrêtée…

– Les grandes entreprises, ayant leurs propres experts en sécurité, recherchent plutôt une aide externe pour le management des sondes (par exemple la capacité de déployer une nouvelle sonde dans un délai bien précis et à l’autre bout du monde) ainsi que pour le monitoring 24 sur 7. Comme toutes les informations (logs, événements, tickets, …) sont mises à la disposition de l’utilisateur final, le service externalisé devient le tableau de bord permettant au DSI de bien suivre et de diriger leur protection. Le service externalisé permet également d’établir des SLA entre la DSI et les utilisateurs internes.

Comment est bâtie votre infrastructure ?

Les experts en sécurité sont répartis sur 5 SOCs (Atlanta, Detroit, Tokyo, Brisbane et Bruxelles) interconnectés pour des raisons de back-up. Ainsi ces 5 SOCs agissent comme un seul ensemble, couvrant un service 24 sur 7 partout dans le monde. Dépendant du niveau de service (Standard, Select ou Premium), tous les événements émis par une sonde sont inspectés par les ingénieurs et, si nécessaire, transformés en incidents de sécurité de priorité 1, 2 ou 3. Selon la priorité, l’utilisateur final sera contacté dans les plus brefs délais (15 minutes pour un incident de priorité 1). En parallèle du travail d’analyse de ces opérateurs, les événements sont également transmis au XPS (X-Force Protection System), un ensemble d’applications basées sur l’Intelligence Artificielle, aidant les opérateurs à plus facilement reconnaître une activité anormale (par exemple une soudaine forte croissance du nombre d’évènements sur une sonde particulière). L’ensemble de cette activité humaine et automatisée résulte dans un service de la plus haute qualité. Pierre angulaire du service : tous les événements, les incidents et tickets générés par les opérateurs et par l’XPS sont accessibles en ligne et en temps réel pour l’utilisateur à travers le Portail MSS.

Quels sont les équipements de sécurité que vous supportez ?

La stratégie d’ISS est de supporter un maximum de plates-formes soit, par le biais de son service de management et monitoring (ISS, Juniper, Cisco, Check Point, Tipping Point, …) soit avec son service de gestion des événements (toutes plates-formes).

Pour assurer la sécurité de vos propres installations, procédez-vous régulièrement à des audits déroulés par des tiers ?

Oui, chaque année l’ensemble des SOCs (Security Operation Centre) est audité par Ernst & Young afin d’obtenir les certifications SysTrust et SAS70. La certification SysTrust se concentre plutôt sur les procédures internes, le SAS70 se focalise plutôt sur les aspects de sécurité externe.

Peut-on résumer votre nouveau positionnement à de la  » sécurité en mode locatif  » ?

Oui, totalement !

A quels types de clients s’adresse cette nouvelle offre ?

Notre offre s’adresse à tous types de sociétés confondus. Grand comptes, petites et moyennes entreprises, l’offre managée s’adapte à tous les besoins.