Boyne Resorts révolutionne son SOC à l’aide de Cortex XSIAM et des services MDR Unit 42

Depuis un emplacement centralisé, l’équipe SecOps de Boyne Resorts veille sur les réseaux distribués et le parc d’équipements de l’entreprise pour repérer et neutraliser les menaces et les expositions potentielles.

L’équipe utilisait jusqu’à présent un système SIEM obsolète qui présentait de nombreuses lacunes. Alors qu’il n’ingérait qu’un petit volume de données, il générait de nombreux faux positifs et les éclairages qu’il produisait manquaient souvent de fiabilité. Par ailleurs, la coût associé à l’intégration de sources de données supplémentaires était tout simplement exorbitant.

Comme l’explique Mike Dembek, architecte réseau chez Boyne Resorts : « La collecte des journaux nous posait vraiment problème. Notre SIEM nous coûtait cher, et l’intégration de différentes sources était compliquée. » Avant d’ajouter : « Nous nous retrouvions souvent à analyser de fausses alertes. Il y en avait de tous les côtés, sans aucune corrélation possible. »

Un fournisseur tiers avait beau assurer la gestion du SIEM, le volume des alertes à traiter était beaucoup trop important. Boyne Resorts avait besoin d’éclairages pertinents issus d’une plus grande quantité de points de données. Or, Mike Dembek savait que l’ajout de sources supplémentaires ferait nécessairement grimper la facture… et le nombre de faux positifs.

Face à la nécessité de renforcer la sécurité de plusieurs milliers d’appareils et d’une myriade de données précieuses, le SIEM de l’entreprise ne faisait simplement plus le poids. Boyne Resorts s’est donc tourné vers Cortex XSIAM de Palo Alto Networks. Par la même occasion, l’exploitant a fait appel à l’équipe Unit 42^® pour bénéficier de services MDR managés et d’un contrat d’astreinte en cas d’incident.

Malgré ses effectifs limités, l’équipe de sécurité de Boyne Resorts était déterminée à transformer son SOC pour répondre aux exigences de qualité et de rigueur de l’entreprise. Elle ne comptait pas se satisfaire de petites améliorations ponctuelles et n’exigeait rien de moins que le meilleur.

Son cahier des charges était donc bien rempli. Les solutions sélectionnées devaient :

• Ingérer un nombre significatif de sources de données supplémentaires, à un coût raisonnable
• Générer un nombre minime de faux positifs pour réduire l’accoutumance aux alertes et les pertes de temps
• Offrir davantage de valeur ajoutée, d’éclairages et de données CTI
• Contrôler efficacement les risques et renforcer la posture de sécurité de l’entreprise
• Fournir une couverture 24 h/7 j en renfort de l’équipe interne

In fine, l’équipe souhaitait gagner en visibilité et renforcer ses capacités analytiques sans augmenter ses effectifs. Un défi de taille ? Absolument. Mais avec Cortex XSIAM et les services MDR Unit 42 dans son camp, l’entreprise avait toutes les cartes en main pour réussir son projet.

En plus de gagner en visibilité, l’entreprise a vu chuter le nombre de faux positifs. Cortex XSIAM intègre un moteur de corrélation qui regroupe automatiquement de multiples alertes en un seul incident, réduisant ainsi les doublons et la répétition des mêmes tâches. Le nombre d’incidents exigeant une investigation est passé de 80-100 à 35 par jour grâce à la réduction du taux de faux positifs et du nombre de doublons identifiés.

Boyne Resorts a par ailleurs franchi un nouveau cap en termes de contrôle et de personnalisation. « Notre ancien SIEM n’offrait pas ces capacités d’optimisation et de personnalisation des alertes », se souvient Kenny Hicks, Ingénieur sécurité en chef. « C’est un gros avantage de pouvoir créer immédiatement nos propres alertes de corrélation dans XSIAM. Et si besoin, nous pouvons également créer des alertes personnalisées. »

Les améliorations apportées par Cortex XSIAM sont multiples :

• Meilleure ingestion de données – De 5 Go par jour avec l’ancien SIEM à 350 Go par jour avec Cortex XSIAM, pour une visibilité et une protection accrues.
• Multiplication des sources de données – Au nombre de 21 actuellement, contre une seule auparavant. L’entreprise peut ainsi corréler les événements à partir de différentes sources de données.
• Diminution de 65 % des incidents en cours– De 80-100 à 35 par jour, grâce à la réduction du taux de faux positifs et des doublons.
• Réduction de 98 % du MTTR– De 2-3 jours à moins de 2 heures.
• Réduction de 95 % du nombre d’outils et de fournisseurs – Plus de 20 outils et tableaux de bord remplacés par une seule solution d’investigation./li>
• Gestion du système SIEM en interne – Plus besoin d’assurer la co-gestion avec l’ancien fournisseur.

La DSI de Boyne Resorts ne souhaitait pas seulement renforcer la posture de sécurité de l’entreprise. Elle voulait également disposer d’un SOC opérationnel 24 h/ 7j, sans augmenter ses effectifs.

Après avoir implémenté Cortex XSIAM, ils se sont donc attaché les services MDR Unit 42 de Palo Alto Networks en renfort de leur équipe pour une couverture ininterrompue. Grâce à ce partenariat, Boyne Resorts bénéficie de la Threat Intelligence de pointe d’Unit 42 mais aussi de sa grande expertise dans la sécurité et la suite Cortex. L’entreprise a ainsi une visibilité complète sur ses réseaux et systèmes distribués, et peut répondre plus rapidement aux incidents.

« L’équipe MDR nous a impressionnés par sa volonté de nous aider », raconte Kenny Hicks. « Notre partenariat s’est révélé fructueux. Nous accédons de manière anticipée aux nouvelles fonctionnalités XSIAM et gagnons en efficacité. »

L’intégration des services MDR Unit 42 à Cortex SIAM permet à l’équipe de passer en revue les investigations et de déterminer les mesures à prendre depuis une seule interface unifiée. Fini le temps perdu à naviguer entre plusieurs outils silotés. Elle peut désormais se recentrer sur les tâches plus stratégiques.

« L’équipe MDR prend en charge les investigations et nous transfère toutes les alertes. Ensuite, elle nous transmet un rapport détaillé qui nous aide à répondre plus rapidement et de façon plus précise à ces incidents », poursuit le Responsable de l’ingénierie sécurité. « Le gain de temps est considérable. »

Grâce à tout l’arsenal des services MDR, de la surveillance continue au threat hunting proactif, les analystes sécurité de Boyne Resorts gagnent en sérénité. Ils savent qu’ils peuvent compter sur un partenaire de confiance pour prendre le relais et veiller sur leur environnement à tout moment.

Cette nouvelle approche offre à Boyne Resorts bien plus de fonctionnalités tout en réduisant la charge de travail de l’équipe sécurité. Grâce aux capacités d’automatisation avancées de Cortex XSIAM, elle peut désormais faire plus avec moins.

« XSIAM nous permet d’unifier la protection de notre réseau et de nos terminaux. Nous pouvons ainsi voir toute la chaîne de causalité », explique Mike Dembek. « XSIAM simplifie l’automatisation », renchérit Kenny Hicks. « Nous pouvons facilement ingérer des données et créer des playbooks low-code, ce qui accélère considérablement le paramétrage des automatisations. »

En transformant son SOC avec Cortex XSIAM et en s’attachant les services MDR Unit 42, Boyne Resorts a pu:

• Gagner en visibilité sur les menaces et problèmes potentiels.Entre la multiplication des sources data et l’augmentation du volume total de données ingérées (via Cortex XSIAM), et le threat hunting proactif (fourni dans le cadre des services MDR Unit 42), l’entreprise bénéficie aujourd’hui d’une visibilité inédite.
• Améliorer la qualité des alertes et de la détection. Grâce à l’optimisation et à la personnalisation des alertes offertes par Cortex XSIAM, l’équipe reçoit des informations de bien meilleure qualité.
• Exploiter des fonctionnalités d’IA et d’analyse nettement plus efficaces. Grâce aux capacités d’analyse clé en main de Cortex XSIAM, l’entreprise parvient à extraire davantage de valeur des données du réseau et des terminaux.
• Renforcer l’efficacité et la productivité de son équipe sécurité. Automatisations avancées, playbooks, éclairages issus des investigations, expertise et surveillance continue d’Unit 42… l’équipe sécurité a toutes les cartes en main pour faire plus, plus vite.
• Accéder à une Threat Intelligence de pointe. Cortex XSIAM intègre plusieurs flux de données, ce qui enrichit les alertes et les analyses. Boyne Resorts bénéficie ainsi d’éclairages détaillés sur les menaces et les risques potentiels.

L’entreprise est également mieux armée pour faire face aux menaces futures. Grâce au contrat d’astreinte Unit 42, Boyne Resorts adopte une démarche proactive de la sécurité. Et en cas d’incident majeur, les experts Unit 42 – qui connaissent parfaitement les spécificités de son environnement – sont prêts à intervenir immédiatement. L’entreprise prévoit également d’utiliser ses crédits d’astreinte pour un exercice de simulation Unit 42. L’objectif : améliorer ses processus de réponse à incident et renforcer son efficacité en situation réelle, face aux menaces les plus récentes.

L’équipe de sécurité apprécie la complémentarité des produits et services Palo Alto Networks implémentés. Cette interopérabilité améliore la posture de sécurité de l’entreprise.

Grâce à ce partenariat, Boyne Resorts est mieux équipé que jamais pour relever les défis de demain. L’entreprise peut poursuivre sa croissance et continuer à innover en toute sécurité.