Multicloud, réseaux et cybersécurité sont désormais les trois grands axes de développement de BT. L’opérateur historique britannique mise notamment sur un regroupement de ses moyens à Paris La Défense et son SOC pour séduire de nouveaux clients. Solutions Numériques – Cybersécurité Solutions a assisté à l’inauguration des nouveaux locaux.
BT France a décidé de regrouper au nouveau siège français de Paris La Défense toutes ses ressources humaines. Une transformation interne qui se veut un modèle en termes de transformation et de nouvelle organisation pour ses clients.
Nicolas Huguet, directeur général de BT, en charge de BT France depuis juillet 2022, explique ce choix : « Notre vocation est de générer de la croissance en nous appuyant sur nos clients existants, mais aussi en y ajoutant de nouveaux logos. Nous embauchons, tout particulièrement de nouveaux commerciaux dans ce but. »
3 000 personnes dédiées à la sécurité
Parmi les clients français de l’opérateur britannique : Alstom pour la gestion d’un SD-WAN, Michelin pour divers services réseaux managés, dont sa téléphonie IP, un grand distributeur dans le monde du sport ou encore Naval Group. BT est clairement positionné sur le marché des grandes entreprises internationales en phase de migration vers le Cloud et cherche à se positionner entre les fournisseurs Cloud et les grands intégrateurs. « Nous apportons à nos clients un support dans leur migration vers le multicloud. Nous les connectons avec les hyperscalers ainsi que les fournisseurs Cloud autres qu’ils sont amenés à choisir. Le second volet de notre positionnement, c’est la sécurité. BT compte à ce jour 3 000 personnes dédiées à cette activité, des avant-ventes, des commerciaux et bien évidemment les experts qui assurent le fonctionnement des services depuis la détection jusqu’à la remédiation. »
Un réseau mondial de 13 SOC
L’offre cybersécurité s’appuie notamment sur une infrastructure de SOC interconnectés à l’échelle mondiale. BT possède 13 SOC dans le monde, dont 4 en Europe. « Nous sommes présents sur toutes les plaques géographiques : Etats-Unis, Royaume-Uni, en Asie, mais aussi en Europe » explique Abdoulaye Fadiga, General Manager en charge de l’activité Global Cyber Operations chez BT Security. « Le premier est situé en Allemagne, à Frankfort, un deuxième en Espagne, à Madrid qui est l’un des plus gros de notre dispositif, celui que j’ai créé à Paris lorsque j’ai rejoint BT il y a 5 ans. Enfin, nous en avons un dernier en Italie, à Milan, qui vient de rejoindre mon organisation. »
Dans cette organisation, la France aligne plus de 100 experts en cybersécurité, dont 28 sont dédiés à son SOC, que nous n’avons pas eu le droit de photographier pour des raisons de sécurité. « Notre particularité est de faire fonctionner ces structures en communauté et non pas en mode silo comme c’est le cas de certains de nos compétiteurs. Tous nos SOC sont interconnectés. Si nous détectons une menace chez un de nos clients basé à Sydney, les informations sont remontées pour nos clients basés en France. C’est un avantage en termes de détection et cela nous permet de détecter beaucoup plus rapidement les nouvelles menaces. » L’effectif global de ces SOC atteint 450 personnes, dont une trentaine à Paris. L’activité principale des 13 SOC porte sur la détection. La Threat Intelligence est l’un des services mutualisés entre ces SOC, et le britannique peut procéder à des transferts d’activité entre ses SOC. Nicolas Huguet souligne : « Le 24/7 est un besoin de plus en plus avéré chez nos clients et nous savons couvrir l’ensemble de la plage 24/7 pour nos clients avec une collaboration entre Paris et Madrid. Ce sont des procédures à mettre en place, mais cela fonctionne bien. »
“Nous savons couvrir l’ensemble de la plage 24/7
pour nos clients »
Les SOC BT sont certifiés ISO 27001 et le SOC français est en cours de qualification PDIS par l’ANSSI, ce qui lui ouvrira le marché des opérateurs d’importance vitale (OIV). Le SOC lui-même se divise en 2 espaces, dont l’un est soumis aux instructions interministérielles 901 et 1300 afin de pouvoir traiter des informations classifiées, pour des clients tels que Naval Group.
Eagle-i, l’IA créée par BT pour traiter les alertes
BT s’appuie sur ses partenariats avec Fortinet, Palo Alto Networks, Cisco, VMware et Microsoft pour démarcher de nouveaux clients, mais sait s’adapter aux choix de ses clients : « Nous adressons 2 types de clients, explique Abdoulaye Fadiga. Il y a d’une part notre Global Portfolio qui se base sur un portefeuille de technologies standards. Nous avons quelques partenaires principaux et sur des solutions sur lesquelles nous avons des niveaux de certification très élevés. La complexité du modèle vient de la complexité due aux niveaux de maturité très divers de nos clients. Certains sont très matures et recherchent du « sur mesure ». Ils ont déjà beaucoup investi dans une infrastructure et ne veulent pas tout révolutionner. On prend la main sur leurs outils et, dans le cadre de leur transformation digitale, nous les accompagnons petit à petit vers de nouvelles bonnes pratiques. »
En outre, BT a mené un projet de R&D interne afin d’industrialiser le traitement des alertes de sécurité au sein de ses SOC, c’est le projet Eagle-i. Nicolas Huguet souligne : « L’un de nos différenciants sur ce marché réside notamment dans le volet prévention du risque et la capacité à intervenir avant que les attaques ne surviennent. En 2021, nous avons lancé la plateforme Eagle-i qui dispose, via l’IA, de la capacité unique de détecter et anticiper, répondre et résoudre toutes sortes de menaces. La plateforme détecte 6 500 nouvelles menaces chaque jour. »
“La plateforme détecte 6 500 nouvelles menaces chaque jour »
De facto, BT revendique une baisse drastique des alertes traitées chaque mois par ses analystes : « Il y a quelques années, nous traitions de l’ordre de 20 000 alertes par mois et par centre. Avec les investissements que nous avons consentis, notamment sur Eagle-i, nous sommes tombés aujourd’hui à 10 000 alertes / mois et notre objectif est de diviser encore par 2 ce volume » argumente Abdoulaye Fadiga.
Joris Van Oers, responsable des opérations de British Telecom en Europe, ajoute : « On peut acheter une plateforme IA aujourd’hui, ce n’est plus une problématique. Par contre, il faut comprendre toutes les spécificités du monde cyber pour pouvoir protéger ses clients avec ce type de technologies. C’est cette combinaison entre l’expertise et la plateforme technique qui rend l’approche aussi puissante. De même, il y a une notion d’échelle. Lorsqu’on considère le nombre de réseaux que nous gérons pour les entreprises, les gouvernements et institutions à l’échelle mondiale, cela nous permet de traiter d’énormes volumes de données et cela rend l’approche encore plus puissante. »
L’IA, mais aussi et surtout le SOAR, ont permis à BT de réduire les volumes de données à traiter par ses analystes, mais dans un contexte où les ressources humaines sont rares et très disputées, l’opérateur historique britannique a lancé un programme de formation interne pour former ses anciens employés aux nouvelles technologies et notamment à la cybersécurité. C’est le programme CapsLock. Comme le conclut Abdoulaye Fadiga, « la détection des menaces est semi-automatisée. Des outils de type SOAR permettent aux analystes de dépenser moins d’efforts dans le tri des alertes, mais il y a toujours un deuxième niveau de filtrage. L’humain restera indispensable. »
Alain Clapaud