L’architecture des applications web multiplie les journaux à explorer en cas d’incident. En soutien de 300 informaticiens, l’assureur retient l’outil de suivi d’incidents SIEM LogPoint.
A Rouen, la Matmut doit réunir de bonnes preuves et pistes techniques en cas de
problème informatique, qu’il s’agisse d’incident de production, de maladresse, de
malveillance ou de cyberattaque.
Pour délivrer une qualité de service optimale aux
utilisateurs, « la principale difficulté consiste à bien isoler les éléments qui vont permettre de mettre le doigt là où se trouve le problème. Nous avons une quantité importante de
logs à gérer, notre architecture retenant de 15 à 20 frontaux web. An cas d’incident, nous devons passer sur chaque serveur afin d’éplucher ces traces. D’où notre choix d’une solution de gestion des journaux d’origine LogPoint », précise le RSSI Cédric Chevrel.
Simplifier l’investigation a posteriori
Le responsable sécurité informatique confirme que cette solution autorise les requêtes
inter-plateformes afin de mettre en évidence les facteurs discriminants, les signaux faibles
et les causes à l’origine des problématiques observées. Tels des détectives, les
inspecteurs numériques doivent tracer les baisses de performances des serveurs, ainsi
que tout événement suspect remonté par un logiciel ou dispositif du système
d’information.
La solution SIEM (security information and event management) de LogPoint simplifie la
consultation des journaux en corrélant les vues des serveurs et des équipements de
l’infrastructure. Les investigations sont facilitées par la prise en compte des journaux de
sécurité. Il en résulte un gain de temps significatif du diagnostic jusqu’à la résolution des
incidents.
Anticiper la fuite de données numériques
« Protéger les données personnelles reste une des priorités de la Matmut. Nous
manipulons principalement ce type de données, c’est au cœur de notre métier. La
mission primaire confiée aux équipes consiste à protéger ces données mais aussi à
sensibiliser les utilisateurs sur la réalité des cyber-attaques. »
L’équipe informatique compte 300 experts, prestataires compris organisés suivant deux
pôles, le pôle éditeur (projets et études) et le pôle hébergeur (infrastructures et
hébergement d’applications). L’outil d’agrégation des journaux et de suivi des incidents
doit rester simple d’utilisation et maîtrisé en terme de coût. Il s’inscrit dans une logique de
collaboration accrue entre les équipes de développement et de production. « La culture
DevOps monte chez nous et cette évolution se fait assez naturellement », conclut le RSSI.
Auteur : Olivier Bouzereau