De l’IA au SOC : OpenText structure un MDR modulaire pour les MSP

Son intervention s’est appuyée sur une démonstration technique, en insistant sur les fonctionnalités clés pour les MSP et les ESN souhaitant opérer un service de détection et réponse managées (MDR) avec des moyens réalistes.

Une solution MDR issue du monde Enterprise, adaptée aux MSP

Dès l’accès au portail Secure Cloud, les prestataires peuvent consulter un tableau de bord synthétique regroupant les différentes alertes : types de malwares, ransomwares ou failles systèmes, notamment côté Windows. « Ce MDR que nous mettons à votre disposition est le même que celui que nous déployons auprès des groupes du CAC 40. Aujourd’hui, nous le mettons à disposition de nos service providers, des MSP, des clients PME », précise Alexandra Lemarigny. Les rapports d’activité peuvent être envoyés de manière régulière (quotidienne, hebdomadaire, mensuelle) en fonction des besoins, avec un résumé de l’état des agents, des machines à risque et des vulnérabilités non traitées.

Automatiser la réponse grâce aux workflows

La chaîne de remédiation est gérée via des workflows préconfigurés, que les partenaires peuvent adapter. Lorsqu’un malware est détecté, la solution enclenche automatiquement une mise en quarantaine. Une analyse est alors lancée pour vérifier si l’attaque a été atténuée. Si besoin, la machine peut être isolée temporairement du réseau interne et d’Internet. « L’automatisation passe par des workflows d’orchestration prêts à l’emploi, qui permettent de structurer la réponse à incident de bout en bout : détection, quarantaine, atténuation, puis escalade vers notre SOC si besoin », détaille Alexandra Lemarigny. Le paramétrage permet aussi d’ajouter des plages horaires de notification, y compris par SMS ou téléphone, pour couvrir les plages d’inactivité.

Une brique IA pour une détection renforcée

La partie intelligence artificielle repose sur OpenText Threat Intelligence ( anciennement Brightcloud), qui agrège les signaux issus de 95 millions de capteurs dans le monde pour identifier les IP malveillantes, domaines falsifiés ou extensions de navigateur non contrôlées. En cas de détection de domaines falsifiés, comme des déclinaisons frauduleuses d’apple.com le prestataire peut exporter ces données directement vers les firewalls de ses clients. « Nos algorithmes de machine learning s’appuient sur un réseau de capteurs mondiaux. Cela permet d’identifier rapidement les IP et domaines malveillants, et de les exporter automatiquement vers les firewalls du client », souligne-t-elle.

Une intégration large dans l’écosystème sécurité

L’autre point mis en avant concerne l’intégration dans l’écosystème des prestataires. Selon Alexandra Lemarigny, la solution est déjà interfacée avec plus de 450 éditeurs de solutions de sécurité, dont SentinelOne, Fortinet ou Palo Alto. La plateforme est capable d’ingérer des logs via API ou Syslog, et de les corréler pour remonter des incidents, même si la remédiation reste à effectuer côté éditeur.

« La plateforme s’intègre nativement avec plus de 450 éditeurs. Elle récupère les logs via API ou Syslog, mais laisse la main à l’éditeur pour la remédiation si nécessaire » 

Enfin, la supervision humaine est assurée par le SOC mondial d’OpenText, réparti sur plusieurs régions afin de garantir une couverture horaire adaptée aux clients. L’organisation prévoit que les demandes effectuées depuis la France soient traitées par des équipes basées en Europe, avec relais éventuel en Amérique du Nord ou en Asie en dehors des horaires ouvrés. Le SOC intervient à différents niveaux selon la criticité de l’incident et les scénarios définis dans les workflows.

Un SOC mondial intégré à l’automatisation MDR

 « À partir du moment où vous mettez ASK to SOC dans le workflow, notre SOC reçoit l’information », précise Alexandra Lemarigny, en insistant sur la capacité d’escalade automatisée. Les SLA démarrent dès 15 minutes pour les incidents les plus critiques, un niveau conforme aux standards du marché, avec des réponses hiérarchisées selon le niveau de priorité de l’alerte.

La structure s’appuie d’ailleurs sur des profils qualifiés, dont certains anciens agents du FBI, et se charge de produire un rapport circonstancié après analyse, incluant les actions menées, les hôtes affectés et les éléments de remédiation à mettre en œuvre. Ces rapports sont transmis automatiquement au partenaire une fois l’incident traité.

Avec cette démonstration, OpenText Cybersecurity a pu détailler sa proposition de valeur aux prestataires IT : offrir une solution MDR qui combine détection par l’IA, orchestration automatisée des réponses et escalade vers un SOC international. L’éditeur entend ainsi permettre à ses partenaires d’industrialiser leur approche de la cyber, sans complexifier leur organisation.

Propos recueillis par Guilhem Thérond, rédacteur en chef de ChannelBiz.

À propos de ChannelBiz : 

ChannelBiz.fr est le média des partenaires de distribution IT & Tech en France : Intégrateurs, revendeurs, et MSP/MSSP. Chaque semaine, nous proposons à nos 9000 abonnés 2 newsletters autour des actualités et des enjeux majeurs du Channel : infra & Cloud, Cybersécurité ; Workspace & AV ; Telecom; et Business Apps. Nous éditons également chaque trimestre « ChannelBiz : Le Mag » : un magazine de 60 pages, pour prendre du recul sur les tendances fortes du marché. Et pour ne rien rater de l’actualité du Channel au quotidien, rejoignez notre page Linkedin ChannelBiz.