Cas Client

Déployer un SOC unifié pour renforcer la sécurité d’un groupe international dans près de 50 pays en un temps record

Soc sécurité

Client

DÉFI

    • Piloter efficacement la sécurité d’un Groupe très filialisé

    • Unifier la détection sans freiner les activités locales et en créant l’adhésion

DÉMARCHE

    • Déploiement d’un SOC Groupe opéré par Advens

    • Gouvernance conjointe et approche BUILD / RUN maîtrisée

    • Intégration progressive des pays, adaptée aux environnements locaux

BÉNÉFICES

    • Supervision cyber étendue à 35 pays en moins d’un an

    • Visibilité globale et homogène sur les risques cyber

    • Incidents maîtrisés en un temps record : SLA critique < 1h et remédiation démontrée, jusqu’à stopper une compromission avérée

    • Adhésion des filiales, harmonisation des pratiques et montée en maturité collective

    • Intégration fluide des nouveaux périmètres

Un enjeu de sécurité globale dans un Groupe fortement internationalisé

Acteur mondial du travel retail, ce Groupe opère des activités de duty free, de restauration et de commerces de proximité dans près de 50 pays. Cette forte implantation internationale s’appuie sur une organisation très filialisée, où chaque entité dispose de ses propres environnements IT, de ses outils et de ses contraintes opérationnelles. Cette diversité, amplifiée par une stratégie d’acquisitions régulières, rendait difficile une supervision cyber homogène et consolidée à l’échelle mondiale. 

Avant la mise en place du SOC, le siège (« Central ») pilotait la cybersécurité et hébergeait déjà plusieurs briques mutualisées (identité, firewall, AD, EDR…). Certaines entités utilisaient des outils locaux inconnus du Central, générant des comportements à risque et des angles morts significatifs. 

Dans ce contexte, la gouvernance de la cybersécurité est pilotée de manière centralisée depuis le siège, avec une animation régulière de comités transverses associant les équipes des différents pays. Si cette organisation permet d’aligner les orientations stratégiques, elle faisait toutefois apparaître une limite majeure : l’absence d’un dispositif de supervision de sécurité capable d’offrir une vision consolidée et homogène de l’exposition aux risques cyber à l’échelle du Groupe. 

La mission confiée à Advens s’inscrit précisément dans cet enjeu : mettre en place et exploiter un SOC Groupe capable de renforcer la détection des attaques externes comme des comportements internes à risque, tout en respectant la diversité des environnements locaux et en obtenant l’adhésion des filiales. 

Déployer un SOC Groupe dans un contexte distribué : un défi autant humain que technique

Avant le lancement du projet, le Groupe ne disposait pas de dispositif de supervision centralisé de type SOC. Les équipes faisaient face à plusieurs défis structurants. 

La diversité des environnements locaux complexifiait toute approche standardisée. Certaines entités n’appliquaient pas les bonnes pratiques cyber, voire utilisaient des solutions non référencées par le Central, entraînant un manque de visibilité pour le siège et un risque accru. 

Dans ce contexte, il s’agissait d’abord de renforcer la capacité de détection et de réaction face à des incidents de sécurité susceptibles d’impacter les activités dans différents pays, parfois simultanément. La diversité des sources de données et des technologies utilisées d’une filiale à l’autre complexifiait également toute approche uniforme. 

Au-delà des aspects techniques, l’enjeu était aussi organisationnel et humain. Dans une organisation très filialisée, le déploiement rapide d’un SOC Groupe pouvait être perçu comme une contrainte imposée par le siège, et nécessitait de fait une part d’évangélisation. Le projet devait donc démontrer sa valeur opérationnelle pour les équipes locales et s’inscrire en même temps dans une logique de collaboration et de confiance plutôt que de contrôle. 

Enfin, le Groupe souhaitait inscrire cette démarche dans une trajectoire de montée en maturité durable de sa fonction cybersécurité, avec un dispositif capable d’évoluer dans le temps.

Une approche progressive et maîtrisée, pensée pour un contexte international

Pour répondre à ces enjeux, Advens a proposé une démarche structurée, combinant cadrage, construction du dispositif (BUILD) et exploitation opérationnelle (RUN).

L’accompagnement débute mi-2024, avec un objectif ambitieux : rendre le SOC opérationnel en quelques mois à l’échelle internationale. Une gouvernance conjointe est mise en place, associant un pilote côté client et les SOC Managers Advens, afin d’aligner les priorités, d’arbitrer les choix techniques et de piloter l’avancement du projet.

Le déploiement s’appuie sur une approche progressive et organisée, permettant d’intégrer les pays par lots. Cette méthode vise à sécuriser chaque étape, à tenir les délais et à adapter le déploiement au niveau de maturité des entités, en tenant compte des spécificités locales, notamment en matière de sources de logs et d’infrastructures. 

Les équipes ont ainsi structuré l’intégration du SOC en quatre lots :

  • Le Central, qui concentrait la majorité des outils et des volumes à superviser 
  • Les grandes entités structurées 
  • Les entités moyennes 
  • Les très petites entités 

Dès le démarrage, la trajectoire a privilégié l’intégration des technologies centralisées, déjà utilisées par l’ensemble des pays. Ce choix a permis d’obtenir des bénéfices immédiats à l’échelle du Groupe, tout en sécurisant un déploiement rapide grâce à un socle commun maîtrisé par les équipes centrales comme locales.

Cette approche a également permis d’ancrer solidement le dispositif, d’intégrer rapidement les environnements critiques et d’adapter l’accompagnement pour les entités les moins matures. 

En octobre 2024, le RUN est lancé avec un SOC opérationnel couvrant déjà un périmètre international étendu. La phase BUILD se poursuit ensuite jusqu’en juillet 2025, dans une logique d’amélioration continue et d’enrichissement du dispositif. 
 

Une gouvernance qui favorise l’adhésion des pays

L’un des marqueurs forts de cette trajectoire est l’adhésion progressive de l’ensemble des pays au dispositif SOC Groupe. 

Le SOC a profondément transformé la dynamique entre le Central et les entités avec :

  • Les comités hebdomadaires : les équipes Advens remontent les incidents de la semaine et partage l’analyse à chaque région ;
  • L’évolution vers une démarche plus participative : désormais, les entités concernées par un incident viennent elles-mêmes présenter leur retour d’expérience, ce qui renforce l’appropriation et l’engagement local ;
  • Les comités mensuels régionaux : ils servent notamment à partager des indicateurs de performance, et à prioriser les actions ;

La gouvernance mensuelle régionale permet d’inscrire le SOC dans une dynamique collective. Ces animations régulières favorisent la montée en maturité des équipes locales et renforcent la collaboration entre les différentes entités du Groupe. 

Le SOC Advens : une valeur tangible grâce à une supervision poussée et à la chasse proactive

Le SOC apporte une expertise complète permettant à la fois de détecter, investiguer et révéler des zones d’ombre jusque-là inconnues du client.

Le SOC identifie des outils non référencés ou des infrastructures non couvertes, puis en alerte le Central pour corriger ces angles morts et renforcer la visibilité globale. Il met également en lumière des comportements à risque, qu’il s’agisse de l’usage d’outils non conformes, du non-respect des bonnes pratiques, ou encore de contournements de processus internes. 

Pour ce, le SOC mobilise également des expertises complémentaires pour assurer une supervision efficace et adaptée à la complexité du SI du Groupe. La Threat Intelligence (CTI) vient en partie compléter le dispositif afin d’identifier les compromissions, notamment sur les serveurs exposés. 

La CTI mène notamment des campagnes régulières de « retro hunting » : les IoCs identifiés via la veille ou lors d’investigations sont rejoués dans les historiques de logs et corrélés au sein d’un data lake mutualisé. Chaque analyse enrichit cette base commune, renforçant la capacité de détection et nourrissant les investigations sur l’ensemble des environnements supervisés. Cette approche permet d’identifier des correspondances, de qualifier les modes opératoires et de détecter d’éventuelles compromissions passées. 

Le dispositif a par exemple permis de révéler l’exposition réelle du SI à l’occasion d’un cas de compromission avérée sur un actif du client. Les investigations de l’équipe CTI d’Advens ont mis en évidence l’exploitation d’une vulnérabilité critique sur un serveur Ivanti, dont l’usage n’était pas connu du Central. 

L’incident a été pris en charge via une intervention CSIRT permettant une remédiation complète. Grâce au partenariat d’Advens avec CrowdStrike, les équipes ont pu accompagner la filiale concernée jusqu’au rétablissement sécurisé de l’environnement, en s’appuyant sur une capacité de réponse à incident déployable dans l’ensemble des pays où le Groupe est implanté. 

La gestion de cet incident a mobilisé l’ensemble des expertises nécessaires pour une remédiation rapide : la Blue Team a apporté un appui opérationnel en support des investigations menées par les équipes CrowdStrike ; la CTI a qualifié les acteurs de la menace une fois les indicateurs de compromission identifiés ; enfin, le SOC Manager a orchestré et suivi l’ensemble des actions côté Advens pour garantir une résolution fluide, coordonnée et conforme aux exigences du dispositif. 

Une supervision globale au service des filiales

Une attention particulière est portée à l’intégration du SOC dans l’écosystème IT global du Groupe. Dans 17 pays, des infrastructures locales dédiées à la collecte de logs sont mises en œuvre, permettant de répondre aux contraintes techniques et réglementaires de ces entités autonomes ou semi-autonomes tout en garantissant une remontée d’informations efficace vers le SOC central. 

Chaque filiale reçoit et traite directement ses alertes, renforçant ainsi sa capacité de réaction locale. Cette approche, rendue possible par une architecture pensée pour le multi‑filiales, constitue l’un des atouts majeurs du SOC, qui conjugue supervision centralisée et autonomie opérationnelle. 

Au-delà des compétences techniques, le projet repose fortement sur la proximité entre les équipes Advens et les équipes client. La disponibilité, la réactivité et la capacité à dialoguer avec des interlocuteurs variés – équipes centrales comme équipes locales – constituent un facteur clé de succès reconnu par le client. 

Des bénéfices rapidement mesurables pour le client

En moins d’un an, la supervision de la sécurité a été étendue à près de 35 entités couvrant près de 50 pays, dont 17 équipées d’infrastructures locales de collecte de logs. 

Cette supervision centralisée apporte au client une meilleure visibilité sur son exposition aux risques, une capacité de réaction renforcée face aux incidents et une amélioration mesurable de sa posture de sécurité

À date, le SOC permet notamment : 

  • L’application de 391 règles de sécurité, assurant une protection adaptée aux environnements supervisés ;
  • La détection et le traitement d’environ 40 incidents de sécurité par mois ;
  • La supervision de 32 technologies, offrant une visibilité étendue sur le système d’information du Groupe.

En parallèle, en 2025, la CTI a mené 168 campagnes de retro hunting, portant sur 2655 IoCs. 43 correspondances ont été identifiées, dont une escaladée en incident critique (P1) : la compromission du serveur Ivanti, détectée et investiguée grâce à cette méthode qui a permis d’identifier les attaquants et leurs modes opératoires, et de rapidement remédier à l’incident via une intervention du CSIRT.  

Les gains constatés sont significatifs :

  • Temps de détection fortement réduit, permettant une remédiation plus rapide des incidents ;
  • SLA inférieur à 1h pour les incidents critiques ;
  • Vision unifiée des risques et disparition des erreurs d’aiguillage (jusqu’à 10 % au démarrage) grâce à l’amélioration continue des flux et du modèle de supervision ;
  • Amélioration du niveau de maturité des entités, mesurée via une enquête de satisfaction côté filiales, partagée en comité de pilotage. Les très bons résultats sont le signe d’une adoption en progression constante ;
  • Extension du périmètre fonctionnel avec un prochain partenariat autour de la supervision des terminaux nomades ;

Le dispositif a également permis d’identifier et de corriger rapidement des mauvaises configurations, ainsi que de détecter, dans certains cas, des comportements non conformes à la politique cyber du Groupe.

Une trajectoire SOC pensée pour durer

Le dispositif s’inscrit désormais dans une trajectoire d’amélioration continue co-construite avec le client, et pensée pour accompagner durablement l’évolution du Groupe.

Il est ainsi capable d’intégrer rapidement de nouvelles entités à mesure des acquisitions, assurant une supervision homogène malgré l’arrivée régulière de nouveaux périmètres.  

Cette dynamique permet également d’ajuster en continu les règles, les flux et la visibilité, en fonction des incidents remontés et du niveau de maturité croissant des différents pays.  

Enfin, le SOC contribue à harmoniser progressivement les pratiques cyber à l’international, grâce à une gouvernance régulière et au rôle structurant joué par le Central, qui pilote et aligne les orientations de sécurité au fil du temps.  

Advens

Agissons ensemble pour un bien plus grand

Client, partenaire ou candidat : engagez-vous à nos côtés pour préserver la sécurité des organisations, mais aussi protéger nos modes de vie, nos libertés et notre société. Ensemble, mettons notre performance au service de projets qui ont du sens.

Nous contacter
Advens

À propos d’Advens

Nous pourrions vous dire que nous sommes leader indépendant de la cyber en France, que nos experts vous accompagnent partout dans le monde pour faire face à la menace cyber. C’est vrai. Mais ce n’est pas ce qui nous définit le mieux. Plus que protéger vos données, nous agissons, collectivement, face aux urgences du monde d’aujourd’hui... et de demain.

En savoir plus