Architecte Data Visibility

Contexte

Le groupe souhaite faire appel à une prestation architecte Data Visibility afin d'accompagner le SOC dans une démarche globale de structuration, de déploiement et d'exploitation de sa capacité de supervision de sécurité. Elle couvre l'ensemble du cycle de vie de la visibilité data au sein du SOC : de la définition des besoins jusqu'à l'exploitation opérationnelle en passant par l'implémentation technique.

Cette prestation répond à plusieurs enjeux stratégiques et opérationnels :

• Renforcer la couverture de détection du SOC en garantissant que toutes les sources de logs sont correctement identifiées, collectées, normalisées
• Structurer et formaliser les besoins en matière de log management à travers la production de spécifications fonctionnelles rigoureuses et d'un dossier RFP permettant de mettre en compétition des fournisseurs de solutions adaptées
• Déployer une chaîne de collecte robuste et conforme aux exigences techniques, réglementaires et opérationnelles du SOC, en tenant compte des contraintes spécifiques des environnements industriels (disponibilité, segmentation réseau, protocoles propriétaires)
• Assurer la pérennité et l'évolutivité de la visibilité data à travers un accompagnement en phase run, permettant d'intégrer de manière continue et industrialisée de nouvelles sources et technologies dans la chaîne de collecte

La prestation se découpera sur deux lots :

Missions

Lot 1 : Spécifications fonctionnelles et rédaction d’un cahier des charges

L’objet de la prestation est de définir une architecture cible de chaîne de collecte répondant aux besoins du SOC, en s’appuyant sur l’audit existant, les cas d’usage de détection, les contraintes d’exploitation et les standards d’architecture de l’entreprise. Le prestataire devra proposer une solution de bout en bout couvrant notamment les mécanismes de collecte, de transport, de sécurisation, de filtrage, de parsing, de normalisation, de routage et de mise à disposition des logs vers les plateformes consommatrices.

Objectifs généraux :

• Prendre en compte les écarts et points d’attention identifiés dans l’audit
• Traduire ces constats en principes d’architecture et en choix techniques
• Définir l’architecture cible et, le cas échéant, l’architecture transitoire
• Vérifier l’adéquation de la cible avec l’environnement de l’entreprise, ses flux, ses contraintes réseau, ses exigences de sécurité et ses capacités d’exploitation
• Préparer les éléments nécessaires à l’implémentation par les équipes internes ou les intégrateurs
• Rédaction d’un cahier des charges
• Suivi et participation du RFP

Lot 2 : Implémentation de la chaîne de collecte

Ce lot couvre le déploiement opérationnel de la chaîne de collecte définie dans le Lot 1. La prestation assurera un rôle d'architecte technique de référence tout au long de l'implémentation. Il devra :

• Élaborer le plan d'implémentation détaillé : séquencement des déploiements, identification des dépendances techniques, plan de test et de recette
• Piloter et contribuer activement au déploiement des fonctions (routage, filtrage, stockage…) et composants techniques de la chaîne de collecte (agents de collecte, pipelines de traitement, connecteurs SIEM), en coordination avec les équipes parties prenantes
• Garantir la conformité de l'implémentation avec les spécifications fonctionnelles validées en Lot 1 : vérification de la couverture des sources, contrôle de la qualité des logs ingérés (format, complétude, horodatage), validation des règles de normalisation et d'enrichissement et recette des éléments déployés
• Conduire les phases de recette technique et fonctionnelle : rédaction des cahiers de tests, exécution des scenarii de validation, gestion des non-conformités et suivi des corrections
• Produire la documentation complète : architecture déployée, schémas de flux, inventaire des composants, procédures d'exploitation et de troubleshooting
• Assurer un transfert de compétences structuré vers les équipes internes en fin de déploiement

Livrables

Lot 1 : Spécifications fonctionnelles et rédaction d’un cahier des charges

• Un cahier des charges précisant la compréhension du besoin, le périmètre, les hypothèses, les dépendances et les contraintes structurantes
• Un dossier d’architecture cible décrivant les composants, les flux, les rôles, les interfaces et les principes de fonctionnement de la chaîne de collecte
• Des recommandations de mise en œuvre portant sur le filtrage, la normalisation, la qualité de donnée, la résilience, la supervision et la maintenabilité
• Document d'architecture cible détaillé (schémas de flux, composants, zones de confiance)
• Dossier RFP complet prêt à l'émission (critères, grille de scoring, scénarios de tests)
• Une feuille de route de déploiement précisant les lots, jalons, dépendances, risques, points de vigilance et conditions de réussite

Lot 2 : Implémentation de la chaîne de collecte

• Plan d'implémentation et planning de déploiement validé
• Cahiers de tests et comptes-rendus de recette
• Documents d’architecture (schémas, inventaire des composants)
• Procédures d'exploitation, de maintenance et de troubleshooting
• Support de transfert de compétences vers les équipes internes
• Processus et guide d'onboarding technologique (Template standardisé)

Savoir-faire du prestataire

Le savoir-faire propre du prestataire, sur son périmètre distinct, devra couvrir les éléments suivants :

• Capacité à exploiter un audit existant et à en traduire les conclusions en architecture opérationnelle
• Expertise de conception de chaînes de collecte adaptées à des environnements hétérogènes, distribués ou hybrides
• Capacité à produire des livrables d’architecture structurés, exploitables et alignés avec les standards de l’entreprise
• Maîtrise dans l’animation des ateliers de travail et formalisation des arbitrages
• Capacité à proposer une trajectoire d’évolution réaliste, tenant compte des contraintes de délais, de dépendances et de capacité de mise en œuvre

Domaines d’expertise

• Architecture SOC, SIEM et chaîne de collecte de logs
• Protocoles et mécanismes de collecte, transport et sécurisation des journaux
• Parsing, enrichissement, normalisation, filtrage, routage et optimisation des flux
• Intégration avec les environnements systèmes, réseaux, sécurité et cloud
• Prise en compte des enjeux de volumétrie, performance, disponibilité, résilience et supervision
• Connaissance des contraintes liées à la qualité de la donnée, à l’exploitabilité SOC et à la maintenabilité des pipelines de collecte
• Capacité à formaliser des choix d’architecture compatibles avec les exigences de sécurité, de conformité et d’exploitation de l’entreprise
• Maîtrise des méthodes de conception, de documentation technique et de restitution à des publics techniques et décisionnaires

1. Capacité à exploiter un audit existant et à en traduire les conclusions en architecture opérationnelle
2. Expertise en conception de chaînes de collecte adaptées à des environnements hétérogènes, distribués ou hybrides
3. Capacité à produire des livrables d’architecture structurés, exploitables et alignés avec les standards de l’entreprise
4. Maîtrise dans l’animation des ateliers de travail et formalisation des arbitrages
5. Capacité à proposer une trajectoire d’évolution réaliste, tenant compte des contraintes de délais, de dépendances et de capacité de mise en œuvre
6. Connaissance approfondie de l’architecture SOC, SIEM et chaîne de collecte de logs
7. Maîtrise des protocoles et mécanismes de collecte, transport et sécurisation des journaux
8. Compétences en parsing, enrichissement, normalisation, filtrage, routage et optimisation des flux
9. Intégration avec les environnements systèmes, réseaux, sécurité et cloud
10. Prise en compte des enjeux de volumétrie, performance, disponibilité, résilience et supervision
11. Connaissance des contraintes liées à la qualité de la donnée, à l’exploitabilité SOC et à la maintenabilité des pipelines de collecte
12. Capacité à formaliser des choix d’architecture compatibles avec les exigences de sécurité, conformité et exploitation de l’entreprise
13. Maîtrise des méthodes de conception, documentation technique et restitution à des publics techniques et décisionnaires