Premier appel d'offres pour les outils et services gérés de cybersécurité

Lot 1 : Outils et services gérés de cybersécurité FRH pour GWR & AWC La cybersécurité gérée par l'IA est essentielle pour contrer un paysage de menaces caractérisé par des délais d'attaque courts et des attaques automatisées sophistiquées. Pour y remédier, l'organisation acquerra un service de sécurité géré unique et intégré 24/7 couvrant la sécurité de la messagerie, la détection et la réponse réseau (NDR), la détection et la réponse des points d'extrémité (EDR) et la gestion des informations et événements de sécurité (SIEM). La solution utilise l'automatisation pilotée par l'IA, l'apprentissage automatique et un modèle SOC géré pour fournir une détection, une priorisation, un confinement et une récupération en temps réel sur l'ensemble du système. La détection et la réponse automatisées réduisent la fatigue des alertes, réduisent le temps moyen de réponse (MTTR) et éliminent les goulots d'étranglement du flux de travail qui inhibent les opérations SOC manuelles ou traditionnelles. La réponse pilotée par l'IA permet un confinement à la vitesse de la machine pour les menaces détectées n'importe où sur le réseau, les points d'extrémité, la messagerie et les services cloud, tout en garantissant une intégration transparente des outils nouveaux et existants. *- Objectifs stratégiques Améliorer les capacités de détection et de réponse aux menaces : Utiliser l'analyse et l'automatisation pilotées par l'IA sur les e-mails, les points d'extrémité, les réseaux et les environnements cloud pour la détection et la perturbation en temps réel des menaces évolutives, y compris les attaques zero-day et la compromission de la messagerie professionnelle. Le service fournit des informations et des analyses en temps réel basées sur les données, garantissant une détection et une réponse de haute fidélité dans tous les domaines surveillés. Réduire le temps de présence (dwell time) : L'automatisation par l'IA permet une corrélation et une réponse rapides, réduisant le temps de présence de plusieurs jours à quelques minutes dans les environnements gérés en minimisant les retards d'analyse manuelle et en augmentant la précision grâce à des playbooks automatisés pour les actions de confinement. Garantir la conformité réglementaire : La surveillance continue, la génération de rapports automatisés et la documentation de réponse de niveau audit soutiennent les mandats de conformité (par exemple, GDPR, NIS2) et fournissent des preuves prêtes à l'emploi pour les enquêtes réglementaires. Garantir l'alignement et la certification avec les meilleures pratiques de l'industrie CSO/IEC 42001 (Système de Management de l'Intelligence Artificielle), ISO/IEC 27001 (Système de Management de la Sécurité de l'Information), ISO 22301 (Système de Management de la Continuité d'Activité (BCMS)), Cyber Essentials et Cyber Essentials Plus. Permettre une défense proactive : La solution prend en charge la chasse aux menaces automatisée et la détection d'anomalies pour intervenir tôt dans le cycle de vie de l'attaque, plutôt que de s'appuyer uniquement sur des flux de travail basés sur des alertes ou réactifs. Optimiser l'allocation des ressources : La détection et la réponse automatisées réduisent considérablement le temps passé à traiter les menaces par e-mail, permettant au personnel de se concentrer sur un travail à plus forte valeur ajoutée. *- Portée des services L'organisation recherche un service de sécurité entièrement géré 24/7 couvrant : Sécurité de la messagerie pilotée par l'IA, intégrant l'intelligence des menaces et la remédiation automatique (utilisant des technologies telles que Mimecast et Microsoft Defender). NDR piloté par l'IA avec analyse comportementale, réponse automatisée et couverture des applications cloud (y compris M365, en utilisant DarkTrace). EDR piloté par l'IA intégré au SIEM, fournissant une détection, une priorisation et un confinement automatisés. SIEM piloté par l'IA avec collecte unifiée des journaux, corrélation pilotée par l'IA et enrichissement à partir de la télémétrie des points d'extrémité, du réseau et de la messagerie. Large compatibilité et intégration avec les fournisseurs d'IaaS, PaaS et SaaS d'entreprise courants. La réponse automatisée et la chasse proactive aux menaces sont intégrées au service. L'IA élimine les faux positifs en temps réel. Le NDR, l'EDR et la sécurité de la messagerie sont orchestrés via le SIEM, offrant une vue centralisée et une transition transparente entre la détection, l'investigation et la réponse. *- Avantages clés Bon rapport qualité-prix : L'appel d'offres concurrentiel pour des services gérés intégrés pilotés par l'IA permet le benchmarking, l'optimisation des coûts et l'élimination des pertes de marge dues à l'inefficacité opérationnelle. Renforcement des capacités et des résultats de sécurité : La solution fournit une détection et une réponse gérées 24/7 avec une investigation d'incidents éprouvée, une escalade et un confinement rapide. La priorisation automatisée traite plus de 90 % des alertes, permettant aux analystes humains de gérer les exceptions et de chasser les menaces. Réduction du risque opérationnel et de livraison : S'appuyer sur la réponse automatisée aux incidents comble le manque de talents, traite l'épuisement professionnel des analystes et transfère le risque de livraison aux fournisseurs qui maintiennent des capacités SOC améliorées par l'IA. Les performances basées sur SLA et les actions automatisées à la vitesse de la machine sont contractuellement définies. Amélioration de la gouvernance, de l'auditabilité et de la transparence : Les pistes d'audit automatisées et pilotées par l'IA garantissent la traçabilité de bout en bout de chaque incident, action et décision de gestion, permettant le reporting réglementaire et la conformité aux audits internes. Permettre la scalabilité et la flexibilité future : L'architecture pilotée par l'IA traite des milliers d'alertes supplémentaires par jour sans augmentation proportionnelle des effectifs, soutenant la mise à l'échelle à mesure que les besoins de l'entreprise et les volumes de menaces évoluent. Soutien à la conformité et aux obligations réglementaires : Le SOC géré opère dans le cadre de cadres reconnus (par exemple, ISO 27001, ISO 42001, ISO 22301, Cyber Essentials et NIS et GDPR du Royaume-Uni) et fournit de manière proactive des rapports de conformité et des preuves de réponse rapide aux incidents. Lot 2 *- Renforcement des capacités et des résultats de sécurité La portée de cet appel d'offres comprend le remplacement ou le renouvellement de plusieurs capacités de cybersécurité de base, notamment : - Passerelle de sécurité Internet (ISG) : Inspection et protection avancées du trafic Web pour atténuer les activités Internet malveillantes et à haut risque. - Accès réseau Zero Trust (ZTNA) : Accès à distance sécurisé, basé sur l'identité et le contexte, réduisant la dépendance aux solutions VPN héritées. - Gestion des accès privilégiés (PAM) : Contrôle, surveillance et audit des identités privilégiées et des chemins d'accès (applicable au Groupe, aux Bus et aux Chemins de fer). - Gouvernance et contrôle de l'IA : Application des politiques régissant l'accès aux services d'IA basés sur Internet, aux plateformes SaaS et aux API pour prévenir l'utilisation non autorisée, les fuites de données et les violations de conformité. - CASB et prévention de la perte de données (DLP) : Protection des données sensibles sur les applications SaaS approuvées et non approuvées (applicable à Avanti West Coast). La solution doit s'intégrer de manière transparente à l'écosystème technologique et de sécurité existant de FirstGroup, en tirant parti de l'intelligence artificielle et de l'intelligence des menaces pour permettre une surveillance continue, l'application automatisée des politiques et la détection proactive des menaces émergentes. *- Réduction du risque opérationnel et de livraison FirstGroup exige une réponse autonome et des contrôles de politique technique intelligents pour réduire la charge opérationnelle des équipes informatiques et de sécurité internes et pour résoudre les contraintes de compétences au sein de l'organisation. Les fournisseurs doivent démontrer : - Des cadres de gouvernance de sécurité matures et efficaces. - Des contrôles opérationnels et des processus de gestion des services robustes. - Des capacités éprouvées en matière de gestion des incidents, de contrôle d'accès et de continuité des services. Compte tenu de la nature critique des systèmes et des données impliqués, la cybersécurité est considérée comme un risque d'entreprise majeur, et les solutions doivent être résilientes, sécurisées et alignées sur les meilleures pratiques. *- Amélioration de la gouvernance, de l'auditabilité et de la transparence Pour garantir une assurance cohérente de tous les soumissionnaires, les fournisseurs présélectionnés devront remplir l'évaluation de la sécurité de l'information des fournisseurs de FirstGroup via la plateforme RiskXChange. Cette évaluation évalue la maturité des fournisseurs dans des domaines clés, notamment : - Assurance SOC et opérations de sécurité. - Gestion des services informatiques. - Développement sécurisé de logiciels. - Continuité des activités et reprise après sinistre. - Gestion des identités et des accès. - Protection des données et confidentialité. - Protection DDoS et gouvernance de la sécurité cloud. Cette approche garantit un haut niveau d'auditabilité, de comparabilité et de transparence tout au long du processus d'appel d'offres. *- Permettre la scalabilité et la flexibilité future La solution proposée doit être évolutive, adaptable et prête pour l'avenir, capable de prendre en charge : - Les besoins commerciaux évolutifs. - Les modèles de travail hybrides et distribués. - L'adoption croissante des services cloud et des technologies d'IA. L'automatisation et les contrôles pilotés par l'IA devraient soutenir une transition des opérations de sécurité réactives vers une gestion de la sécurité proactive et préventive, y compris l'application dynamique des politiques sur l'utilisation des services Web, cloud et IA. *- Soutien à la conformité et aux obligations réglementaires Les fournisseurs doivent fournir une certification selon les normes industrielles reconnues, notamment : - ISO/IEC 27001 (Management de la Sécurité de l'Information). - ISO 22301 (Management de la Continuité d'Activité). - ISO/IEC 42001 (Systèmes de Management de l'Intelligence Artificielle). - Les programmes soutenus par le NCSC du Royaume-Uni : Cyber Essentials et Cyber Essentials Plus. En outre, la solution doit prendre en charge la conformité avec les réglementations britanniques applicables, notamment : - Le RGPD du Royaume-Uni et le Data Protection Act, garantissant le traitement légal, sécurisé et transparent des données personnelles. - Les réglementations britanniques sur les réseaux et les systèmes d'information (NIS), le cas échéant, y compris les mesures de gestion des risques et de reporting des incidents. *- Alignement stratégique des outils Cet appel d'offres soutient la fourniture d'outils de cybersécurité pour First Rail Holdings, y compris FirstGroup, FirstBus, FirstBus London, London Cable Car, Hull Trains, Lumo Trains, FirstRailLondon, Trams Operations Ltd (TOL), Air Coach, Avanti West Coast, Great Western Railway. Le fournisseur sélectionné sera responsable de la fourniture et de la gestion d'une capacité de sécurité intégrée de bout en bout, comprenant : - Sécurité d'accès Internet. - Gouvernance cloud et IA. - Gestion des accès privilégiés. - Connectivité Zero Trust. Cela améliorera l'efficacité globale de la sécurité, l'efficience opérationnelle, la résilience organisationnelle et la conformité réglementaire dans les sociétés d'exploitation participantes.