Cómo Doctolib Creó un SOC Interno con Elastic Security y Redujo los Falsos Positivos en un 50%
Doctolib, la principal plataforma de salud digital de Europa que conecta a 90 millones de pacientes con 400.000 profesionales sanitarios, sustituyó un SOC externalizado basado en OpenSearch por un centro de operaciones de seguridad interno construido sobre Elastic Security. La migración redujo los falsos positivos en un 50%, extendió la retención de datos de un mes a un año y permitió a Doctolib gestionar 12 veces más datos de registros reduciendo el coste por terabyte en un 83%.
Impacto
50%
Reducción de falsos positivos
12x
Aumento en el volumen de datos gestionados
1 month to 1 year
Período de retención de datos ampliado
83%
Reducción del coste por terabyte
Desafío
El SOC externalizado de Doctolib en OpenSearch generaba frecuentes falsos positivos, limitaba la retención de datos a un mes y no podía escalar de forma rentable con el crecimiento de la plataforma, dejando a una plataforma de salud de 90 millones de pacientes con una protección insuficiente y analistas sobrecargados.
Solución
Elastic Security fue desplegado como el SIEM interno de Doctolib, centralizando la recopilación de registros en todas las fuentes de datos, aplicando aprendizaje automático para la detección automática de amenazas y ejecutándose en AWS para permitir el escalado tanto del volumen de datos como del período de retención.
Herramientas y tecnologías
Lo que dicen los líderes
“Elastic no solo mejoró nuestra seguridad, nos dio las herramientas para escalar de forma eficiente y mantener altos estándares.”
“Al usar Elastic, redujimos los falsos positivos en un 50%, para que nuestro equipo pudiera centrarse en amenazas reales.”
“Elastic nos dio la visibilidad necesaria para responder a incidentes y mejorar rápidamente nuestra postura de seguridad, para estar a la vanguardia en tecnología sanitaria.”
Regístrate para leer casos de estudio completos, acceder a métricas detalladas y recibir todos los reportes.
Historia completa
Doctolib opera como la plataforma de salud digital dominante en Europa, atendiendo a 90 millones de pacientes y 400.000 profesionales sanitarios en Francia, Alemania, Italia y los Países Bajos. Al ser una plataforma que maneja datos sensibles de pacientes bajo estrictas regulaciones sanitarias, las exigencias de seguridad son agudas, y las consecuencias de una brecha van más allá de las pérdidas financieras hasta afectar la seguridad del paciente.
Durante años, las operaciones de seguridad de Doctolib dependieron de un SOC externalizado construido sobre OpenSearch. Este esquema creó problemas estructurales: los frecuentes falsos positivos consumian la capacidad de los analistas, los tiempos de respuesta eran lentos y la retención de datos se limitaba a un mes, insuficiente para una investigación forense sólida. El rápido crecimiento de la plataforma, especialmente durante la pandemia de COVID-19, expuso lo frágil que era este modelo a escala.
Doctolib internalizó sus operaciones de seguridad desplegando Elastic Security como núcleo de su entorno SIEM. El equipo centralizó el registro, la monitorización y las alertas de Google Drive, Jira y aplicaciones internas en una única plataforma en AWS. Las capacidades de aprendizaje automático de Elastic asumieron la carga de trabajo de alertas rutinarias, filtrando el ruido antes de que llegara a los analistas.
Los resultados fueron inmediatos y medibles. Los falsos positivos cayeron un 50%, lo que permitió al equipo de seguridad redirigir la atención del triaje de alertas a la investigación de amenazas reales. La retención de datos creció de un mes a un año—Doctolib ahora ingiere 2 TB de registros al día, gestionando 12 veces su volumen de datos anterior. Si bien los costes totales se duplicaron, el coste por terabyte cayó un 83%, haciendo viable económicamente la escala ampliada. El tiempo medio de detección disminuyó gracias a las alertas automáticas de ML, mientras el equipo centró su atención en reducir el tiempo medio de investigación y resolución de incidentes.
Elastic también se extendió más allá de la función de seguridad: los equipos de desarrollo de Doctolib accedieron por primera vez a sus propios registros de aplicaciones, acelerando la depuración y mejorando la visibilidad entre equipos. De cara al futuro, Doctolib planea profundizar en el uso de las capacidades de IA de Elastic para pasar de una detección de amenazas reactiva a una prevención proactiva.