En Cybersécurité, déployer un EDR (Endpoint Detection and Response) permet de faire face à de nombreuses attaques, notamment les ransomwares. Au-delà de l’implémentation de la technologie EDR, ce sont les processus de sécurité opérationnelle associés qu’il s’agit de mettre en place. Rencontre avec Frédéric Basroger, DSI du Département du Nord et Benjamin Leroux, expert Cybersécurité d’Advens pour évoquer leur expérience commune de l’EDR as a service.
L’EDR, une technologie désormais incontournable pour sa Cybersécurité
L’EDR (Endpoint Detection and Response) est un logiciel de cybersécurité destiné à protéger tout terminal relié au système d’information (ordinateurs, tablettes ou mobiles, serveurs, etc.). L’EDR détecte les incidents via l’analyse comportementale. Actif, il permet également une réaction immédiate en cas d’incident. L’EDR est une technologie relativement récente, apparue comme un complément aux antivirus qui s’appuient uniquement sur une base de signatures identifiées.
L' EDR est comme le heaume de notre armure de Cybersécurité. Et sans heaume, une armure ne peut efficace ! L’EDR est indispensable pour défendre nos systèmes d’information contre une attaque et nous laisser le temps d’organiser notre riposte. », déclare Frédéric Basroger.
Les plus de la technologie EDR :
• Détection de menaces inconnues ou fortement évolutives comme peuvent l’être les ransomwares
• Alimentation du SOC et des analystes cybersécurité en informations capitales sur les agissements de l’attaquant
• Possibilité d’engager rapidement une réponse : blocage, quarantaine, arrêt des exécutables …
• Déploiement rapide, même à chaud, pour limiter l’impact d’une attaque en cours
L'EDR constitue une première étape pertinente et adaptée pour le déploiement d’un SOC moderne et efficace. », souligne Benjamin Leroux
Retour d’expérience du Département du Nord : Comment le déploiement d’un EDR par l’équipe CSIRT d’Advens a permis de gérer une attaque EMOTET majeure ?En juillet dernier, le Département du Nord détecte les premiers signaux faibles d’une attaque, notamment liés à un nombre croissant de mails avec signatures virales. Au bout de trois jours, la DSI passe de quelques dizaines à des milliers d’alertes, les signatures évoluent rapidement, certaines boîtes de messagerie deviennent elles-aussi sources de spam : la menace présente tous les signes d’une attaque majeure, avec une expansion extrêmement rapide. Le Département du Nord est bien préparé et engage rapidement un processus de gestion de crise efficace : une cellule de crise transverse est créée. Des mesures techniques de scan, d’isolement et de destruction sont mises en place (voir le détail dans le replay). Le constat à l’approche du 14 Juillet devient pourtant sans appel. Notre RSSI nous informe que nous allons forcément être dépassés. On sait qu'on tombera parce qu'on va se fatiguer, parce que nous sommes sur trop de fronts. », raconte Frédéric Basroger Frédéric Basroger fait alors appel à Advens, son partenaire de confiance depuis plusieurs années, qui met en place une force d’action rapide (CSIRT) et recommande de déployer un EDR. Dans le cas du Département et selon des critères de choix propres à cette organisation, Advens recommande la solution EDR de Cybereason, notamment pour l’industrialisation de son déploiement et la qualité de la visualisation de la kill chain. Comme l’explique Benjamin Leroux d’Advens, « Quand on est sous le feu des bombes, il faut gagner en visibilité. Le CSIRT a besoin de comprendre ce qui passe. Avec l'EDR, d'un seul coup, la lumière s’allume. L’équipe dispose des informations utiles pour prendre les bonnes décisions et de nouveaux moyens pour agir. » Toutes les équipes techniques du Département sont mobilisées et s’engagent avec le soutien des partenaires de l’organisation. Frédéric Basroger mobilise aussi toute sa gouvernance pour prendre une décision essentielle. Nous allons déployer l'EDR en même temps qu'on réagit à l'attaque. Il nous faut gagner du temps et nous faisons le choix de mettre sous cloche le Département du Nord, en l’isolant d’Internet au début du week-end du 14 Juillet. », poursuit Frédéric. Pendant cette période, au fur et à mesure du déploiement de l’EDR, les équipes techniques vérifient les données, analysent et détruisent ce qui doit l’être. L’œil sur la jauge, les équipes du département mènent un combat difficile avec une fin heureuse : A la sortie du week –end du 14 Juillet, le Département du Nord n’a pas été dépassé et peut de nouveau accomplir sa mission de service public dans des conditions opérationnelles maîtrisées. |
Comment choisir la technologie EDR et les services associés ?
Le marché de l’EDR est très riche, de nombreuses solutions existent dont les spécificités sont à analyser en fonction du contexte. Comme nous l’explique Benjamin Leroux d’Advens, qui intègre différentes technologies EDR dans ses solutions d’EDR-as-a-Service, il faut particulièrement être attentif :
• aux capacités de détection et d’intégration dans un SOC
• aux capacités de remédiation
• à la couverture du référentiel MITRE ATT&CK
• au déport de l’analyse et de l’IA sur l’agent
• à l’impact sur le système d’information et ses performances
• à la nature et la localisation de l’hébergement des données
• à la complétude de couverture du parc (IT, OT, mobiles)
• à l’industrialisation du déploiement
• à l’ergonomie du reporting et la console d’administration
Retour d’expérience du Département du Nord : Un EDR managé exploite au mieux toute la puissance de la technologieAu-delà de la réponse à l’attaque, l’EDR fait désormais partie de l’arsenal Cybersécurité du Département. « Aujourd’hui, nous subissons des attaques continuelles : 150 en 2020 dont 17 majeures. Je ne saurais plus comment me passer de l’EDR. », déclare Frédéric Basroger. Derrière la technologie, les informations et alertes viennent alimenter le SOC et font l’objet d’une analyse détaillée par Advens. C’est ce qui définit une prestation d’EDR as a Service. « La technologie EDR est puissante mais il faut la dompter et tenir sur la durée : en interne ou en externe, une équipe formée doit analyser ses retours, corréler les informations de différentes sources pour différencier le faux du vrai et déclencher si besoin un processus de gestion de crise. L’externalisation via une approche service permet d’assurer efficacement ce suivi. », explique Benjamin Leroux. Pour le Département du Nord, Advens met à disposition les packages de déploiement pour les outils de télédistribution (SCCM, LanDesk, GPO…), assure le maintien en conditions opérationnelles et en conditions de sécurité de l’EDR, qualifie les alertes de sécurité remontées par l’EDR et définit le plan d’action par incident. Les incidents sont ensuite notifiés selon le pacte de communication défini par l’organisation et le suivi s’effectue à la fois via un portal web (suivi KPI et tickets d’incident) et une comitologie trimestrielle. Comme le souligne Frédéric Basroger, le déploiement et la vie de l’EDR nécessitent d’avoir une vue d’ensemble de ses capacités et de son périmètre : « Un processus très clair doit être mis en place avec toute l’équipe technique pour gérer les alertes et anticiper les impacts de ce gain en visibilité. L’analyse des remontées de l’EDR faites par le SOC, les interventions de la force d’action rapide d’Advens et la professionnalisation de nos équipes techniques nous permettent d’en tirer le meilleur parti. » |
Quoi de mieux qu’un témoignage Live : retrouvez le replay de cette
rencontre entre Frédéric Basroger et Benjamin Leroux, animé par Atout DSI
Pour aller plus loin :
- Le replay de l'atelier réalisé par Advens sur le SOC de TF1
- Un article d'Advens sur l'intelligence artificielle au service de la cybersécurité
- Un retour d'expérience sur EMOTET
- Et la synthèse du Micro-Forum de la Cybersécurité d'Atout DSI
Advens se présente :
Advens est le premier pure-player français de la cybersécurité. Nous regroupons 250 spécialistes à Paris, Lille, Lyon, Nantes, Bordeaux et Toulouse et nous accompagnons nos clients sur toutes les facettes de leur sécurité. Notre projet d’entreprise est double. Nous souhaitons intégrer la sécurité au cœur du numérique et en faire un atout pour nos clients. Toute les solutions et les dispositifs existent. Nous sommes là pour les organiser et les orchestrer. Au-delà de la Cyber nous souhaitons avoir un impact positif sur la société, et nous avons lancé la Course au changement. Cette course vise à embarquer et mobiliser le plus grand nombre pour permettre à l’inclusion sociale de changer d’échelle en France.
Commentaires0
Vous n'avez pas les droits pour lire ou ajouter un commentaire.
Articles suggérés