Sécurité

Pourquoi l’ANSSI recommande-t-elle l’utilisation d’un EDR ?

1 juin 2022

Pourquoi l’ANSSI recommande-t-elle l’utilisation d’une protection « Endpoint Detection & Response » (EDR) pour neutraliser les cybermenaces avancées ?

Le niveau de la menace cyber n’a jamais été si élevé. L’ANSSI (Agence nationale de la sécurité des systèmes d’information), dans son dernier rapport d’activité disponible (daté de 2021), révèle ainsi que les signalements liés à des ransomwares (rançongiciels en français) ont été multipliés par 4 par rapport à 2019 ! Et aucun secteur n’est épargné : entreprises, industrie, collectivités territoriales, établissements de santé…

La cybermenace est polymorphe, depuis les attaques qui visent la faille humaine (via le phishing notamment) jusqu’à celle qui exploitent un port, une faille logicielle ou compromettent le SI grâce à l’injection de code malveillant (wiper). Face à ces menaces avancées, qui peuvent cibler n’importe quel maillon de la chaine, et n’importe quel terminal relié au SI, les outils de défense traditionnels tels que les antivirus montrent leurs limites. Car ceux-ci détectent uniquement les logiciels malveillants préalablement identifiés dans leur base de données, et agissent en supprimant ou en mettant en quarantaine les fichiers portant la signature de malwares connus. Résultat : on estime que moins de la moitié des cyberattaques sont détectées par les antivirus traditionnels.

Une solution EDR – Endpoint Detection & Response – est alors préconisée, qui est capable de détecter les comportements suspects sur une machine, lever des alertes et enclencher des actions automatiques pour mitiger une attaque, voire la neutraliser. Autrefois réservées aux plus grosses entreprises, les protections EDR se démocratisent. On vous explique en quoi cela consiste, et pourquoi Scalair a fait le choix de la solution française HarfangLab pour son offre d’EDR managé.

Faire face à des menaces protéiformes et sophistiquées : la nécessité d’une sécurité multi-niveaux et multi-technologies

Pour détecter la présence d’un programme malveillant sur un ordinateur, un antivirus (aussi appelé EPP : Endpoint Protection Platform) s’appuie sur une base de signatures, régulièrement mise à jour par l’éditeur. C’est un premier niveau de protection, nécessaire pour endiguer les menaces les plus banales, celles qui visent la masse.

Toutefois, si des cybercriminels continuent à exploiter des malwares connus ou des variants facilement décelables, on assiste depuis plusieurs années au développement d’attaques plus sophistiquées, dont l’objectif est précisément de passer inaperçues, occasionnant des dommages toujours plus importants. C’est ainsi le cas des Advanced Persistent Threat (ou menace persistante avancée), un type de piratage de haut niveau, furtif et capable de se maintenir dans le SI pendant une longue période pour y agir sans se faire repérer.

De plus, un EPP (antivirus traditionnel) ne peut tracer les agissements d’un pirate sur une machine, ni fournir une visibilité globale à l’échelle d’un parc, rendant impossibles les investigations pour identifier le chemin d’infection et/ou le périmètre ayant été visé, les données compromises.

Une protection EDR combine plusieurs moteurs, certains basés sur des bases de signatures, d’autres sur l’intelligence artificielle, pour réaliser une analyse comportementale en temps réel.

Autrement dit, une protection EDR peut détecter les comportements anormaux et mouvements de l’attaquant sur un poste de travail ou serveur, dans le but de bloquer l’attaque avant qu’elle n’atteigne son objectif (exfiltration, modification, destruction, chiffrement de données…). Le cas échéant, la protection EDR vous alerte, réagit selon les politiques définies, par exemple en isolant la machine et en stoppant les processus. Si l’on se réfère au modèle de kill chain d’intrusion, qui détaille les différentes phases d’une cyberattaque, il s’agit de détecter l’attaque dès la phase de reconnaissance pour empêcher l’attaquant d’ailler plus loin : intrusion, armement via un virus ou ver, établissement d’une back door, exploitation…

Remédier et s’améliorer

Contrairement à un antivirus traditionnel, qui scanne le système à intervalle régulier et isole ou supprime les fichiers corrompus sans donner de détails sur les dégâts éventuels qui résultent de l’action des programmes malveillants avant leur détection, un EDR fournit quant à lui des informations précises sur le scénario de l’attaque, les mouvements du programme malveillant et leurs conséquences.

On peut ainsi retracer le vecteur de l’infection, le ou les programmes affectés, les process utilisés pour rebondir sur une autre machine et la corrompre. Autant d’informations précieuses pour prendre les bonnes mesures de remédiation (déclenchées automatiquement et/ou via une intervention humaine), circonscrire l’attaque, revenir à l’état initial le plus vite possible et en tirer d’utiles leçons pour améliorer la sécurité de son SI : cloisonnement, gestion des accès à privilèges…

Protection EDR, comment ça fonctionne ? Quel impact sur la performance ?

Concrètement, un agent est installé sur chaque machine, postes de travail et serveurs. Ces agents embarquent les moteurs de détection et permettent d’identifier et bloquer les attaques en agissant au plus près de la menace, au sein même du terminal. Les moteurs identifient les scénarii d’attaque connus et, grâce à l’intelligence artificielle, ils sont aussi capables de détecter de nouvelles formes d’attaque de manière proactive, grâce à des modèles prédictifs.

Une protection avancée, qui cependant n’est pas gourmande en ressources : déployé en 10 secondes, un agent consomme généralement moins de 1 % de CPU et moins de 100 Mo de RAM.

L’EDR remonte les évènements de sécurité au sein d’une console centralisée, grâce à laquelle un analyste peut qualifier les incidents en indiquant si ceux-ci ont pour origine une action légitime ou malveillante. Cette console permet de monitorer en temps réel le parc et de définir les politiques d’alerte et de remédiation.

Sur le principe, c’est assez simple. La valeur ajoutée des analystes SOC réside dans l’analyse et l’interprétation des alertes et informations remontées par l’EDR : il y a un process d’apprentissage par l’IA des comportements à considérer comme normaux selon les pratiques de votre organisation et les habilitations des utilisateurs concernés, qui permet de diminuer au fil du temps les faux positifs et d’améliorer l’efficacité de la protection. Ainsi, il peut être considéré comme légitime pour un utilisateur d’utiliser des scripts PowerShell, tandis que dans d’autres contextes, cette action pourrait être considérée comme un comportement suspect. Un apprentissage qui doit également avoir lieu pour les équipes qui auront à traiter les événements de sécurité.

Un EDR managé : déléguez à des experts l’analyse de vos alertes de sécurité

Le challenge, qui plus est dans les petites entreprises, est que les administrateurs du SI ne peuvent être à la fois concentrés sur le business et se former à la cybersécurité, ce qui demande une implication quotidienne. C’est pourquoi Scalair propose un EDR managé, basé sur le logiciel EDR français HarfangLab (voir encadré ci-dessous). C’est-à-dire que l’équipe SOC Scalair supervise tous vos événements de sécurité et vous fournit les premiers éléments de remédiation. Vous évitez ainsi de mobiliser des ressources internes, et vous bénéficiez du savoir-faire d’experts formés à détecter les menaces.

À la demande, l’équipe SOC de Scalair peut également procéder à des investigations plus poussées, ce que l’on appelle l’analyse forensique. Une analyse qui permet de comprendre dans le détail la mécanique d’une attaque, pour mieux se protéger, mais aussi pour se rassurer et éventuellement rassurer ses clients et partenaires après une attaque. Le cas échéant, s’il y a eu vol de données personnelles, l’incident doit être déclaré auprès de la CNIL.

Harfang, un outil made in France recommandé par l’ANSSI

HarfangLab est un outil développé par une équipe française, basée à Paris. Il s’agit du 1er (et unique) EDR certifié par l’ANSSI, qui salue sa robustesse et son efficacité. Outre la fierté de pouvoir travailler avec un acteur français internationalement reconnu dans son domaine d’expertise, il s’agit aussi de suivre une recommandation de l’ANSSI au sujet de l’adoption d’une stratégie de diversification des solutions de cybersécurité. Il est en effet déconseillé de « mettre tous ses oeufs dans le même panier » ; en adoptant des solutions « bundlisées », on prend le risque qu’une compromission de l’éditeur en question fasse tomber toutes les barrières de sécurité qui nous protègent.

HarfangLab, qui est aujourd’hui compatible avec Windows et Linux, revendique en 2022 plus de 500 000 endpoints protégés. Enfin, l’outil est évidemment conforme à la réglementation française et européenne en matière de protection des données : les clients conservent la propriété des données et peuvent ajuster leur architecture aux niveaux de confidentialité qu’exigent leurs activités.

HarfangLab s’intègre facilement avec les autres solutions de cybersécurité dont vous pourriez disposer et est membre du consortium OpenXDR (voir ci-dessous)

HarfangLab s’intègre facilement avec les autres solutions de cybersécurité dont vous pourriez disposer et est membre du consortium OpenXDR (voir ci-dessous)

EDR HarfangLab managé par Scalair : quels sont les services apportés ?

Scalair est aujourd’hui l’un des seuls managed security provider d’HarfangLab en France, habilité à revendre cette solution en mode SaaS (hébergée dans le Cloud) et à la manager pour le compte de ses clients. C’est ce qu’on appelle le Managed Detection & Response (MDR).

La facturation est fonction du nombre de machines à protéger. Elle inclut la licence de l’outil et du temps-homme de notre équipe SOC composée d’une dizaine de spécialistes en cybersécurité. Ainsi, vous bénéficiez d’une protection proactive contre les cybermenaces avancées, qui s’appuie à la fois sur l’intelligence artificielle de l’outil HarfangLab et sur l’expertise de nos ingénieurs en cybersécurité. L’offre est sans engagement de durée. Essayez sans crainte !

XDR : l’avenir de la cybersécurité passe par la coopération

Si l’association d’un antivirus et d’une protection EDR constitue une barrière efficace contre un grand nombre de cyberattaques, des outils complémentaires peuvent être déployés pour traiter des menaces plus spécifiques, notamment celles qui visent les smartphones (avec une solution telle que Pradeo) ou les messageries électroniques (Vade, qui est leader sur la protection d’Office 365).

Ces différentes briques peuvent être combinées pour adapter le niveau de sécurité à la criticité de vos activités et au budget dont vous disposez. Elles peuvent enfin être interconnectées et orchestrées par des outils type SIEM et SOAR (tels que sekoia.io), qui s’avèrent utiles pour éviter de multiplier les silos et les interfaces de gestion, et améliorer la supervision de la sécurité.

Les éditeurs cités en exemple, qui sont français, se sont d’ailleurs réunis au sein du projet européen Open XDR Platform pour mieux coopérer.

SIEM : Security Information Management System

SOAR : Security Orchestration Automation and Response

Partager

Dans la même catégorie

Sécurité

Privileged Access Management : votre Bastion as a Service par Scalair

Sécurité

Comment adapter sa politique de sécurité dans un workspace hybride

Sécurité

La sécurité des applications web : un enjeu majeur pour les entreprises

Sécurité

Comment sécuriser ses données dans Amazon web service ?