L'EDR-as-a-Service, pour augmenter la puissance de l'EDR

mySOC & Security-as-a-Service
L'EDR-as-a-Service, pour augmenter la puissance de l'EDR
Le Endpoint Detection & Response (EDR) devient incontournable pour la protection des terminaux (qu’il s’agisse de postes de travail, de serveurs, de mobiles ou encore de tablettes) face aux menaces et aux cyber-attaques. Mais comment s’assurer d’utiliser au mieux cette solution puissante qui remonte un volume important d’informations ?
 
 

L’EDR nécessite un suivi adapté

Les nombreux logiciels du marché de l’EDR rivalisent de puissance : ils génèrent de nombreuses alertes et nécessitent de mettre en place des politiques de sécurité efficaces, notamment pour gérer les faux positifs. Nous avons en effet mesuré un taux de faux positifs à l’installation très variable, de l’ordre de 20% à  90%. Les premières semaines d’utilisation de l’EDR permettent de réduire considérablement ces taux grâce à un apprentissage du contexte mais aussi à la mise en place d’exclusions sur des applicatifs métiers par exemple. Après la phase de paramétrage, il est possible de descendre sous la barre des 4 % de faux positifs.
 
D’après notre expérience, la présence d’un antivirus nouvelle génération (NGAV) peut aussi fortement impacter le nombre d’alertes, la configuration de l’outil et son niveau de sensibilité. Le volume d’alertes et la philosophie de l’outil, plus proche du SIEM pour endpoints que de l’antivirus, exigent donc un suivi adapté. Celui-ci doit être effectué par des ressources compétentes, formées aux solutions en place et aux bonnes pratiques d’analyse de sécurité.
 
 

La reméditation, c’est pas automatique

La promesse de remédiation (ou response) portée par le R d’EDR est séduisante mais n’a rien d’une formule magique. Cette dimension permet bien sûr de gagner en réactivité mais une prise de décision humaine reste nécessaire au vu des impacts potentiels. C’est d’ailleurs pour cette même raison qu’une automatisation complète de la réponse n’est pas souhaitable même si elle reste techniquement possible.
 
Alors comment renforcer votre capacité de réaction dans ces conditions ? En premier lieu, nous vous recommandons de bien distinguer les actifs critiques des autres pour savoir sur quel périmètre la réaction doit être maîtrisée de A à Z (et ne pourra donc probablement pas être automatisée). Nous vous invitons également à prendre en compte la plage horaire et le niveau de priorité des alertes.
 
Une fois ces éléments clarifiés, vous disposerez d’hypothèses qui vous aideront à définir précisément les politiques de réponse lors de la phase de mise en place de l’outil. Dans le cas d’un EDR déployé en urgence à l’occasion d’une crise, cette définition devra impérativement être révisée à l’issue de celle-ci. Pour réaliser ce travail comme à chaque étape d’un projet d’EDR, il peut être plus confortable de s’appuyer sur un tiers de confiance spécialisé.
 
 

Déléguer la gestion avec l’EDR-as-a-Service

Un spécialiste comme Advens peut ainsi vous accompagner dans le choix, la mise en œuvre puis la gestion quotidienne de votre EDR grâce à une offre "EDR-as-a-Service".
 
Il nous semble clé de pouvoir s'appuyer sur plusieurs partenaires technologies, pour choisir l'éditeur dont la solution sera la plus pertinente face à un contecte et un SI donné. Nos retours d'expérience et les services gérés pour nos clients nous ont mené à travailler avec les quatre éditeurs ci-dessous :
  • Cybereason : ce pure-player de l’EDR a enrichi son offre pour y intégrer des fonctions d’antivirus; son interface ultra-ergonomique, pensée pour lutter contre la cyber-fatigue, est appréciée des analystes;
  • SentinelOne : sa plateforme Singularity se déploie très rapidement, ce qui est précieux en cas d’attaque, pour gagner en visibilité sur les actifs impactés. L'éditeur se distingue aussi par ses capacités de restauration des fichiers et la très fine granularité de sa configuration.
  • Microsoft Defender for Endpoint : cette suite logicielle comprend un EDR et s’avère très pertinente dans les environnements récents. Elle comporte également une dimension cloud Azure avancée.
  • Harfang Lab : cette startup française propose un EDR souverain certifié par l’ANSSI.
 
Au-delà d'une équipe capable de gérer l'outil et d'en traiter les alertes, il est précieux de se doter d'un CSIRT, capable de réagir en cas d'alertes critiques et d'attaques avérées. Advens a fait le choix de rassembler ces compétences et ces technologies au sein d'un service totalement intégré d'EDR-as-a-Service. Au terme du mois de mise en place de la solution, votre organisation bénéficie de toute la visibilité et la capacité d’action de l’EDR, et de notre accompagnement dans la durée. En définitive, choisir cette formule d’EDR managé permet de rentabiliser l'investissement logiciel en confiant sa gestion à des spécialistes.
 
 
Benjamin Leroux, Innovation & Marketing, Advens