Stratégie cyber

Cybersécurité : pourquoi privilégier une approche Best-of-Breed ?

Pour protéger les postes de travail et les serveurs d’un parc informatique, une solution de cybersécurité “tout-en-un" (All-in-One) peut sembler séduisante. L’idée de s’appuyer sur un seul outil rassure au premier abord.
6 min

Un outil de sécurité tout en un peut-il répondre correctement à tous vos besoins, avec le niveau de personnalisation qui correspond réellement à votre contexte cyber et à vos process existants ? 

Voyons pourquoi, malgré la simplicité affichée du All-in-One, certains RSSI ne jurent que par le Best-of-Breed, c’est-à-dire des solutions spécialisées, et explorons en détails les avantages que ce principe implique chez HarfangLab. 

Une R&D concentrée sur une expertise cyber ciblée 

Un éditeur spécialisé se dédie dans la durée à son cœur d’expertise, plutôt que de se disperser au gré des tendances sur ce qui a des chances de mieux se vendre. 

Pour un EDR par exemple, c’est la garantie de profiter d’innovations et d’évolutions régulières pour toujours mieux protéger vos endpoints, plutôt que de voir cet aspect délaissé au profit de nouveautés qui ne sont pas toujours en phase avec vos besoins immédiats. 

Concrètement chez HarfangLab, le travail des équipes techniques aboutit à une release mensuelle, autant pour intégrer de nouvelles fonctionnalités que pour améliorer l’existant et toujours mieux protéger les terminaux. 

Priorité à la transparence et à l’exhaustivité des données pour faciliter le travail des analystes  

“Une solution tout-en-un facilite l’exploitation des informations puisque tout est rassemblé sur un seul outil.”  
On ne peut pas dire le contraire sur le principe, mais quelles sont les données accessibles en pratique ? Sont-elles toutes disponibles et exploitables facilement ?  

Le rôle d’un éditeur de solution de cybersécurité est de faciliter le travail des analystes au quotidien, pour du monitoring, comme pour investiguer en cas d’incident. Il s’agit autant de protéger un SI que de renforcer la connaissance du contexte cyber et la capacité à anticiper et réagir face aux menaces.  

C’est pourquoi notre EDR donne accès à 100% des données et des règles de détection, ce qui aide à catégoriser et prioriser les événements de sécurité, et investiguer plus rapidement en cas d’incident.  

Ces données sont aussi cruciales pour faire évoluer une roadmap en fonction de la connaissance du contexte cyber d’une organisation. 

Pour toutes ces raisons, l’exhaustivité et la transparence doivent être des critères prioritaires par rapport à la centralisation.  
 

Permettre aux experts cyber de choisir l’environnement dans lequel opérer leur EDR 

Nous évoquions notre rôle de facilitateur pour les experts cyber, et cela se traduit en outre par la présence des nombreux connecteurs à disposition sur notre plateforme, qui peut se piloter 100% par API. 

D’une part, HarfangLab est intrinsèquement conçu pour se connecter à d’autres solutions.   

D’autre part, le fait qu’HarfangLab puisse être totalement piloté par API permet aux experts de choisir l’environnement à partir duquel manager leur EDR.  
C’est ainsi leur donner entièrement la main pour profiter d’une capacité de détection et de remédiation optimales, dans les conditions qu’ils définissent et qui leur conviennent, en limitant l’impact du déploiement de l’EDR sur les process internes déjà en place. 

Et nous ne pensons pas seulement aux analystes, nous pensons aussi aux équipes métiers ! 

Préserver la productivité des équipes métiers  

“Je ne veux pas ajouter quoi que ce soit qui risque de ralentir mes machines.”  
C’est une idée reçue que nous rencontrons souvent chez nos prospects, or la productivité est une priorité pour nous aussi !  

Objectif : protection maximale du SI, et impact minimal sur les endpoints.  
C’est pourquoi, nous veillons à la performance de nos agents comme de nos modèles d’IA, que nous optimisons en continu.  

Nos agents consomment en moyenne autour de 130Mo de RAM, 0,5% de CPU. Côté IA, nous faisons tourner des algorithmes de deep learning qui pèsent moins de 5MB. Pour que sécurité rime avec expérience utilisateur ! 

Notre EDR est ainsi totalement transparent pour les utilisateurs du SI, même au moment des mises à jour qui ne nécessitent aucun redémarrage.  

Garantir l’indépendance des RSSI et la maîtrise de leur budget à long terme 

L’ANSSI recommande de consacrer au moins 5 % du budget informatique à la cybersécurité. Evidemment, il doit être utilisé au mieux, et dans ce sens, une solution tout-en-un peut être tentante pour rationaliser les coûts. 

C’est à double tranchant. Un éditeur de solution tout-en-un peut faire une offre intéressante lors de la première souscription, proposer des offres complémentaires sous forme de bundles, et augmenter ensuite ses prix au moment du renouvellement. 
A terme, plutôt que de se lancer dans un chantier colossal pour redéployer une stack de sécurité complète, les clients préfèreront alors renouveler leur engagement avec ce même éditeur… malgré une augmentation drastique des prix. 

Ainsi, choisir une solution spécialisée, c’est l’assurance de rester indépendant pour composer sa propre stack cyber, et choisir les briques réellement nécessaires en toute autonomie, sans surprise en termes de budget. 

Pour conclure, comme nous parlions en introduction des RSSI qui ne jurent que par le Best-of-Breed, voyons pourquoi cette approche est aussi plébiscitée par le réseau de partenaires qui nous font confiance pour protéger le SI de leurs propres clients.  

La validation d’un réseau de partenaires de confiance 

Un partenaire, ou MSSP, identifie les meilleurs outils pour protéger un SI. Ses experts bénéficient de formations avancées sur les différentes solutions qu’ils recommandent et qu’ils opèrent, et ils assurent le traitement et l’analyse des données pour le compte de leurs clients.  

HarfangLab est ainsi distribué via un réseau de partenaires reconnus et de confiance, qui proposent en outre des offres packagées. Ainsi, tout reste simple pour les organisations qui souhaitent protéger au mieux leur infrastructure en externalisant la gestion des outils de cybersécurité ! 

Plus précisément, vous vous demandez concrètement quels sont
les avantages d’un MSSP pour opérer un EDR ? On vous explique :