8min

Cloud, On-Premises, Air-gapped : l’impact d’une infrastructure sur le choix d’une solution de cybersécurité

Le choix des outils de cybersécurité tel qu’un EDR doit être cohérent par rapport au contexte technique, selon qu’une infrastructure IT est ouverte, ou au contraire s'il faut la rendre hermétique aux connexions extérieures. Voici ce qu’il faut savoir pour choisir une solution adaptée aux infrastructures en Cloud public, en On-Premises, ou Air-gapped.
Cybersecurity - Workspace Security Platform

3 points à challenger pour choisir le bon EDR 

Les capacités du produit : détection, protection et ouverture 

Cloud ou On-Premises, un EDR doit être évalué sur ses capacités de détection et de protection. Son rôle est de faciliter le travail des analystes pour mener des investigations et remédier aux menaces le cas échéant. A cette fin, les évaluations MITRE ATT&CK permettent de considérer les capacités des solutions de cybersécurité du marché, en vue de procéder à une sélection d’outils et réaliser des tests sur le terrain. A noter : les évaluations MITRE portent sur les versions Cloud des solutions, et tous les éditeurs ne proposent pas exactement les mêmes fonctionnalités On-Premises. En revanche, comme nous le verrons plus loin, HarfangLab est à iso-périmètre quel que soit le mode de déploiement. 

Autre point important à prendre en compte : l’ouverture de la solution. En effet, la possibilité de connecter l’EDR à d’autres outils de sécurité et de passer par une API est essentielle pour une intégration facile avec l’écosystème existant. C’est d’autant plus vrai pour les architectures On-Premises ou Air-gapped qui sont souvent composées de briques techniques propres à l'infrastructure. 

Enfin, l’ouverture se traduit aussi par le fait de prévoir des formats de règles de détection standards tels que YARA et Sigma, ce qui rend la prise en main plus rapide. L’EDR d’Harfanglab donne notamment un accès complet aux règles de détection afin de comprendre l’origine des alertes et accélérer les investigations et la remédiation. 

 

MCO et MCS : le maintien en conditions opérationnelles et de sécurité  

Pour répondre aux besoins des utilisateurs et faire face à un paysage de la menace qui évolue en continu, une solution de cybersécurité doit mettre régulièrement à jour ses fonctionnalités et ses règles de détection en version Cloud comme On-Premises.  

Dans cette perspective, la réactivité et la proximité avec les clients sont essentielle en vue d’assurer une maintenance optimale et des évolutions régulières en phase avec les besoins des utilisateurs. Particulièrement pour une solution On-Premises, l’éditeur doit prévoir des options de mise à jour adaptées aux prérequis des utilisateurs : à distance ou sur site. 


L’impact de la solution 

Un outil de sécurité joue un rôle clé dans la protection des ressources informatiques d’une organisation et il contribue ainsi à la continuité de l'activité. Dans cette logique, il doit garantir une expérience utilisateur fluide, sans dégrader les performances des équipements qu'il protège. Pour cela, son impact sur les ressources système, comme la mémoire vive et le processeur, doit rester minimal. 

Idem pour l’impact sur l’infrastructure : il est important de vérifier en amont, par exemple, le nombre de machine virtuelles ou encore les capacités (RAM, stockage...) nécessaires, si la solution est scalable et sous quelles conditions... 

Maintenant que nous avons vu les points clés pour évaluer la pertinence d'une solution de cybersécurité, abordons les critères qui peuvent orienter le choix d’un EDR Cloud ou On-Prem selon l’architecture déjà en place.  


Infrastructure Cloud, On-Prem ou Air-gapped : quel EDR faut-il ? 

EDR en Cloud 

  • Pour qui ?  
    La version Cloud d’un EDR répond parfaitement aux besoins des infrastructures totalement ou partiellement en Cloud aussi, et qui n’ont pas de contraintes réglementaires sur la sécurisation des données.

  • Les avantages 
    Un EDR en Cloud ne nécessite pas de ressources en interne pour le déploiement d’une infrastructure spécifique, ni pour le monitoring technique de la solution.  
    Ainsi, c’est une option qui convient pour les structures qui ne souhaitent pas ou ne peuvent pas monitorer les aspects techniques de leur solution de cybersécurité, et qui veulent par ailleurs profiter des mises à jour en temps réel.

  • Ce qu’il faut savoir 
    Dans certains cas, les données peuvent être hébergées chez des fournisseurs tiers, ce qui peut soulever des questions de maîtrise et de confidentialité des données que nous allons aborder dans la partie suivante.  
    A ce sujet, notez qu’HarfangLab est une solution souveraine qui héberge toutes ses données en Europe et qui s’appuie sur un hébergeur français, proposant des offres SecNumCloud et HDS (Hébergeurs de Données de Santé). 
     

EDR On-Premises  

  • Pour qui ?  
    Un EDR On-Premises est adapté pour les entreprises et les organisations dont l’infrastructure est aussi On-Premises voire Air-gapped, afin de garantir la maîtrise et la confidentialité totale des données de bout en bout. 

  • Les avantages 
    Un EDR On-Premises permet de conserver les actifs informatiques et les données en environnement fermé, pour des raisons stratégiques ou pour être en conformité avec des obligations légales ou réglementaires.  

  • Ce qu’il faut savoir 
    Pour être réellement On-Premises, un EDR ne doit avoir aucune dépendance avec des solutions tierces ou en Cloud. C’est un point important à vérifier avant de vous équiper ! 
    Aussi, avant de vous engager, posez à l’éditeur ou à votre intégrateur toutes les questions qui vous permettront de valider que la solution offre les meilleures conditions de travail possibles aux analystes, sur le déploiement, la maintenance et les mises à jour, le support client...

Pour finir, entrons dans les détails à propos de l’EDR On-Premises : à quels besoins il répond, et ce qu’il faut anticiper. 

 

EDR On-Premises : une réponse aux contraintes techniques et réglementaires 

Dans certains cas, un EDR On-Premises (en Cloud privé, voire Air-gapped) peut être indispensable. Comme évoqué plus tôt, il vise notamment à : 

  • se conformer à des exigences légales et réglementaires, 
  • répondre à des enjeux stratégiques et de souveraineté, par exemple pour empêcher l’accès à des données sensibles, ou pour limiter les risques de fuite ou de vol de ces données. 
     

Les enjeux de souveraineté et de confidentialité des données 

En effet, lorsqu’elles sont hébergées dans un Cloud public, les données peuvent être soumises aux lois en vigueur dans le pays du fournisseur de service.  
Par exemple, certaines législations comme le FISA et le CLOUD Act aux États-Unis permettent aux autorités d’accéder aux informations stockées par des entreprises américaines ou opérant sur son territoire. La Chine impose des conditions similaires avec sa loi sur le renseignement adoptée en 2017. 

Ainsi, les organisations opérant à l’international peuvent voir leurs données exposées à des risques d’ingérence étrangère, que ce soit de la part d’États ou de concurrents industriels. 

Dans ce contexte, les solutions On-Premises, hébergées et gérées en interne, assurent une maîtrise et une protection totales des données. 
Cette approche est parfois imposée, notamment dans des secteurs critiques comme la défense, l’énergie, ou encore le secteur bancaire, ou pour les Opérateurs d’Importance Vitale (OIV). 
 
Alors, pour un EDR On-Premises, quels sont les critères techniques spécifiques à considérer ? 

 

Les questions techniques à se poser pour un EDR On-Premises 

Pour répondre aux exigences des organisations sensibles ou critiques, voici quelques aspects techniques à anticiper : 

  • La version On-Premises offre-t-elle les mêmes fonctionnalités que la version Cloud ? 
  • Quelles sont les ressources humaines et techniques requises pour le déploiement et la maintenance ? Combien de composants faut-il déployer ? 
  • La solution est-elle évolutive pour s’adapter aux besoins futurs ? Com
  • ment les mises à jour, notamment pour la Threat Intelligence, sont-elles gérées ? 
  • La solution est-elle totalement indépendante d’un Cloud public ou conserve-t-elle certaines dépendances externes ? 

Les réponses à ces questions peuvent être déterminantes pour choisir un EDR On-Premises réellement adapté aux impératifs de sécurité et de confidentialité des données, et en adéquation avec vos prérequis techniques. 

 

Quid d’HarfangLab On-Premises ? 

Cloud ou On-Prem, HarfangLab propose les mêmes fonctionnalités entre les deux versions. 
La version On-Premises embarque toute l’intelligence directement dans les agents, autrement dit, la solution ne dépend d’aucun service tiers et peut ainsi fonctionner et offrir le même niveau de protection en environnement totalement fermé. 

Les mises à jour de versions de la solution et des règles de détection se font sans redémarrage des machines, et pour la version On-Premises, différentes options sont prévues : à distance ou par intervention sur site, pour s’adapter totalement aux prérequis de chaque organisation, même Air-gapped. 
 

Vous souhaitez en savoir plus sur le fonctionnement d’HarfangLab On-Premises ?
Découvrez le retour d’expérience de ce grand groupe industriel :


Lire l'étude de cas

Plus d'articles

Cybersecurity experts

Pourquoi les organisations devraient s’intéresser au TDIR ?

Le TDIR (Threat Detection Investigation Response) propose une nouvelle approche pour améliorer la capacité d’analyse et d’action des SOC Managers.

En savoir plus
5min
Méthodologie
Cyber Resilience

La cyber résilience en 7 points clés

Dans un paysage en évolution perpétuelle et plein de défis, la cyber résilience permet de mieux s'adapter à la nature…

En savoir plus
8min
Méthodologie
Organise cybersecurity crisis exercises

Pourquoi mener des exercices de crise cyber?

En tant que RSSI ou SOC Manager, vous êtes convaincus de l’intérêt des exercices de crise, mais ce n’est pas…

En savoir plus
8min
Méthodologie
Cybersecurity Metrics

Métriques clés pour évaluer les performances d’un EDR

Vous souhaitez évaluer les performances d'un EDR, mais vous ne savez pas exactement ce qu'il faut mesurer ? Voici une…

En savoir plus
4min
Méthodologie