Stratégie cyber

Comment bien choisir un EDR : check-list des questions à se poser

Comment définir ses besoins en matière de sécurité ? Quel est le périmètre à protéger, et avec quel niveau de service ? Dans quels cas est-il pertinent d'externaliser la gestion d'un EDR ? Comment bien choisir une solution ou un service managé ?
7 min

Une chose est sûre, les RSSI sont les mieux placés pour définir une stratégie cyber et choisir les solutions pour la protection de leur SI. Ce sont eux qui maîtrisent le mieux le contexte, les besoins, et la maturité des équipes d'exploitation.
Néanmoins, ces décisions stratégiques pour l'organisation ne se prennent pas seul, et surtout, pour assurer l'efficacité du dispositif, il s'agit d'anticiper.
Pour vous aider, voici un guide sur les questions à aborder en amont du choix d'un EDR, accompagnées d’une liste des ressources à solliciter en interne pour assurer le déploiement d'une roadmap cyber dans les meilleures conditions. 

1. EDR : quelles sont les questions à se poser en phase de cadrage ?

  • A quel besoin l’EDR doit-il répondre, quels sont les risques qu’il doit couvrir, de quoi doit-il protéger ?
    • Assurer la disponibilité du SI de l'organisation qui pourrait être mis à mal par des attaques par ransomware ?
    • Assurer la protection des informations sensibles qui pourraient être dérobées par un attaquant ayant compromis un terminal ? 
    • Valider une assurance cyber ?

  • Quels scénarios d'attaque doivent être couverts ? 
  • Quels sont les retours d'expérience sur les incidents de sécurité passés ? 
  • Le SI a-t-il déjà une capacité de protection des endpoints (antivirus...), et à quel point permet-elle d'identifier des comportements malveillants et répondre aux incidents ? 
  • Y a-t-il déjà un SOC en place ?
    • Quelle est sa couverture de détection et ses capacités fonctionnelles ? 
  • Un accompagnement est-il nécessaire pour répondre à ces questions ? 

La réponse à ces interrogations permet de préparer les scénarios comparatifs en vue de choisir la solution adaptée pour renforcer un SOC le cas échéant. 
S'il n'est pas possible de réaliser une analyse préalable en interne pour répondre à ces questions, l'appui d'un professionnel qualifié se révèle nécessaire pour identifier la meilleure approche. 

Avec qui les Responsables Sécurité doivent en parler ?
Infra - DSI - Pairs - Consultants experts


2. Quel est le périmètre que l'EDR doit couvrir ?

Après la phase de définition des besoins et du contexte :

  • Quelle est la taille de l'infrastructure IT ? 
  • Combien de terminaux sont à protéger ?
  • L'équipe infrastructure a-t-elle les compétences et la bande passante pour déployer les agents sur le SI ?
  • Quels sont les OS à protéger ?
  • Quelle est la stratégie de gestion des OS obsolètes ?

Notez qu'il y a de fortes chances pour qu'un EDR ne puisse pas être déployé sur tous les OS obsolètes.
Ainsi, choisir un EDR, c'est l'occasion de faire le bilan d'un parc informatique et d'identifier les postes à décomissioner, ou nécessitant une protection accrue, dans le but d'améliorer la gestion des risques.

Avec qui les Responsables Sécurité doivent en parler ?
DSI - Infra 


3. Quelles sont les obligations auxquelles se conformer ?

Outre les besoins et les contraintes techniques, une organisation peut aussi être soumise à un certain nombre d’obligations légales et réglementaires qui peuvent orienter le choix d’une solution pour sa cybersécurité.
Se pose ainsi la question de savoir par quelles obligations l'organisation est-concernée, et quelles sont les implications.

  • RGPD
  • LPM 
  • HDS
  • NIS2 
  • PCI-DSS...

Avec qui les Responsables Sécurité doivent en parler ? 
CEO - Juridique - DSI - DPO - Métiers 


4. Question cruciale : internaliser ou externaliser ?

L’externalisation est la meilleure option pour les organisations dans ces cas de figure :

  • Equipe de taille réduite, voire une seule personne pour gérer le SI.
  • Pas d'expertise cyber en interne, et je pas de possibilité de recruter des profils analystes ou pouvant gérer un SOC à court terme. 
  • Budget est limité. 
  • Besoin de s’appuyer sur l’expérience d’un partenaire qui connaît le secteur d’activité de l’organisation.

Dans ce cas, avec qui les Responsables Sécurité doivent en parler ?
DSI - CEO - CFO 

Les organisations peuvent internaliser la gestion d’un EDR si elles ont : 

  • Les moyens de déployer un SOC / EDR et le gérer, voire c'est déjà le cas.
  • L'expertise en interne pour opérer un SOC. 
  • Les compétences en interne ou la possibilité de recruter à court terme.
  • Des contraintes légales ou réglementaires, ou liées à la stratégie globale d'acquisition

Dans ce cas, avec qui les Responsables Sécurité doivent en parler ?
CEO - DSI - CFO - RH 


5. Quel est le niveau de service requis ?

  • Une astreinte pour gérer seulement les alertes critiques, ou une astreinte externalisée ? 
  • Une capacité de supervision en heures ouvrées uniquement, ou en heures non ouvrées ? 
    • En heures non ouvrées, des astreintes sont-elles en place pour réagir en interne afin de traiter les incidents ? 
  • Local ou global ? 
  • Pour un service managé, quel est le périmètre de réponse à incident et le niveau de service attendu : 
    • Investigation et / ou réponse ? 
    • Quid de la possibilité de solliciter des compétences complémentaires en cas d'attaque (forensic, reverse...) ? 
  • Si une assurance cyber est souscrite, quelles sont les contraintes ?
    • Permet-elle de choisir n'importe quel prestataire ?
    • Et l'assurance prend-elle en charge la réponse, la restauration, la récupération ?  

Ces choix peuvent être orientés selon la capacité des équipes internes à être disponibles 24/7 ou non, et selon les ressources budgétaires. 
Evidemment, un service managé 24/7 coûte plus cher, mais ce budget est à mettre en perspective avec la bande passante de l'équipe et les risques contre lesquels l'organisation cherche à se prémunir. 
En outre, le choix du périmètre de réponse à incident dépend aussi des compétences et de la disponibilité des équipes si l'EDR est managé en interne. 

Avec qui les Responsables Sécurité doivent en parler ?
Si la gestion est internalisée : Experts cyber - DSI 
Si la gestion est externalisée : MSSP - CFO


6. Enfin, comment choisir la bonne solution ?

Si l’organisation gère l’EDR en interne

Le Responsable Sécurité peut s’appuyer sur les experts et analystes cyber en interne pour confirmer l'usabilité et la pertinence de l'EDR choisi.
Attention à réaliser cette consultation en amont pour assurer l'adhésion des équipes opérationnelles qui vont utiliser la console au quotidien.
Dans cette optique, voici les questions à poser à l’éditeur :  

  • Quelles sont ses références dans le secteur d’activité ? 
  • La solution donne-t-elle accès à l’ensemble des données brutes collectées par les agents ? 
  • Quels sont les résultats MITRE, les certifications ou évaluations
  • Quid de l’ouverture aux solutions tierces ? 
  • Comment contacter le service client si besoin ? 

Si l’organisation gère l’EDR en externe

L’appui d’un MSSP est la solution adéquate pour les entreprises qui n’ont pas l’expertise ou les ressources pour gérer un EDR ou un SOC en interne.
Notez que choisir un service managé, c’est choisir un partenaire qui propose un catalogue de solutions. Ainsi, forcer l'adoption d'une solution hors catalogue présente deux inconvénients : le budget peut être plus élevé, et les équipes du partenaire seront moins rodées à l'utilisation de cette solution. 
Dans cette optique, voici les questions à poser au partenaire : 

  • Quel est le niveau de service proposé ? 
  • Est-ce qu’il opère déjà la solution souhaitée si elle est déjà identifiée ? 
  • Quelle est son expertise sur le secteur d’activité de l’organisation ? 

Définition des besoins, périmètre, obligations, internalisation vs. externalisation, niveau de service, et enfin choix de l’outil... Vous avez maintenant les clés pour identifier la solution la mieux adaptée à vos besoins, en tenant compte de votre contexte. 

Vous avez besoin de creuser encore le sujet,
ou vous souhaitez en savoir plus sur nos offres ?

Contactez-nous !