Stratégie cyber

EDR On-Premises : guide pour choisir le bon outil

Un EDR On-Premises n’est pas toujours une option. Ce choix peut être orienté par des enjeux de confidentialité des données, voire contraint par des obligations légales ou réglementaires. Comment prendre une décision éclairée parmi les solutions du marché ?
8 min
On-Premises EDR - check list to choose a cybersecurity platform

Choisir un EDR On-Premises : entre enjeux stratégiques et obligations légales 

Une solution de cybersécurité On-Premises peut être requise pour : 

  • des questions de conformité avec certaines lois ou réglementations, 
  • des raisons liées à des enjeux stratégiques ou géopolitiques, et donc le besoin d’empêcher l’accès à des données sensibles, le vol de secrets industriels...  

En effet, lorsqu’elles sont traitées ou stockées dans un Cloud public, selon la législation en vigueur dans le pays dans le pays où sont hébergées ces données, et le pays dont provient la société opérant ce Cloud public, l’accès aux données peut être autorisé aux tiers ou aux autorités locales. 
Par exemple, le Foreign Intelligence Surveillance Act (FISA) ou encore le Clarifying Lawful Overseas Use of Data Act (CLOUD Act) permettent aux autorités américaines de récupérer des données par l’intermédiaire des grands acteurs du numérique, et la NSA peut réquisitionner les logiciels utilisés par des acteurs de marchés étrangers.  
La Chine dispose de législations similaires, notamment avec la Loi sur le renseignement de 2017. 

Ainsi, hors de ses propres frontières, une entreprise peut voir ses données exposées à des compétiteurs étrangers ou des États. 

La solution : protéger techniquement les données avec des outils souverains et On-Premises. 

C'est une option pour les organisations qui souhaitent garder une maîtrise totale de leurs données avec un traitement exclusivement en interne, et l'On-Prem peut même être obligatoire pour des questions légales ou réglementaires propres à certains secteurs sensibles (par exemple : défense, énergie, banque...) ou pour les Opérateurs d’Importance Vitale (OIV). 

En dehors des obligations légales et réglementaires, à quoi faut-il penser sur le plan technique ? 

 

Choisir un EDR On-Premises : les critères techniques 

Les solutions de cybersécurité offrant leurs services en Cloud (ou SaaS) peuvent également proposer une version On-Premises pour répondre aux besoins de confidentialité et de conformité des organisations sensibles.

Néanmoins, voici quelques questions à vous poser avant de choisir votre solution On-Prem : 

  • Les fonctionnalités sont-elles exactement identiques à la version Cloud ? 
  • Quelles sont les étapes du déploiement et les ressources à impliquer ?  
  • Combien faut-il déployer de composants ? 
  • La solution dans sa version On-Prem est-elle scalable ? 
  • Quelles sont les options de mise à jour pour la solution et pour la Threat Intelligence ?  
  • La solution est-elle vraiment On-Premises ou a-t-elle besoin de connexions - même limitées - vers l'extérieur pour fonctionner correctement ?  

Pour répondre à ces questions et vous assurer que l'outil que vous avez identifié correspond bien à vos contraintes et à vos besoins, vous pouvez challenger l’éditeur de la solution ou votre intégrateur. 

Et pour aller encore plus loin, voici une sélection de points clés à prendre en compte pour choisir votre EDR On-Premises. 

 

3 points clés pour choisir un EDR On-Premises 

Les capacités du produit  

Même On-Premises, un EDR doit rester un atout pour les analystes cyber. Pour une solution On-Premises, il convient donc de vérifier que les fonctionnalités répondent bien aux besoins des analystes, au même titre que dans la version Cloud.  
Notez que chez HarfangLab, il n’y a aucune vérification à faire dans ce sens puisque les fonctionnalités sont identiques entre les versions Cloud et On-Prem ! 

En outre, l’ouverture d’un EDR et la possibilité de passer par une API sont primordiales pour favoriser l'efficacité des analystes SOC qui peuvent ainsi intégrer la solution dans une infrastructure existante. 
Pour ce faire, Cloud ou On-Prem, la solution doit pouvoir s’interfacer aisément avec l’infrastructure et les outils déjà en place, et aider à analyser les données provenant de sources multiples (postes de travail, serveurs, réseau...). En effet, une architecture On-Premises comporte généralement des briques techniques spécifiques, ainsi, plus une solution est ouverte, plus l’intégration est simple. 

Enfin, en ce qui concerne les règles de détection, les formats standards tels que YARA et Sigma sont également un avantage pour les analystes car ils contribuent à une prise en main rapide de l’EDR. Par ailleurs, la transparence des règles de détection est un autre atout majeur pour comprendre l’origine des alertes et accélérer les investigations et la remédiation. 

Les tests pour évaluer un EDR 

Les évaluations MITRE ATT&CK permettent de mesurer les capacités de détection des solutions de cybersécurité.  
Bonne nouvelle : les résultats de ces tests sont aussi valables pour la version On-Prem d’HarfangLab étant donné que les fonctionnalités sont identiques à la version Cloud ! 


Le maintien en conditions opérationnelles (MCO) et de sécurité (MCS) 

Dans le cas d’un EDR On-Premises, la fréquence et le processus de mise à jour doivent être précisés avec l’éditeur ou le partenaire qui gère la solution, en vue de planifier les opérations de maintenance et les évolutions, et ainsi assurer une protection à jour et des règles de détection toujours adaptées au contexte cyber en transformation constante. 

Aussi, pour rester en phase avec les besoins des utilisateurs, la proximité, la réactivité et la qualité du support client jouent un rôle essentiel. En effet, les capacités d’écoute des besoins des utilisateurs et la réactivité sont primordiales pour assurer une maintenance optimale, et pour intégrer des évolutions en adéquation avec la réalité du terrain et des besoins. 

Pour vous rassurer sur ces aspects, les échanges avec les pairs, les retours d’expérience, ou encore les plateformes d’avis telles que Gartner Peer Insights permettent de prendre la température. 

Nos objectifs : simplification et qualité tout au long des phases MCO et MCS ! 

Les mises à jour sont délivrées régulièrement par HarfangLab suivant des processus stricts, avec des phases de test complètes et des garde-fous pour interrompre toute mise à jour qui ne se déroulerait pas correctement.  
Elles peuvent être réalisées à distance (lien de mise à jour à distance, Bastion, VPN, visioconférence...), ou de manière totalement isolée (intervention sur site ou en totale autonomie).  
En somme, la flexibilité du produit permet de garder la main pour choisir comment, quand et quoi mettre jour en toute autonomie ; et si le lien de maintenance à distance est activé, la mise à jour de la console peut être automatisée. 
Quant à la Threat Intelligence, elle est soit mise à jour en continu via un lien réseau dédié, soit mise à disposition sous la forme d'archives à importer dans la console pour les déploiements totalement isolés. 


L’impact de la solution 

Impact sur l’infrastructure 

L’impact sur l’infrastructure est un critère important : combien de serveurs (physiques ou virtuels) et quelles capacités (RAM, stockage) seront nécessaires ? 

Dans quelle mesure le déploiement est-il customisable pour répondre aux contraintes réseau, OS... en cas de besoin de durcissement dû à la politique de sécurité ? 

Aussi, vous devez vous assurer du niveau de disponibilité et de scalabilité de la solution On-Premises, et qu’elle peut supporter la charge selon le nombre d’endpoints. 
En outre, plus l’éditeur fournit une documentation précise afin d’estimer le stockage, la RAM ou encore la CPU nécessaires en fonction du nombre d’endpoints à protéger, mieux vous serez en mesure de maîtriser votre budget et d'anticiper les coûts liés à une évolution de votre infrastructure. 


Impact sur les endpoints 

Un EDR contribue à maintenir la productivité d’une organisation en protégeant les actifs informatiques, et il doit en même temps préserver la qualité de l’expérience utilisateur. Objectif : 0 friction ! 
A cette fin, l’impact sur les performances des endpoints doit évidemment être le plus faible possible, avec une consommation minime de RAM et de CPU que l’éditeur de la solution doit veiller à optimiser en continu. 

A l’aide de tous ces critères, techniques, fonctionnels, opérationnels... Vous avez maintenant les clés pour identifier la solution la mieux adaptée à vos besoins et protéger votre parc informatique ! 

 

A présent, vous vous demandez comment se passent  
le déploiement et l’utilisation d’HarfangLab On-Premises en pratique ?  
Découvrez ce retour d’expérience dans l’industrie de la défense :

Industrie de la défense : lire l'étude de cas
Plus d'articles
Veepee
Stratégie cyber

Antonin Garcia, RSSI : "Face aux cybermenaces, l'EDR est essentiel."

Choix stratégiques, budget, recrutement : Antonin Garcia, RSSI chez Veepee, partage avec nous sa vision de la cybersécurité.

7 min
EDR – XDR – MDR _ LES CLÉS POUR VOUS Y RETROUVER
Stratégie cyber

EDR - XDR - MDR : les clés pour vous y retrouver

EDR, XDR ou MDR : les clés pour faire la différence, et pour savoir à quels besoins ces solutions répondent…

3 min
Cybersecurity - Healthcare
Stratégie cyber

La cybersécurité dans les établissements de santé

Quelles sont les menaces cyber qui pèsent sur le secteur de la santé ? Quels défis doivent relever les établissements…

8 min
Cybersecurity: Best-of-breed vs. All-in-one tool
Stratégie cyber

Cybersécurité : pourquoi privilégier une approche Best-of-Breed ?

Pour protéger les postes de travail et les serveurs d’un parc informatique, une solution de cybersécurité “tout-en-un" (All-in-One) peut sembler…

6 min