Étude de cas Cyber
Département

Le Département était équipé d'un EDR depuis plusieurs années, co-géré avec son partenaire Nomios, et la collectivité souhaitait étendre la protection aux postes dans les collèges avec un EPP.

“Un EDR est indispensable pour un département. Nous assurons entre autres la gestion des collèges, des routes départementales, des musées mais aussi le versement de prestations sociales indispensables à la vie de nos habitants... Nous traitons donc des données sensibles, et pour des attaquants étrangers, nous représentons l’Etat sans trop de distinction en termes administratifs. Un département peut ainsi être visé par du vol de données, des ransomwares, ou par des tentatives de perturbations du fonctionnement par divers moyens comme ce fut le cas lors d’événements culturels et sportifs d’envergure nationale. Les départements se sont vu confier la responsabilité des antivirus dans les collèges, auparavant assurée par un contrat Education Nationale, je souhaitais équiper les postes de l’EPP HarfangLab.”
Responsable Infrastructures et Sécurité du Département

Le département avait besoin d’une solution offrant une grande souplesse autant à travers ses offres que ses technologies.

En effet, l’objectif était en un premier temps de déployer l’EPP sur les postes de travail des collèges tout en conservant l’EDR déjà en place dans la collectivité ; puis de migrer à terme vers un bundle EDR + EPP pour tous les serveurs et les postes de travail administratifs des collèges et du Département.

“Dans la cellule cybersécurité que je pilote, tous les membres étaient unanimes : nous voulions HarfangLab ! Trois facteurs étaient décisifs pour nous : la souplesse de la solution et la simplicité de son interface même si les fonctionnalités sont très nombreuses, la qualité de la R&D et le fait que le produit évolue très vite tout en restant léger, et la souveraineté. HarfangLab est une plateforme qui s’inscrit activement dans un écosystème cyber européen en cours de construction, et c’est un signal postitif.”
Responsable Infrastructures et Sécurité du Département

Le département a commencé par déployer l’EPP dans le cadre d’un POC grandeur nature dans les collèges. Le Responsable Infrastructures et Sécurité du Département salue un déploiement fluide via des outils de déploiement classiques, conseillé par les équipes de Nomios, et achevé plus tôt que prévu.

Seulement 2 personnes en interne ont été mobilisées sur 3 semaines entre la désinstallation de l’ancien antivirus et le déploiement de l’EPP d'HarfangLab.

A la suite du déploiement de l’EPP, le Département a commencé à remplacer son EDR actuel par HarfangLab pour profiter des avantages d’une console unique et de la possibilité de corréler encore plus facilement les données entre EDR et EPP.

Nomios assure la co-gestion du SOC en partenariat avec le département et fait le lien avec les équipes support d’HarfangLab en cas de besoin.

“Nous sollicitons le support via notre partenaire pour poser des questions et affiner le paramétrage plus que pour résoudre des problèmes. Le lien de proximité entre HarfangLab et ses partenaires fait que la mécanique et bien huilée pour une réactivité optimale, et en toute transparence pour moi. Je sais aussi que pour des sujets qui nécessitent l’expertise d’HarfangLab, j’ai toujours un point de contact privilégié que je peux solliciter le cas échéant.”
Responsable Infrastructures et Sécurité du Département

“Depuis le déploiement de l’EPP d’HarfangLab, nous avons beaucoup plus d’alertes... parce que la solution détecte plus d’incidents que notre antivirus précédent. Mieux vaut avoir plus d’alertes que pas assez, et ces alertes peuvent être ajustées très facilement en fine-tunant la plateforme.
La console est très pratique et les informations faciles à trouver, les équipes s’y connectent quotidiennement.

Par ailleurs, la télémétrie remontée par l’EDR d’HarfangLab est très riche, et nous sommes confiants en ce qui concerne nos capacités à mener des investigations poussées en cas d’incident ou de crise.

La plateforme permet en outre aux équipes de sécurité du Département de collecter énormément d’informations, comme par exemple les requêtes DNS envoyées par les postes de travail. En suivre l’activité des postes de travail est indispensable pour identifier les comportements suspects ou mener des enquêtes forensique à la suite d’un incident de sécurité !

HarfangLab va bien plus loin que d’autres EDR et permet une visibilité complète de l’activité des équipements informatiques, c’est pourquoi nous souhaitons finir de déployer l’EDR sur tout notre parc le plus vite possible !”
Responsable Infrastructures et Sécurité du Département

Dans cette perspective, l’EDR d’HarfangLab est déployé par vagues en remplacement de l’EDR précédent, en commençant par les postes de travail de l’administration du collège, puis les serveurs de test du département. L’EDR est implémenté d'abord sans activer le mode blocage, et après une phase de tests sur un maximum de versions des différents systèmes d’exploitation et d’ajustement des règles, le mode blocage est activé et l’ancienne solution décommissionnée. Le projet de migration s’étale sur une période totale d’environ 6 mois.

“Le déploiement est aussi simple quel que soit l’OS. Nous commençons par les postes de travail, puis les serveurs de test pour finir par les serveurs de production. Toutes les équipes sont très contentes. Souplesse, déploiement facile, simplicité d’usage et richesse des données : aucun doute, nous avons fait le bon choix !”
Responsable Infrastructures et Sécurité du Département