Étude de cas Cyber
Institution publique

C’est une institution publique placée sous l’autorité de la secrétaire générale du Gouvernement. Etant donné la sensibilité des données traitées et les besoins des utilisateurs du système d’information, la qualité du bouclier cyber doit être optimale.

L’institution publique était déjà équipée d’antivirus, mais pour faire face aux risques de ransomware, de vol de données et d’espionnage, elle souhaitait améliorer sa posture de sécurité en intégrant un EDR à son arsenal.

“Un EDR nous donne la meilleure visibilité sur les endpoints en temps réel. Il nous fait gagner beaucoup de temps pour investiguer et répondre aux incidents grâce à la télémétrie et la possibilité de lancer des jobs. C’est une couche de protection essentielle, surtout pour la détection des comportements suspects.” 

Analyste sécurité opérationnelle

“La certification et la qualification de l’ANSSI sont des marques de qualité, et HarfangLab répond à nos besoins tant sur le plan des performances que sur l’impératif de souveraineté.

Autre point fort : la plateforme peut être déployée On-Premises avec les mêmes fonctionnalités que dans la version cloud, et le déploiement On-Prem était aussi l’un de nos impératifs techniques.

Pendant la phase de test, nous avons été amenés à évaluer d’autres solutions, mais HarfangLab est nettement ressorti du lot avec ses règles accessibles et transparentes, et la richesse de sa télémétrie.”

Analyste sécurité opérationnelle

Le déploiement du manager s’est déroulé sur une journée par les équipes d’HarfangLab qui se sont rendues sur site.

Les équipes de sécurité ont poursuivi le déploiement de la plateforme sur tout le parc en procédant par vagues sur plusieurs mois – les environnements sensibles demandant une attention plus particulière et des tests poussés en préproduction avant de passer en production. Dorénavant, dès qu’un nouvel environnement est ajouté, il est automatiquement protégé par l’EDR.

“Le déploiement a été très fluide. Un conseil pour que tout se passe au mieux : le bon dimensionnement des clusters est important !

Depuis que la plateforme est en place, nous gérons les mises à jour en interne. Notre CSM nous prévient, nous téléchargeons l’image et nous l’installons sur le manager. Une ligne de commande suffit, le processus est très simple.”

Analyste sécurité opérationnelle

L’équipe sécurité fait ponctuellement appel au support, par exemple pour des questions de configuration.

“Le support est toujours très réactif, les réponses sont rapides et de qualité. C’est aussi un des points forts d’HarfangLab par rapport à d’autres solutions.”

Analyste sécurité opérationnelle

Les équipes sécurité sont beaucoup plus agiles dans la gestion de la réponse aux incidents depuis le déploiement d’HarfangLab. 

L’accès aux données et les jobs d’investigation permettent de lever les doutes plus rapidement, et la télémétrie peut être corrélée avec les données d’autres outils – antivirus, sondes réseau... 

“Au-delà du temps que nous fait gagner HarfangLab, nous avons aussi amélioré la qualité des données pour investiguer et remédier aux menaces. Les informations sont plus précises, nous pouvons ainsi qualifier les incidents plus vite et mieux.

La plateforme nous donne accès aux logs, processus et artefacts sur les endpoints, et la télémétrie permet de consulter l’historique des événements. Toutes ces données sont cruciales pour un travail d'analyse pertinent, rapide et fluide, et elles nous permettent aussi de tirer les enseignements qui nous aident à améliorer notre posture de sécurité dans la durée.”

Analyste sécurité opérationnelle

Par ailleurs, le déploiement de l’EDR a été l’occasion de sensibiliser l’ensemble des utilisateurs du système d’information, notamment les équipes support qui savent qu’ils peuvent compter sur l’équipe de sécurité pour les aider à investiguer. En effet, en cas d’anomalie ou d’incident, les logs de l’EDR permettent d’identifier précisément s'il s'agit d'un problème purement technique ou s’il y a un risque pour la sécurité.

“Les équipes support viennent maintenant spontanément vers nous pour lever des doutes. C’est valorisant pour l’équipe de sécurité, et c’est aussi une preuve que le rôle de l’équipe comme de l’EDR sont bien compris et reconnus en interne.”

Analyste sécurité opérationnelle