Étude de cas Cyber
Proton

Proton est un acteur mondial de référence qui offre une suite complète de services numériques sécurisés, chiffrés de bout en bout. Visée par des attaques aussi diverses que sophistiquées, l'entreprise investit depuis sa création dans sa propre cybersécurité et adhère à des standards de sécurité stricts, aussi bien via des politiques internes qu'externes (RGPD, HIPAA, audits indépendants tels que ISO 27001 et SOC 2). Elle a décidé de surveiller les activités sur ses postes de travail avec l'EDR d’HarfangLab.

Proton Cyber Case Study

Contexte

Proton a démarré son activité en 2014 avec la création de Proton Mail. La protection de la vie privée et le chiffrement de bout en bout sont au centre des produits développés par la firme mondiale ayant son siège en Suisse.

Après un service e-mail chiffré de bout-en-bout, Proton a développé tout un écosystème de produits, du VPN à la suite collaborative.

“Chez Proton, notre objectif initial est de rendre le chiffrement accessible à tous en permettant de partager des informations sensibles de façon sécurisée. Nous accompagnons des millions d'utilisateurs et entreprises du monde entier, dont des profils à haut risque. De ce fait, Proton peut être visée par des menaces cyber habituelles pour n’importe quelle entreprise tech, mais aussi par des attaques avancées menées par des organisations qui disposent de ressources importantes pour mener ces attaques.”

Patricia Egger, Head of Security

En tant qu’acteur majeur de la confidentialité, Proton est régulièrement visé par des attaques de type DDoS sophistiquées. L’entreprise est également menacée par des malwares, infostealers, keyloggers... par l'intermédiaire desquels les attaquants peuvent tenter de dérober des informations internes ou des identifiants des employés.

L’objectif était donc à la fois de se protéger contre les attaques des plus basiques au plus sophistiquées, mais aussi d’améliorer la visibilité sur un parc informatique hétérogène avec un outil qui s’intègre à la stack cyber déjà en place.

Pourquoi HarfangLab ?

Proton souhaitait une plateforme performante qui réponde aux enjeux de souveraineté, et qui permette un déploiement et une migration On-Premises.

“Notre espace de travail est composé de plusieurs centaines d’endpoints avec différentes versions de Windows, macOS, et Linux en proportion non négligeable. Nous avons retenu HarfangLab pour plusieurs raisons : c’est une solution performante et ouverte, et qui plus est européenne.”
Patricia Egger, Head of Security

Déploiement

Le SOC interne de Proton a assuré le déploiement en quelques jours, d’abord en mode détection afin de repérer et ajuster les éventuelles incompatibilités sur le parc informatique.

Par la suite, quelques semaines ont été nécessaires pour affiner la configuration de la plateforme pour l’ensemble de l’espace de travail, des postes pour profils techniques aux utilisateurs métier.

Enfin, l’intégration complète avec le SIEM a nécessité environ un trimestre, en parallèle d'autres priorités, pour optimiser la gestion du format des données et leur collecte, et les règles de détection.

Support

Le SOC interne de Proton assure le lien avec HarfangLab et sollicite le support pour les questions techniques ou liées à la configuration de l’EDR, les demandes sont alors traitées immédiatement par les équipes d’HarfangLab.

Résultats

Depuis le déploiement d’HarfangLab, Proton a amélioré la visibilité sur son espace de travail.   

Les équipes de sécurité centralisent les données dans le SIEM et peuvent approfondir les investigations directement dans la console de l’EDR quand un événement de sécurité génère une alerte ou retient l’attention des analystes. Par exemple, en cas de doute sur une application, l’EDR permet de détecter où elle est installée, si elle est suspecte, et bloquer son exécution si besoin.

“A la différence de certains acteurs, HarfangLab permet de créer ses propres de règles de détection, offre un grand nombre de connecteurs, notamment avec notre SIEM.

L’EDR est ainsi une brique centrale de notre bouclier cyber. C’est une source de données ouverte et transparente, ce qui nous permet de faire des corrélations que nous ne pourrions pas faire autrement. Le système très flexible whitelist a permis aux analystes d'ajuster rapidement les détections à notre environnement, réduisant le taux de faux positifs, tout en limitant le risque de faux négatifs.

L’un des autres points forts, c'est son API qui permet de tout faire en laissant les analystes libres de choisir leur environnement et leur interface de travail. On peut par exemple ajouter ou modifier des règles de détection via GitOps avec un système de merge request et de validation, et envoyer les logs dans le SIEM.

Toutes les actions peuvent être tracées collectivement sans risque d’effet silo ou boîte noire.”  

Patricia Egger, Head of Security

Dans ce cadre, les équipes de sécurité de Proton ont mis en place des règles de corrélation pour mutualiser la remontée d’informations avec leurs autres outils, ce qui leur permet de gérer les alertes avec le niveau de granularité souhaité et de les adapter en continu au contexte de la menace et à l’évolution de l’espace de travail.