Cyber Success Stories

L’Association Française de Normalisation (AFNOR) assure 5 missions : certification, normalisation, édition de normes, formation, et rayonnement de la normalisation française à l’international.
Présente en France, mais aussi dans d’autres pays (en Europe, en Chine, aux USA, en Australie…), la structure compte environ 2 000 endpoints, serveurs et postes de travail.
Comment HarfangLab protège le Système d’Information de l’AFNOR ? Jean-Marc Aubert, RSSI, et Christian Plaza, Chargé de Sécurité du SI, témoignent.

Contexte

L’AFNOR était en train de déployer sa feuille de route cyber, qui prévoyait notamment l’implémentation de solutions de sécurité, quand elle a été frappée par un ransomware en février 2021.

Pour faire face à cette attaque majeure qui aura paralysé le Système d’Information pendant plusieurs semaines, et entraîné une crise qui aura duré près de 3 mois, un dispositif complet de sécurité a dû être déployé en un temps record.

L’EDR faisait partie intégrante des solutions préconisées par l’équipe de réponse à incidents qui accompagne l’AFNOR pour la remédiation et la remise en sécurité.
Il s’agissait en effet de mettre en place les mesures visant à éviter que la crise ne se reproduise.

"Nous savions que le ransomware était une menace pour nous. L’AFNOR était en phase de déploiement des différentes mesures de protection de son Système d’Information, mais nous avons été pris de court, et nous avons dû intervenir le plus vite possible. Nous avons donc réalisé en 3 mois ce que nous avions planifié sur 3 ans !"
Jean-Marc Aubert, RSSI

En termes d’organisation interne, il n’était plus question de convaincre de la pertinence d’un EDR, mais d’expliquer en interne que les mesures prises étaient les bonnes.

"J’ai présenté l’ensemble des mesures de sécurité adoptées au COMEX, en reprenant le schéma d’attaque réalisé par les équipes Forensique et Réponse à incident.
Tout au long du chemin d’attaque, j’ai pu montrer en quoi l’EDR aurait permis de détecter, limiter, voire empêcher l’attaque.
En pratique, si nous avions été protégés par un EDR, l’attaquant aurait eu beaucoup plus de mal à prendre la main sur les postes de travail et les serveurs, ou il n’aurait simplement pas réussi, car soit nous aurions reçu des alertes, soit les actions malveillantes auraient pu être bloquées en amont."
Jean-Marc Aubert, RSSI

Pourquoi HarfangLab ?

Etant donné la situation de crise en cours, l’équipe Sécurité l’AFNOR a fait une entière confiance à son partenaire pour l’orienter vers la solution la mieux adaptée.

“Nous travaillions depuis plusieurs années avec Airbus qui nous a proposé un package incluant un SOC et l’EDR d’HarfangLab, recommandation qui nous a paru tout à fait pertinente."
Jean-Marc Aubert, RSSI

DÉPLOIEMENT et accompagnement

Le déploiement d’HarfangLab s’est déroulé par vagues, assurées par l’équipe dédiée aux postes de travail, et l’équipe Opérations qui gère les systèmes.

"Nous avons d’abord nettoyé les postes de travail et remonté notre infrastructure IT, puis nous avons procédé à un déploiement de l’EDR par vagues de 200 postes, en commençant par la DSI.
Nous avons ensuite étendu aux autres métiers, en vérifiant que l’EDR était bien en mesure de monitorer la totalité du parc informatique.
Il faut avoir en tête qu’un EDR implique un véritable travail de paramétrage, entre les règles et les whitelists, mais c’est indispensable pour exploiter l’outil au mieux, et aussi de mieux connaître son parc informatique.
Au quotidien, nous apprécions la très bonne réactivité de notre partenaire comme celle d’HarfangLab, qui nous apportent tous deux des réponses et des solutions rapides en cas de besoin."
Christian Plaza, Chargé de Sécurité du SI

RÉSULTATS

Depuis le déploiement d’HarfangLab, les équipes sécurité de l’AFNOR ont gagné en sérénité… tout en sachant que si une alerte est déclenchée, c’est le signe d’un véritable problème.

"Nous savons que nos postes de travail et nos serveurs sont protégés. Si un incident de sécurité est détecté, nous pouvons intervenir rapidement.
L’avantage de l’EDR est aussi qu’il est capable de détecter de nombreuses anomalies, notamment la présence de logiciels qui ne devraient pas être sur les postes de travail, ce qui nous aide à mieux maîtriser le Shadow IT."
Christian Plaza, Chargé de Sécurité du SI

"Depuis l’attaque que nous avons subie, nous avons mis en place une astreinte. La détection d’événements peut provenir de différentes sources : un salarié peut prévenir qu’il a cliqué sur un lien douteux dans un e-mail, une règle du SIEM peut déclencher une alerte… Mais dorénavant en cas d’alerte, depuis que nous avons un EDR, le premier réflexe est de vérifier s’il a lui-même généré une alerte.
Si on ne voit rien dans l’EDR, nous savons qu’il ne s’agit a priori pas d’un événement prioritaire.
HarfangLab nous aide ainsi à mieux qualifier les événements provenant de ces multiples sources.
En revanche, si l’alerte vient de l’EDR, c’est le branle-bas de combat !"
Jean-Marc Aubert, RSSI