Decoration PressNEWSROOM

Tests MITRE 2024 : l’EDR d’HarfangLab confirme sa position de leader européen

5 min

Qu’est-ce que les évaluations MITRE ?

MITRE est un organisme à but non-lucratif qui a pour mission de créer des standards de référence pour la classification et le traitement des cyberattaques. Il édite la matrice MITRE ATT&CK qui vise aussi à documenter les tactiques, les techniques et les groupes d’attaquants. Pour une solution de détection et de réponse tel qu'un EDR, être en capacité de couvrir le large éventail de techniques, à différents stades d'une attaque, avec des typologies d'attaques très diverses qui sont référencées dans la matrice MITRE ATT&CK est une garantie de détection particulièrement recherchée. Déclencher des alertes et stopper les techniques et tactiques documentées dans la matrice MITRE ATT&CK est l'objectif de tous les éditeurs d'EDR.

Chaque année, les éditeurs d’EDR qui le souhaitent peuvent se soumettre aux évaluations MITRE ATT&CK afin de tester - dans des conditions aussi proches possibles d'une cyberattaque - leurs capacités de détection, de protection ou encore leur précision. Après avoir obtenu de très bons résultats en matière de détection pour sa première participation en 2023, HarfangLab a passé les tests pour la deuxième fois en 2024, en étendant l’évaluation pour également tester ses capacités de protection.

HarfangLab se positionne en référence européenne de la cybersécurité

 

MITRE Evaluation 2024 - Detection - Protection - False positives results

 Le diptyque de la performance d’un EDR : la détection et la précision.

HarfangLab marque des points sur les deux aspects

Plusieurs capacités de l’EDR d’HarfangLab étaient testées cette année :

  • la détection:

Detection - Protection - MITRE Evaluation 2024

HarfangLab obtient de très bons résultats en matière de détection.

L’EDR d’HarfangLab a détecté 100% des attaques. Pour chacune des 16 étapes des scénarios d’attaque joués par l’équipe du MITRE, l’EDR d’HarfangLab a identifié des techniques, c’est-à-dire des détections les plus précises et contextualisées possibles. Pour entrer dans les détails, 69 sous-étapes dans chacune des 16 étapes ont été détectées au niveau technique. Détecter au moins une technique à l’intérieur d’une étape permet de s’assurer que l’EDR donne bien l’alerte en cas de comportement suspect. 

Cette qualité de détection, qui vient confirmer les résultats 2023, valide la performance de l’EDR d’HarfangLab face aux menaces les plus sophistiquées.

  • Pour la protection :

MITRE Protection - 2024 Evaluation

A l’analyse des résultats du test de protection, HarfangLab est particulièrement performant.

En termes de protection, l’EDR d’HarfangLab a bloqué 8 étapes. Tous les blocages réalisés l’ont été de manière immédiate, interrompant l’attaque dès la première action des attaquants. En observant les résultats des autres participants aux Evaluations du MITRE, le blocage proposé par HarfangLab est 30% plus efficace que la moyenne. 

  • La précision : 

Contrairement aux deux tests mentionnés ci-dessus, l’objectif est ici que l’EDR ne génère pas d’alertes.  Ainsi, parmi les 100 sous-étapes jouées par les équipes de MITRE pour tester les EDR, 20 étaient des actions légitimes d’utilisateurs.

Seule 1 d’entre elles a déclenché une alerte d’HarfangLab, révélant alors un haut niveau de précision de l’EDR, soit 99% de réussite sur cet exercice.  

Quels scénarios en 2024 ?

Les tests se déroulent sur 3 jours et consistent à évaluer les capacités des EDR face à différents types d’attaque. Après Turla (APT) en 2023, 2024 devait permettre challenger les capacités de détection des EDR sur les OS et les menaces suivantes : 

  • APT sur macOS avec une simulation d’attaque pouvant être menée par un acteur Nord-Coréen
  • Ransomware sur Windows et Linux avec des simulations d’attaques par les groupes CL0P et Lockbit

Léna Jakubowicz, ingénieure avant-vente et cheffe de projet du MITRE commente : « Ces tests confirment que notre EDR fait aujourd’hui partie des meilleurs du marché. En effet, un bon EDR en 2025, c’est le triptyque détection, protection et précision, représentée par un faible taux de faux positifs évitant de faire perdre du temps aux analystes. De plus, les tests MITRE sont l’illustration du projet d’entreprise où chaque équipe a son rôle à jouer et apporte sa pierre à l’édifice : la recherche et le développement, les équipes produit et CTI, sur le pont lors des tests – intenses – en passant par le commerce, l’avant-vente et le marketing qui valorisent ensuite ces résultats tout au long de l’année. C’est un vrai défi, relevé avec brio par la force du collectif, et qui nous permet à la fin de délivrer un produit d’excellence et de le prouver »

Pour en savoir plus sur les évaluations du MITRE rdv sur ce lien : EDR & MITRE

Pour connaitre les dessous du test MITRE, rdv sur ce lien : MITRE 2, le retour

À propos de HarfangLab :


HarfangLab est une entreprise de cybersécurité française spécialisée dans la protection du endpoint. Elle édite des technologies qui permettent d’anticiper et neutraliser les cyberattaques sur les ordinateurs et les serveurs, mais également de mieux connaître son infrastructure informatique pour mieux la sécuriser. Premier EDR certifié par l’ANSSI, HarfangLab compte aujourd’hui de nombreux clients parmi lesquels des administrations, des entreprises et des organisations d'envergure internationale, évoluant dans des secteurs très sensibles. Les solutions d’HarfangLab se distinguent par : l’ouverture, avec des solutions qui s’intègrent nativement à toutes les autres briques de sécurité ; par leur transparence, car les données collectées par les outils restent accessibles et par l’indépendance numérique qu’elles offrent, car ses clients sont libres de choisir leur mode d’hébergement : cloud, public, privé, ou SecNumCloud, ou leur propre infrastructure.