Cyber Success Stories

 

 

HarfangLab protège les 14 000 collaborateurs d’un important groupe de distribution français contre les menaces cyber.

Contexte

*Pour préserver la confidentialité des informations qui touchent à sa sécurité, le groupe préfère témoigner de façon anonyme.

Le groupe de distribution est présent dans une cinquantaine de villes en France, et est spécialisé dans la mode. Son chiffre d’affaires en 2023 est de 4,5 milliards d’euros.

Le groupe est conscient du risque cyber et prend le sujet très au sérieux : il est classé comme deuxième risque majeur, juste après les attentats terroristes.

Pour un acteur de la distribution, le risque le plus critique est l’arrêt des caisses en magasins, et donc les pertes business. Le groupe est également exposé à de potentielles fuites de données qui pourraient dégrader sa réputation et la confiance que les clients et les différentes parties prenantes lui accordent, non seulement en France, mais aussi à l’international.

En 2021, le groupe était équipé d’un antivirus sur les serveurs Windows et les PC.

Le RSSI témoigne :

« Nous étions conscients que l’antivirus était à bout de souffle et que l’EDR adresserait beaucoup mieux les nouvelles menaces. En mettant en place un système qui combinait les deux solutions, nous avions pour objectif d’assurer un meilleur niveau de sécurité. »

Objectif ? Renforcer ses capacités de détection des menaces.

Pourquoi HarfangLab ?

Après une phase de POC concluante face à des éditeurs américain, l’EDR HarfangLab est finalement retenu.

« J’ai apprécié le fait que l’EDR soit certifié par l’ANSSI, mais j’étais aussi rassuré de retrouver parmi les clients d’HarfangLab des entreprises qui ne transigent pas avec la sécurité (Thales, Safran, Nexter) », témoigne le RSSI.

DÉPLOIEMENT

Le déploiement a été fortement accéléré en raison d’une intrusion dans le système d’information du Groupe. En effet, alors que la solution est encore en phase de POC, une attaque par le ransomware BlackCat est détectée sur une partie du parc machines.

Pour répondre immédiatement à la menace, avec accord d’Harfanglab, les équipes internes lancent le déploiement des agents sur l’ensemble du parc postes utilisateurs, afin de protéger la quasi-totalité des terminaux en moins d’une semaine.

Résultat ? Malgré 400 postes touchés – une petite proportion par rapport au nombre total de machines – aucun d’entre eux n’est chiffré et aucune donnée n’est volée.

Accompagnement

Lors de l’attaque détectée pendant la phase de POC, une véritable task force s’est mise en place.

• Les équipes d’HarfangLab se sont rendues au siège du groupe dès le samedi afin d’aider les équipes de sécurité à paramétrer la console.
• Un CSIRT a été appelé pour intervenir et chercher les traces de l’attaque.
• Les équipes CTI d’HarfangLab ont identifié la menace et investigué aux côtés du CSIRT pour récupérer des logs et des IOC.
• HarfangLab a également assisté le client lors des réunions de crise.

Résultat ? Grâce à un travail conjoint des équipes internes, du CSIRT et d’HarfangLab, dès le lendemain de l’attaque, la menace a pu être identifiée et contenue par les équipes.

Le RSSI a particulièrement apprécié ce travail d’équipe :

« Quand on est en guerre, on apprécie d’être soutenu de la sorte par ses alliés. Cette expérience nous a permis de voir qu’au-delà de la solution et des tests techniques, nous avions en face de nous des équipes expertes, compréhensives et aidantes. »

RÉSULTATS

Face à un incident de sécurité majeur, l’EDR HarfangLab a montré son utilité pour évaluer rapidement l’étendue des dégâts, poser un diagnostic, et pour l’investigation post-attaque.

En 15 jours seulement, toutes les informations sur l’attaque étaient connues : le chemin, le payload déposé par l’attaquant, etc. Comprendre de la manière la plus précise possible ce qu’il s’était passé, comment, et ce qui avait été fait pour arrêter la menace a permis d’améliorer la résilience du client.

Les performances de la solution et les moyens déployés pour répondre à l’incident ont permis à HarfangLab de gagner la confiance du client, et de nouer une relation pérenne.

« HarfangLab a une roadmap en évolution constante et les engagements sont tenus. L’accompagnement est également très apprécié des équipes : nous avons une très bonne visibilité sur l’ensemble des fonctionnalités et donc la garantie que nous exploitons la solution à 100% », conclut le RSSI.