Alexey Achepovsky - stock.adobe.
2023, l’année où s’impose la détection des menaces cyber ?
Inexistants il y a encore une décennie, les systèmes de détection et de réponse sur les terminaux apportent une visibilité accrue sur les menaces présentes dans le SI. Une visibilité qui fait ses preuves.
En juin 2016, Augusto Barros et Anton Chuvakin, du cabinet Gartner, estimaient que les systèmes de détection des menaces et de réponse au niveau des points de terminaison (EDR, pour Endpoint Dectection and Response) – serveurs comme postes de travail – n’avaient pas vocation à remplacer les dispositifs de protection locaux (EPP, pour Endpoint Protection Platform). Pour eux, c’était avant tout un complément de détection et de visibilité.
Entre-temps, EDR et EPP ont commencé à se rapprocher. Dans l’édition 2019 de son quadrant magique sur l’EPP, Gartner prenait acte de l’évolution du marché et indiquait que « les capacités traditionnelles trouvées dans le marché de l’EDR sont désormais considérées comme des composants essentiels d’un EPP capable d’adresser et de répondre aux menaces modernes ».
Aujourd’hui, l’EDR apparaît clairement faire la preuve de ses apports, même si ceux-ci ne donnent toute leur valeur qu’avec des ressources humaines et les processus nécessaires au prompt traitement des alertes.
Début 2021, Lactalis a évité le pire grâce à son EDR. Le géant laitier avait été alerté par les équipes de l’éditeur de son EDR – signé CrowdStrike, comme le suggère un atelier organisé lors de l’édition 2022 des Assises de la Sécurité –, qui était déployé en démonstrateur sur des contrôleurs de domaine. Ce qui lui a permis d’agir rapidement pour éviter une détonation de ransomware.
Début 2022, Egis stoppe une cyberattaque dans sa phase finale. Le groupe d’ingénierie avait « détecté une attaque de type ransomware le 25 janvier ». Ses « systèmes de protection ont joué leur rôle en bloquant l’attaque sur les équipements ». L’attaque ne semble toutefois avoir été découverte que dans sa phase finale, celle du chiffrement : « grâce à l’EDR (Endpoint Detection and Response) et à la réactivité des équipes de notre DSI, les tentatives de chiffrement ont été circonscrites très rapidement, évitant une propagation sur le système d’information. Nous savons aujourd’hui que moins de 1 % de nos données ont été affectées ».
À l’automne dernier, Caen a également évité le chiffrement grâce à l’EDR d’HarfangLab. La collectivité a profité des suites d’un démonstrateur en attente de contractualisation pour détecter les prémices du possible déploiement d’un rançongiciel : des balises (beacon, en anglais) Cobalt Strike ont été détectées sur le serveur de messagerie Exchange et un contrôleur de domaine de l’environnement Active Directory (AD).
Selon nos informations, des capacités de détection et de blocage ont également aidé les centres hospitaliers de Nice et d’Argenteuil à éviter le pire. Et cela vaut également pour plusieurs établissements d’enseignement supérieur, même si nous n’avons pu établir la nature de ces capacités de détection.
Selon nos sources, l’hôpital André Mignot de Versailles n’a pas eu la même chance. Il est équipé d’un système d’EDR signé Cybereason. Ce dernier aurait bien détecté des signaux trahissant l’attaque en cours, mais n’était pas configuré pour bloquer les activités suspectes observées.