EDR : quel avenir pour les évaluations Mitre ATT&CK Engenuity ?

L’édition 2025 des évaluations ATT&CK Engenuity organisées par le Mitre, pour confronter les solutions de réponse et de détection sur les hôtes du système d’information (EDR, Endpoint Detection and Response), se fera sans Microsoft, Palo Alto Networks, ni SentinelOne.

Le premier éditeur l’avait annoncé en juin ; il a récemment été rejoint par les deux autres, rapporte notre confrère Infosecurity Magazine.

Tous deux ne manquent pas d’éloges à l’égard de ces évaluations dont le Mitre a annoncé la création en 2018. Pour Palo Alto Networks, elles « ont fourni des informations précieuses, à nous et à nos clients ». Pour SentinelOne, ces évalutions « ont toujours été une référence pour aider les fournisseurs à améliorer leurs offres tout en aidant les professionnels à évaluer les produits en fonction de leurs besoins spécifiques en matière de sécurité ». Mieux encore : « lorsqu'elles sont bien faites, rien ne peut les égaler : c'est un niveau d'exigence élevé que nous et l'industrie espérons que MITRE continuera à maintenir dans un avenir prévisible ». Mais cette année, ce sera donc sans eux.

Car SentinelOne veut pouvoir « donner la priorité à nos ressources en matière de produits et d'ingénierie pour les initiatives axées sur les clients tout en accélérant notre feuille de route pour la plateforme ».

Du côté de Palo Alto Networks, le son de cloche n’est guère différent : « cette décision nous permet d'accélérer encore davantage les innovations critiques de notre plateforme qui répondent directement aux défis les plus urgents de nos clients en matière de sécurité et de réagir encore plus rapidement à l'évolution des menaces ». Les clients pour qui il pourrait être urgent de choisir un EDR et d’en avoir des évaluations resteront peut-être sur leur faim.

Pour Igal Gofman, directeur de l’ingénierie chez Crowdstrike, « ces dernières années, les évaluations se sont transformées en théâtre de fournisseurs : les fournisseurs investissent d’énormes ressources pour obtenir des gains en relations publiques, et non pour de véritables améliorations de la sécurité. MITRE et CISA étant sous la pression des coupes budgétaires et des changements, certains fournisseurs ont probablement vu une opportunité de se retirer ».

Accessoirement, participer aux évaluations du Mitre n’est pas une mince affaire. Tout commence par une prise de contact pour manifester son intérêt et demander comment procéder ensuite : « ils nous fournissent alors des instructions et un calendrier pour le déroulement des opérations », nous expliquait Pierre-Yves Amiot en octobre 2023, alors qu’il était Customer Experience Officer d’HarfangLab.

La jeune pousse venait de participer à l’édition 2023 des évaluations. Un gros projet de 10 mois qui avait demandé une préparation de novembre 2022 à février 2023, avant l’exécution des scénarios d’évaluation.

Un tel projet a un coût. Faire évaluer son produit pour le volet détection, c’était déjà environ 120 000 $, expliquait alors Pierre-Yves Amiot. Pour le volet protection, il faudrait ajouter 30 000 $ de plus. Et puis il faut consacrer des équipes. Certains gros éditeurs auraient même eu des effectifs mobilisés à temps plein sur le sujet.