Fotolia
L’EDR : une mise en œuvre qui mérite d’être soignée
Le déploiement d’une solution de détection et de remédiation sur les points de terminaison de l’infrastructure n’a rien d’anodin. L’impact peut être très important selon l’étendue d’un projet qu’il convient donc, en définitive, de planifier soigneusement.
Les outils de détection des menaces sur les points de terminaison de l’infrastructure - à commencer par les postes de travail - présentent des avantages séduisants. Et cela même si, pour beaucoup, le marché n’est pas encore arrivé à maturité. Mais pour peu que l’on soit tenté, se pose la question du déploiement.
Olivier Ligneul, expert du Cercle des Assises de la Sécurité & VP du CESIN, souligne ainsi qu’il est « nécessaire de bien penser ces infrastructures en amont car l’analyse des informations relatives aux équipements terminaux nécessite d’accaparer une partie significative de la puissance de calcul des outils de recherches d’indicateurs de compromission (IoC) et de corrélation ».
Pour lui, il convient donc « de créer un écosystème qui intègre d’autres fonctions de collecte de traces d’activité à partir d’équipements actifs et des autres mécanismes de sécurité du système d’information. Dans une approche de défense en profondeur, si les analyses de risques le confirment et dans le cadre d’une stratégie de protection des données et processus les plus sensibles, il peut être préférable de cibler dans un premier temps ces périmètres ».
Des volumes de données potentiellement considérables
Arnaud Kopp, stratégiste cybersécurité chez Palo Alto Networks, prévient lui aussi du risque associé à la collecte de volumes de données très, voire trop importants qu’il faut prévoir de stocker et de corréler pour analyse et, le cas échéant, reconstruction de la chronologie de l’attaque.
Nicolas Blot, consultant manager chez NTT Security, relève qu’un déploiement initial sur un périmètre restreint « permettra aux équipes opérationnelles de s’approprier la solution et d’appréhender les informations remontées. Dans ce type de déploiement, les populations les plus sensibles devraient être les premières couvertes (comité exécutif, ressources humaines, finances), car elles demeurent les points d’entrée privilégiés des attaques ciblées ».
Même son de cloche du côté de Nicolas Bourot, expert du Cercle des Assises de la Sécurité et RSSI dans le domaine bancaire : « déployer pour une population sensible (comme les VIP) permet de débuter et de les protéger ». Mais pour lui, « la généralisation est le seul moyen de se protéger efficacement », notamment pour détecter les déplacements latéraux en cas d’attaque.
Ayoub Elaassal, consultant sécurité chez Wavestone, estime en fait que « tout dépend de L'effort nécessaire pour que la solution soit utile ». Et cet effort apparaît directement lié à l’architecture de la solution - « combien de serveurs de management à déployer pour administrer les agents présents sur les postes ? » – mais également des effectifs chargés de sa gestion : « certaines solutions nécessitent des actions quotidiennes - traitement des alertes, investigation, blocage manuel des menaces… Déployer une telle solution sur un parc de 100 000 postes nécessite forcément une équipe conséquente. Nos clients préfèrent donc commencer par un petit périmètre composé uniquement de postes sensibles, avant d’élargir petit à petit le périmètre ».
Entre périmètre ciblé et périmètres multiples
Tony Rowan, responsable du conseil en architecture chez SentinelOne, renvoie au message régulièrement répété selon lequel « le périmètre de sécurité unique est un concept qui a échoué » : « tout d’abord, il ne tient pas compte des multiples ilots informationnels que l’on trouve dans toutes les organisations, chacun avec niveau propre d’importance ».
Dès lors, il suggère une approche basée sur des périmètres multiples, autour de chacun des silos informationnels. « Mais même ce concept est limité parce que beaucoup d’organisations ont des équipes mobiles qui ont besoin d’accéder à l’information depuis de nombreux endroits différents ». Pour Tony Rowan, il convient donc de prendre en compte « les différents profils de risque » et d’appliquer des contrôles de sécurité appropriés « pour chaque ilot de données », en s’appuyant sur une classification méticuleuse.
A sa manière, Nicolas Blot suggère une approche comparable. Car après le déploiement initial, il recommande d’élargir le périmètre « à l’ensemble des populations afin d’assurer une visibilité maximale et une réponse rapide à tout incident remonté ».
Vers une généralisation prudente
Charles Coe, responsable du marketing produit de Guidance Software, estime toutefois qu’un déploiement généralisé est « la meilleure façon » d’éviter d’être submergé par les alertes : là, la solution peut « valides les alertes et conduire à se concentrer uniquement sur les alertes nécessitant une attention particulière ». Surtout, pour lui, « la protection périmétrique, que ce soit sur un segment du réseau ou à l’échelle de l'entreprise, est insuffisante pour protéger efficacement. Des données précieuses sont stockées sur les points de terminaison et seul l’EDR peut véritablement identifier, valider, répondre et corriger des menaces une fois lorsque les contrôles périmétriques ont échoué ».
Nicolas Blot relève pour sa part qu’un « déploiement total ou le plus large possible aura pour avantage de fournir une visibilité totale ou quasi-totale d’emblée ». Un élément d’autant plus important que, comme l’indique Michael Bittan, associé responsable des activités de gestion des risques cyber chez Deloitte, il s’agit de plus en plus de « pouvoir détecter une attaque depuis n’importe quelle source, même celles que nous ignorons ».
Mais pas pour Nicolas Blot, un déploiement généralisé brutal « aura en revanche l’inconvénient d’avoir rapidement un très grand nombre d’informations à traiter, à assimiler et pour conséquence de manquer certaines informations importantes pour la protection de l’organisation ».
Dès lors, c’est après « la réalisation d’un pilote permettant de s’assurer qu’aucun effet de bord ne vient perturber les activités des collaborateurs », qu’il conviendra de déterminer son plan de déploiement car, « l’EDR touchant au poste utilisateur, il est important de privilégier l’expérience utilisateur afin d’obtenir une forte adhésion des collaborateurs ».
Ou une approche dynamique
Ayoub Elaassal souligne que, dans la pratique, « certaines entreprises optant pour des EDR nécessitant moins d’intervention humaine – blocage automatique, disponibilité d’API, etc. – n’hésitent pas à tester et déployer ce type de solutions sur un parc de postes important ».
A moins que l’EDR ne soit retenu dans une approche plus dynamique, complémentaire d’autres systèmes de détection basés sur le réseau, activé à la demande pour étendre la collecte de trace d’événements. Palo Alto Networks s’était justement associé, à l’été 2015, avec Tanium. Et Arnaud Kopp défend justement l’approche dynamique : « un autre système de l’infrastructure peut alerter sur un besoin de détection additionnel. Un déplacement latéral peut se voir depuis le réseau, comme une variation par rapport à un comportement nominal. Avec une touche d’automatisation, on peut alors pousser à l’injection des éléments permettant de renforcer la détection et la collecte de données ». De quoi rappeler la démarche de Cymmetria qui, avec son offre ActiveSOC, permet justement de commander à la demande le déploiement de leurres pour mener des enquêtes en profondeur sur des signaux faibles.
Pour Arnaud Kopp, cette approche dynamique alternative s’avère « moins intrusive que de déployer massivement des éléments très consommateurs de ressources [pour l’analyse et la corrélation] et fortement producteurs de données ».