Maridav - stock.adobe.com
Comment l’Insep s’est mis à l’EDR
Durant les JO 2024, l’institut comptait notamment, pour la sécurité de son système d’information, sur la détection des menaces dans le trafic réseau. Mais un démonstrateur EDR fonctionnait en parallèle. C’est lui qui a pris le relais.
Juin 2024. Alors que les regards du monde entier sont braqués sur Paris, pour les Jeux olympiques, les craintes pour la cybersécurité – de l’événement et au-delà – sont importantes.
L’Institut National du Sport, de l’Expertise et de la Performance (Insep) s’était préparé, comptant notamment un système de détection et de réponse dans le réseau (NDR) signé Vectra. Intégrée avec le système de gestion des informations et des événements de sécurité (SIEM), la sonde disposait de règles de détection et de procédures d’intervention prédéfinies pour intervenir sur le pare-feu Stormshield.
Cette automatisation était surtout là pour épauler l’équipe IT de 15 personnes dirigées par Damien Feuillet. Elle est responsable de 700 postes de travail, notamment, mais ne dispose pas d’une supervision 24/7.
Si la solution a fait ses preuves durant JO 2024, lorsqu’est venue la question du renouvellement, l’approche s’est retrouvée en concurrence… d’un démonstrateur EDR qui avait été préalablement déployé sur un périmètre limité. Il y avait une opportunité : améliorer la détection et la réponse, en remplaçant l’antivirus. Mais quitte à sacrifier le NDR.
C’était l’EDR de Watchguard qui était en test ; c’est lui qui sera retenu. Cet éditeur et équipementier propose aussi une offre plus complète, de XDR. Mais « nous avions aussi besoin de rationaliser les coûts », explique le DSI. Qui plus est, selon lui, le NDR devait notamment permettre de réduire les faux positifs et n’a pas fait, sur ce terrain, la démonstration de sa valeur.
Et puis Damien Feuillet met en avant une topologie réseau réduisant le besoin de l’analyse du trafic réseau : « nous avons une segmentation très forte avec de nombreux VLAN, suivant les métiers notamment ». En outre, « 90 % des flux réseau passent par le pare-feu, qui remonte au SIEM ».
Trois autres offres d’EDR ont été examinées. Avec les difficultés que l’on connaît : choisir une telle solution n’est pas trivial. La solution de retenue ne remonte pas encore ses logs dans le SIEM – signé LogPoint, en raison notamment de sa tarification avantageuse bien connue –, mais c’est prévu.
Pour l’heure, l’EDR envoie directement ses éventuelles alertes aux équipes – sa supervision est partagée entre un analyste dédié à la sécurité, et les équipes d’exploitation, et Damien Feuillet.
Pour approfondir sur Protection du terminal et EDR
-
![]()
Un NDR français sécurise le réseau du Conseil départemental de la Haute-Garonne
Par: Alain Clapaud
-
![]()
EDR vs. SIEM : différences clés, avantages et cas d’utilisation
Par: Ravi Das
-
![]()
Magazine Information Sécurité 31 : EDR & NDR, duo essentiel pour débusquer les intrus
Par: Valéry Rieß-Marchive
-
![]()
Contourner l’EDR ? Miser sur des objets connectés non supervisés
Par: Valéry Rieß-Marchive
