Accueil 3 AVIS D’EXPERT - groupe Hub One, HarfangLab, McAfee

3 AVIS D’EXPERT – groupe Hub One, HarfangLab, McAfee

Laurent Noë,
directeur général d’Oïkialog, groupe Hub One

« Démarrer par la phase outils n’est pas la bonne démarche »

“Pour sécuriser un parc de postes de travail, démarrer par la phase outils n’est pas la bonne démarche. Avant même de songer à déployer des outils de sécurité il faut d’abord définir quels sont les types d’utilisateurs et établir une politique par GPO (stratégie de groupes de postes Windows). Pour éliminer la majorité des attaques aveugles, le bon vieil antivirus va jouer son rôle. Une bonne protection antimalware et un firewall local offrent déjà un bon niveau de protection. La protection de la messagerie est sans doute le second chantier auquel il faut s’atteler. L’email reste le premier vecteur d’attaque et il est fondamental de réduire ce risque en le traitant au niveau de la plateforme de messagerie. Il est indispensable de mettre en place des solutions de protection en amont qui empêchent ces messages d’arriver jusqu’aux postes client. Une fois cela en place, on peut s’intéresser aux nouvelles solutions, notamment les EDR qui commencent à être efficaces.”

 


Grégoire Germain,
président d’HarfangLab

« L’EDR devient la pierre angulaire d’une cyberdéfense en profondeur »

“Les SOC doivent aujourd’hui s’équiper et ajouter l’EDR a la liste de leurs outils. Le SOC traditionnel s’appuie sur un SIEM qui coûte très cher et qui ne détecte pas les attaques qui sont noyées dans le bruit du système d’information. L’EDR n’est pas la réponse à tout, mais il devient la pierre angulaire d’une cyberdéfense en profondeur. Le triptyque EDR, NDR (Network Detection & Response) et orchestration via un SOAR est une approche qui fonctionne de mieux en mieux dans les grands SOC.

Toutefois, un projet EDR est souvent un programme qui impacte la DSI et c’est un projet à ne pas prendre à la légère. Il faut compter environ 4 mois pour équiper 100 000 endpoints. Le point de bascule vers l’EDR se situe vers 5 000 endpoints, une limite en-deçà de laquelle les entreprises privilégient plutôt les services managés.”

 


Laurent Maréchal,
Technology Architect, MVISION Cloud, chez McAfee

« Le XDR peut signaler un haut niveau de risque avant que l’attaque ne se déclenche »

“L’idée du XDR est de fournir une plateforme étendue qui traite les informations issues des endpoints, des serveurs, mais aussi des ressources Cloud. D’autre part, la solution doit être plus prescriptive et moins reposer sur la réaction. Il faut passer dans une approche prescriptive, définir des niveaux de risque sur les données envoyées par les capteurs situés dans le système d’information. En s’appuyant sur des modèles d’IA corrélés aux frameworks de sécurité du MITRE, l’outil peut signaler un haut niveau de risque avant que l’attaque ne se déclenche. L’avantage est énorme puisqu’on se place en amont des attaques, et si malgré tout une attaque survient, l’analyste va pouvoir retracer tous les événements, recontextualiser chaque étape de l’attaque et écrire un synopsis des événements. Le XDR permet d’écrire un synopsis compréhensible par un analyste SOC.”