HarfangLab : une première évaluation Mitre ATT&CK plus qu’honorable
Les résultats de la première évaluation de l’EDR de la jeune pousse française face au framework ATT&CK du Mitre s’avèrent particulièrement probants face à la concurrence.
C’est en 2018 que le Mitre a décidé de chercher à confronter à la réalité les solutions de détection et de remédiation sur les points de terminaison (EDR). Dans un communiqué de presse, l’entreprise expliquait alors vouloir mettre en place une « évaluation impartiale » pour « aider les entreprises et l’industrie à prendre de meilleures décisions pour contrer les attaques ». Sur cette première session, 8 éditeurs avaient décidé de se prêter à l’exercice.
L’édition 2023 des évaluations s’est appuyée sur les TTPs du groupe Turla (aussi connu sous le nom de Venomous Bear). Une trentaine d’éditeurs s’étaient engagés à y participer, jusqu’aux jeunes pousses françaises HarfangLab et Tehtris. Elles n’avaient pas participé à la session 2022 (Wizard Spider et Sandworm).
Dans un échange avec la rédaction, Tanguy de Coatpont, tout récemment nommé Chief Revenue Officer d’HarfangLab, explique que cette participation visait notamment à répondre à des questions de clients. Si elle a suscité de nombreux débats en interne, Pierre-Yves Amiot (Customer Experience Officer de la jeune pousse) relève que l’idée d’apporter des preuves opposables des performances de l’EDR maison a fini par emporter l’adhésion.
Une épreuve marathonienne
Mais participer aux évaluations du Mitre n’est pas une mince affaire. Tout commence par une prise de contact pour manifester son intérêt et demander comment procéder ensuite : « ils nous fournissent alors des instructions et un calendrier pour le déroulement des opérations », explique Pierre-Yves Amiot.
La préparation s’étale de novembre 2022 à février 2023. De là, « chaque éditeur passe trois jours, en distanciel, avec les évaluateurs du Mitre ». Trois scénarios sont joués, dans un environnement de laboratoire, le dernier étant un replay des deux premiers : « pendant 15 minutes, on croise les doigts », résume Pierre-Yves Amiot.
Après cela, il faut compter sur plusieurs longues heures de présentation et de justification « de ce qui a été observé dans la console ». Il faut montrer des preuves aux examinateurs… et tenir des journées se finissant à 23h.
Les résultats des évaluations sont publiés en septembre ; l’issue d’un projet de 10 mois… qui a un coût. Humain, tout d’abord, car il faut y consacrer des équipes. Certains gros éditeurs auraient des effectifs mobilisés à temps plein sur le sujet. Impossible pour une jeune pousse comme HarfangLab. En outre, faire évaluer son produit pour le volet détection, c’est déjà environ 120 000 $, explique Pierre-Yves Amiot. Pour le volet protection, il faudrait ajouter 30 000 $ de plus.
Une réussite
Au-delà, relève Tanguy de Coatpont, ces évaluations constituent une épreuve stressante, mais motivante et source d’expérience. Surtout, souligne Pierre-Yves Amiot, les résultats sont là, montrant objectivement la qualité de la détection. Les comparatifs du Mitre ne laissent guère de place au doute ; et cela d’autant plus que seule la télémétrie acquise sur les hôtes est utilisée : on ne parle là que d’EDR et pas de XDR.
Pierre-Yves Amiot ne cache pas sa satisfaction : « nous tenons notre promesse de donner aux analystes de la visibilité sur la menace ». Et si les clients de l’éditeur pouvaient s’en rendre compte eux-mêmes, ceux qui ne le sont pas le peuvent désormais.
Tanguy de Coatpont se dit particulièrement satisfait du classement d’HarfangLab par rapport à ses concurrents européens : « il est en ligne avec notre objectif de devenir leader européen ».