Lynred mise sur la complémentarité entre EDR et NDR

Le NDR, un complément indispensable à l’EDR

Ce vaste programme comporte trois volets : d’une part, le remplacement de l’antivirus par l’EDR SentinelOne, puis l’extension de cette protection sur les hôtes (serveurs et postes de travail notamment, ou endpoints) par une solution travaillant sur la couche réseau avec le déploiement d’un NDR.

Enfin le troisième volet portait sur l’amélioration des capacités de réaction avec le recours à un CERT externalisé : « nous restons une petite structure et nous n’avons pas les moyens internes d’assumer seuls une supervision de notre sécurité en temps réel. Nous n’avons pas la force de frappe d’un Safran ou d’un Thales, donc nous avons souhaité déployer notre EDR et notre NDR en nous appuyant sur un SOC 24x7 en service managé ». Le CSO conserve la main sur les consoles d’administration des outils, mais l’exploitation est assurée en mode collaboratif avec Synetis, partenaire du SOC managé de Lynred.

Pour Bertrand Frémont, la mise en œuvre d’un NDR en complément de SentinelOne était indispensable pour deux raisons : « d’une part, nous ne pouvions déployer notre EDR partout. Il n’est possible d’installer l’agent que sur les actifs dont nous assurons l’administration. C’est le cas de nos serveurs, de nos PC, mais nous ne pouvons le faire sur tous nos équipements industriels, même si ceux-ci intègrent de l’informatique ». 

Or le cœur des processus de fabrication de Lynred est intégralement informatisé et la microélectronique nécessite une traçabilité complète du processus : « paradoxalement, on ne peut déployer d’EDR sur ces systèmes qui sont les plus coûteux et les plus critiques », déplore le responsable. 

Autre argument en faveur du NDR : l’EDR ne voit pas tout. Le NDR vient compléter son action en apportant une visibilité sur les flux réseau et offre une vision sur la situation d’ensemble du système d’information.

Le choix du NDR édité par Gatewatcher a été réalisé sur 3 critères clés. Le premier portait sur la confiance en la technologie et sa capacité à répondre aux besoins de Lynred : « nous n’avons pas monté de PoC en tant que tel, mais les ateliers menés avec l’éditeur nous ont rassurés sur ce point », commente le responsable. 

Le second critère, quant à lui, « porte sur notre capacité à gérer la solution ou tout du moins pouvoir s’appuyer sur un service managé pour le faire. Cela n’avait pas de sens de déployer une solution qui allait s’avérer impossible à piloter au quotidien ». 

Enfin, le troisième critère portait sur le volet financier, même si sur ce point toutes les solutions considérées par l’industriel étaient dans une enveloppe assez proche : « le déploiement de Gatewatcher et sa prise en main par notre SOC nous ont rassurés. La surcharge induite par le NDR était raisonnable et le coût d’administration acceptable ».

Un déploiement en deux phases

Le déploiement de la solution Gatewatcher et l’installation des sondes dans le réseau de l’entreprise n’ont pas posé de problèmes particuliers à l’industriel : « sur le volet déploiement, à partir du moment où l’on sait où déployer les sondes et quels flux seront interceptés, c’est en soi très simple », explique Bertrand Frémont. 

« Il ne faut pas sous-estimer la partie amont […]. Il faut notamment s’intéresser à la compatibilité des interfaces optiques et la capacité à traiter les flux en fonction des débits ; ce n’est pas un projet que la cyber peut mener seule. »

Prudence toutefois : « il ne faut pas sous-estimer la partie amont, car le diable se loge dans les détails. Il faut notamment s’intéresser à la compatibilité des interfaces optiques et la capacité à traiter les flux en fonction des débits ; ce n’est pas un projet que la cyber peut mener seule. Il est nécessaire d’impliquer l’équipe réseau, mais aussi l’éditeur, pour trouver les endroits où la collecte des données sera la plus pertinente. Une fois cette analyse menée, l’installation d’une sonde nécessite moins de 2 jours de travail ». 

La partie « physique » du déploiement s’est avérée simple et, contrairement au déploiement typique d’un EDR, la mise en marche ne s’est pas soldée par une avalanche de faux positifs. Le secret est de placer les sondes de manière raisonnée et surtout ne pas chercher à suivre immédiatement l’intégralité du trafic réseau.

Nicolas Guérin, VP Sales France de Gatewatcher, commente le projet de mise en place de son client : « Lynred ne présentait pas de spécificité majeure. Chaque infrastructure est différente et chaque client exprime des besoins différents en fonction des solutions de sécurité dont il dispose déjà. Nous mettons en place les points de collecte de données du NDR en fonction de cette architecture ». 

Rien de nous cela ne tient au hasard : « en fonction de la PSSI [politique de sécurité des systèmes d’information, N.D.R.] en place, des axes de surveillance que souhaite mettre en place notre client, nous mettons en place les points de collecte à certains endroits. On peut être tenté de tout voir, mais cela implique de gérer beaucoup de bruit, ce qui n’est pas toujours pertinent ».

L’objectif est d’éviter l’effet « sapin de Noël » avec une console qui s’illumine de dizaines d’alertes à traiter, ce qui a un impact direct sur la charge de travail, mais aussi sur le coût de la solution.

Dans un premier temps, les sondes ont ainsi été placées afin de suivre le trafic Nord/Sud, c’est-à-dire les données qui transitent entre Internet, les DMZ de Lynred et son réseau interne. 

Le suivi des flux Est-Ouest n’est déployé que dans un deuxième temps, simultanément à la refonte du cœur de réseau : « pour le deuxième volet du projet, les flux Est-Ouest, nous allons analyser beaucoup plus de flux », précise le CSO. 

Du bruit, mais pas trop

Et là, « les volumétries seront beaucoup plus élevées, mais ces flux sont moins critiques. L’objectif est de bloquer tout mouvement latéral d’un attaquant. La solution est déployée et intégrée et au fur et à mesure de la migration de notre infrastructure de cœur de réseau et nous basculons ainsi progressivement de plus en plus de flux vers Gatewatcher ».

Le responsable estime que le niveau de « bruit » généré par son NDR est nettement moins élevé que celui d’un EDR à l’installation. Le niveau de bruit le plus élevé a été généré par le protocole DNS. Un module Gatewatcher permet d’analyser les requêtes DNS, d’identifier les requêtes provenant de serveurs peu recommandables. « Cela a généré beaucoup de bruit au début, mais cela s’est avéré très utile puisque cela nous a permis d’identifier une attaque de phishing sur une simple requête DNS liée à un domaine dangereux, ce qui nous a permis de remonter jusqu’à la boîte email d’un utilisateur. Aujourd’hui, nous avons moins de faux positifs et les fois où nous avons eu des alertes, celles-ci se sont avérées pertinentes ».

Avec ce déploiement, Lynred dispose maintenant d’une vision sur toutes les entrées/sorties de son système d’information, ce qui permet de mettre en place des mesures de protection en quasi-temps réel et d’identifier les attaques en cours : « cet été, Gatewatcher a détecté une tentative d’exploitation d’une vulnérabilité sur notre plateforme de téléphonie sur IP. Nous avons pu identifier qu’il manquait un correctif de sécurité sur l’un des composants. En s’appuyant sur notre service managé et la solution Gatewatcher, en l’espace de 3h l’attaque était identifiée, les attaquants repérés et bloqués, et la mise à jour de la plateforme était lancée dans la foulée », conclut Bertrand Frémont..