EDR au CHRU de Brest : le déploiement expliqué par son RSSI
Publié par Alain Clapaud le - mis à jour à
Jean-Sylvain Chavanne, RSSI du CHRU de Brest, explique la démarche du déploiement de l'EDR de Harfanglab.
« En mars 2023, lorsque le CHRU de Brest a été attaqué. Nous avons pu mettre à profit les capacités de l'EDR en matière de réponse à incident. et faire du Threat Hunting sur les indicateurs de compromission, c'est la base même de l'EDR.
Nous avions remplacé notre EPP, mais c'était un concours de circonstances. Nous étions initialement équipés de l'antivirus Kaspersky lorsque la guerre en Ukraine a éclaté. L'ANSSI a envisagé le risque que l'Ukraine attaque les serveurs de Kaspersky et que les bases d'antivirus ne soient plus mises à jour, ce qui aurait représenté un risque pour tous les clients de l'éditeur. Nous avons alors fait le choix de déployer Microsoft Defender interfacé à l'EDR d'Harfanglab. »
« Outre la protection des endpoints, nous utilisons aussi l'EDR pour faire ce que j'appellerai de la bonne gestion numérique et compléter les informations de l'Active Directory et nos outils de gestion centralisés.
En effet, dans l'écosystème IT d'un hôpital, de nombreux équipements sont gérés de manière centralisée dans l'Active Directory et via les outils Microsoft, mais il y a un angle mort avec tous les équipements biomédicaux dont la gestion ne peut être centralisée. L'EDR permet d'avoir une vision sur ces équipements biomédicaux et remonter l'ensemble des événements dans une console centrale. Ainsi, la visibilité apportée par l'EDR est quasi exhaustive sur l'ensemble de nos assets numériques.
Un autre aspect qui nous intéressait beaucoup, c'était la possibilité de faire du requêtage à distance sur un très grand nombre d'endpoints. On peut savoir quels sont les postes de travail qui ont telle ou telle entrée de clé de registre à travers une requête. On peut ainsi repérer les professionnels qui installent des logiciels non autorisés, mais pour lesquels ils n'avaient pas besoin de droits d'administration et donc sans l'accord de la DSI. De ce fait, l'EDR est un outil précieux tant en cybersécurité qu'en gestion du parc.
Les EDR sont connus pour le grand nombre de faux positifs qu'ils émettent lors de leur mise en place. Harfanglab fonctionne avec 6 moteurs de détection différents. Parmi ces moteurs de détection, il y a des moteurs comme YARA ou Sigma. S'ils déclenchent une alarme, on sait qu'il s'agit d'un vrai positif. Par contre le moteur d'intelligence artificielle génère davantage de faux positifs, car il faut entraîner le modèle.
Lors de la mise en place, nous avons placé 5 des 6 moteurs en mode blocage et le moteur d'IA en mode détection seulement. Ces faux positifs sont néanmoins extrêmement intéressants, car ils révèlent des mauvaises pratiques de la part de nos éditeurs. Nous nous servons de ces alertes pour contacter l'éditeur pour leur signaler que leur binaire n'est pas signé, ou que leur application réalise des appels système qu'elle ne devrait pas faire. »