Comment exploiter un EDR au quotidien dans une ville de 35 000 habitants, avec une équipe systèmes d'information forcément réduite ? C'est à cette problématique que s'est retrouvé confronté le responsable SI de la ville de Mâcon, à l'occasion de l'installation d'un EDR. Equipée jusqu'alors d'un antivirus à signatures édité par la société russe Kaspersky, la municipalité cherche, aux débuts de la guerre en Ukraine, à remplacer cet outil. « Le diagnostic de l'Anssi nous a alors rapidement orienté vers un EDR », se remémore Xavier Winckel, le responsable SI de la préfecture de Saône-et-Loire. Mâcon bénéficie, en effet, d'un financement de 50 000 euros apporté par l'Agence nationale, afin de renforcer sa cybersécurité. Cette aide est issue du dispositif parcours de cybersécurité, qui bénéficie de l'appui financier de France Relance.
« Je m'en occupais avec un collègue »
Dans un premier temps, Xavier Winckel imagine opérer la solution en interne. Et s'oriente vers l'EDR de l'éditeur américain Watchguard, en raison de la simplicité de la console d'administration proposée par ce fournisseur et également dans une logique de consolidation, Mâcon exploitant déjà des pare-feu de la marque. « Mais nous n'avions pas de ressources dédiées à l'exploitation de la solution. Je m'en occupais avec un collègue, en plus de tout le reste », indique le responsable. Passé les vacances de Noël - période pendant laquelle assurer une permanence sur le suivi des alertes s'avère difficile - et confronté à la multiplication des attaques ciblant des organisations géographiquement proches de la ville, le responsable IT décide de lancer un marché d'assistance, « pour passer en mode managé ».
C'est vers un partenaire de Watchguard, Ava6, que s'oriente la ville de Mâcon. Un prestataire qui, en 2022, a créé une offre dédiée, RedSOC, afin de simplifier l'exploitation de l'EDR de la marque pour les PME et collectivités. « Je me reconnais bien dans la logique des PME », dit d'ailleurs Xavier Winckel. Engagé pour cinq ans, le projet convainc rapidement la direction générale de la municipalité. « L'investissement nécessaire a été mis en balance avec la somme qui devrait être mobilisée pour se remettre d'une cyberattaque, soit environ un million d'euros », commente le responsable.
Protéger les infrastructures les plus critiques
Déployé d'abord à petite échelle durant l'été 2022, l'EDR de Watchguard protège aujourd'hui plus de 300 postes de travail et une centaine de VM. « Nous ne couvrons pas l'intégralité du périmètre IT, seulement les éléments les plus critiques : les PC de direction, les serveurs hébergeant les données des citoyens ou les informations sensibles », indique Xavier Winckel. Par exemple, les équipements des écoles ne sont, à date, pas protégés par l'EDR. « Mais nous avons prévu de les réintégrer à l'issue du contrat avec l'antivirus qui est actuellement déployé sur ces machines. »
Via RedSOC, Ava6 s'occupe des activités de détection des menaces, d'isolation des machines suspectes et, éventuellement, de suppression des fichiers litigieux. Au-delà, le contrat prévoit d'alerter les équipes IT de la ville. « Par ailleurs, les équipes d'Ava6 n'interviennent pas sur les serveurs », précise Xavier Winckel, qui refuse d'ouvrir des accès sur ces machines. Pour l'heure, le service RedSOC, qui compte une centaine de clients, se limite à la gestion managée de l'EDR de Watchguard. Mais la stratégie de l'éditeur et de son partenaire consiste bien à évoluer, à partir du second semestre 2024, vers une détection managée des incidents plus globale, en intégrant les logs des pare-feu, des systèmes de gestion des identités, etc. Une évolution que Mâcon entend aussi conduire, mais plutôt en interne. « A l'horizon de trois ans, comme le prévoit la feuille de route conçue avec l'Anssi, nous voulons mettre en place un SOC interne, avec une ressource dédiée à la gestion des alertes », détaille Xavier Winckel.
Commentaire