Pourquoi Lactalis opte pour un EDR managé

Comment avez-vous abordé le choix d’une solution EDR ?
Paul LEMESLE – Lorsque j’ai pris mon poste de RSSI du groupe Lactalis en septembre 2019, j’ai rapidement entamé une réflexion sur nos capacités de détection et réponse à incident. A mon sens, les attaques par rançongiciel constituaient un risque majeur pour l’entreprise.
Avant de rejoindre Lactalis, j’ai participé à la mise en place du CyberSOC de Saint-Gobain pendant 2 ans, avec le déploiement d’un SIEM et d’éléments de NDR (Network Detection & Response) et d’EDR (Endpoint Detection and Response).
Fort de cette expérience, j’ai considéré qu’il était pertinent de commencer par l’EDR. Pour une entreprise comme Lactalis, avec de nombreuses intégrations en cours, de nombreux accès internet dans le monde et un système d’information décentralisé, le déploiement d’un SIEM constitue un projet complexe sans pour autant offrir les capacités de réponse requises pour faire face à une attaque.

Quelles sont vos attentes ?
Une stratégie EDR devait nous apporter un bénéfice bien plus important au regard de nos contraintes. Nous avons rapidement pris la décision d’aller vers une offre managée pour compléter nos compétences cyber. Monter une équipe SOC formée aux outils d’analyses et au forensic est un challenge en soi. En outre, il est à la fois difficile et extrêmement coûteux de trouver les ressources pour constituer une équipe qui doit fonctionner en 24/7, soit une vingtaine de personnes au minimum.

Comment s’est déroulé le déploiement ?
L’EDR est entré chez Lactalis d’une manière assez inhabituelle. Nous avions planifié une stratégie de déploiement sur 2 ans, avec un processus d’appel d’offres, d’étude des offres, de sélection, puis un déploiement très classique. Nous avons dû aller beaucoup plus rapidement quand, en phase de POC avec l’un des EDR, celui-ci a détecté les éléments précurseurs d’une attaque sur les contrôleurs de domaine. Nous avons donc basculé en mode gestion de crise avec l’EDR qui n’était alors qu’en test et en bénéficiant des services managés associés et des analyses de compromission délivrées par le MSSP.

Et maintenant ?
Cette crise traitée, nous reprenons aujourd’hui notre processus de travail sur les RFP sachant que nous attendons du prestataire une couverture mondiale en 24/7 et en anglais. Un autre élément-clé dans notre choix, c’est que l’entreprise à qui nous allons confier la gestion de notre EDR devra être capable de traiter la réponse à incident et même intervenir en notre nom sur le système d’information. Un EDR offre des capacités de réponse à incident et il serait dommage qu’un ticket d’incident reste en attente plusieurs heures avant qu’une quarantaine réseau soit décidée.

Comment appréhender la relation avec un MSSP ?
Toutes les entreprises ne veulent pas aller aussi loin car cela demande une confiance mutuelle entre l’entreprise et son MSSP.  Mais je pense qu’il est important d’autoriser le partenaire à mettre en oeuvre la remédiation dès que possible, car c’est du bon fonctionnement de l’entreprise dont il est question.
Les EDR permettent de définir des politiques de gestion différentes pour les différents terminaux. Ainsi, une politique de sécurité agressive peut être déployée sur les terminaux mobiles très exposés au risque, avec un blocage par défaut de toute menace.
Pour les serveurs, on peut opter pour une prise de décision en commun sur la réaction à adopter en cas d’incident. Les processus à mettre en place avec le MSSP en charge de l’EDR doivent prévoir ces différents cas de figure.

Propos recueillis par Alain Clapaud

Lire notre dossier : EDR : pourquoi l’externalisation gagne du terrain