Rémy Cointreau optimise la sécurité de ses terminaux
Le spécialiste des spiritueux Rémy Cointreau a changé son EDR en misant sur l'offre Crowdstrike. Une évolution aux multiples bénéfices.
PublicitéLes offres EDR (Endpoint Detection and Response) sont encore assez mal connues et répandues en Europe et pourtant elles représentent une réponse aux évolutions des menaces et surtout à leur détection. Capable de surveiller l'exploitation de failles de sécurités en surveillant les appels noyaux et les différents services habituellement ciblés, les EDR monitorent les actions d'un terminal et analyse les comportements pour détecter des anomalies. Chez Rémi Cointreau, le RSSI Xavier Leschaeve, explique lors d'une présentation au FIC à Lille, qu'il était déjà utilisateur d'un EDR depuis 2016, « avec une excellente visibilité sur les postes de travail et les serveurs », mais aussi avec quelques regrets « l'absence d'un mode de blocage proactif et un niveau de maturité très bas sur l'EDR au sein de l'entreprise ». Tout allait bien jusqu'à une vague de ransomware et en particulier la détection d'un incident Locky a réussi à passer. « Nous avons eu en quelques minutes des dizaines de milliers d'alertes, l'antivirus n'a rien vu et le serveur est mort », se souvient le responsable.
Après cet épisode, Xavier Leschaeve a souhaité changer d'EDR et a donc regardé le marché. « Des évaluations ont été faites et notamment la solution Crowdstrike. Elle était intéressante sur plusieurs points : elle n'installe qu'un seul agent et nous pouvions envisager la suppression de l'antivirus, elle établit un lien avec le SOC et propose des modules complémentaires comme la gestion de l'USB, l'inventaire, la sandbox,... », observe le RSSI. Face à ces arguments, un POC a été mis en place en janvier 2019 sur des PC maîtres et des serveurs. En février 2019, l'IT a joué la division pilote au même titre que le site de Paris (Rémy Cointreau comprend 20 sites sur 4 continents). En mars/avril, la décision a été prise d'équiper l'ensemble du groupe avec un rythme d'une filiale par semaine. Au total, 1 800 postes de travail et 400 serveurs ont été équipés.
L'antivirus supprimé en attendant le SIEM
Si le déploiement s'est déroulé rapidement, il y a quelques points de tension. « Le plus compliqué a été de supprimer l'antivirus, car il est équipé de protection pour éviter de l'enlever. Nous avons été obligés de créer des scripts pour s'en débarrasser et nous avons constaté des gains de performances », avoue Xavier Leschaeve. Une vigilance particulière a été portée sur la montée en puissance de l'ERD. « Un mode bloquant soft a été mis en place au début pour ensuite remonter le niveau de la détection », rapporte le RSSI. La prudence était de mise en particulier « sur les systèmes industriels comme les chaînes d'embouteillage. Dans ce cadre, la migration s'est déroulée serveur par serveur. Nous avons constaté beaucoup de faux positifs » souligne-t-il. Dans cette implémentation, le groupe a réussi à détecter un cryptomineur, qui s'était introduit sur des machines pourvues d'EDR d'ancienne génération et qui se déplaçait de postes en postes comme un ransomware.
Publicité Avec la solution Crowdstrike, le RSSI constate des différences par rapport à son EDR précédent. « Il est moins verbeux avec moins de 10 alertes par jour et elles sont intégrées dans le SOC », assure-t-il. Engagé dans un cercle vertueux de bonnes pratiques, Rémy Cointreau regarde l'avenir de son EDR notamment sur les partenariats entre Crowdstrike et d'autres solutions comme Zscaler pour apporter des tableaux de bord. A terme, Xavier Leschaeve ne s'interdit pas de réfléchir à remplacer le SIEM par l'EDR.
Article rédigé par
Jacques Cheminat, Rédacteur en chef LMI
Suivez l'auteur sur Linked In, Twitter
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire