Un EDR en surveillance :
En septembre 2022, la ville de Caen a évité le déploiement d’un ransomware grâce à la mise en place d’un EDR, c’est-à-dire une solution de détection et de réponse sur les postes de travail et les serveurs.
L’information est intéressante, car elle montre une réalité souvent sous-estimée : une attaque informatique ne se bloque pas toujours uniquement avec un antivirus classique. Dans ce cas précis, c’est la surveillance apportée par l’EDR HarfangLab, alors en période d’essai, qui a permis d’identifier un comportement suspect avant que le rançongiciel ne puisse se déployer plus largement dans le système d’information.
Un ransomware, ou rançongiciel, est un logiciel malveillant conçu pour chiffrer les données d’une organisation afin de bloquer son activité. Les attaquants réclament ensuite une rançon en échange d’une éventuelle clé de déchiffrement. Dans les faits, même le paiement ne garantit pas toujours la récupération complète des données. Pour une collectivité, une PME ou une association, les conséquences peuvent être importantes : arrêt des services, perte d’accès aux fichiers, interruption de la production, indisponibilité des logiciels métier, atteinte à l’image et coûts de remise en état.
Le cas de Caen rappelle l’importance de la détection. Beaucoup d’entreprises concentrent leurs efforts sur la prévention : antivirus, pare-feu, mises à jour, mots de passe, sauvegardes. Ces mesures sont indispensables, mais elles ne suffisent pas toujours. Lorsqu’un attaquant réussit à entrer dans le système, il faut être capable de repérer rapidement les comportements anormaux : exécution inhabituelle de programmes, chiffrement massif de fichiers, mouvements latéraux, utilisation d’outils d’administration détournés ou tentatives d’élévation de privilèges.
C’est précisément le rôle d’un EDR. Contrairement à un antivirus traditionnel, qui se concentre principalement sur la détection de fichiers malveillants connus, un EDR observe le comportement des postes et des serveurs. Il aide à comprendre ce qui se passe sur les machines, à détecter des actions suspectes et à réagir plus vite lorsqu’un incident démarre.
Pour une PME, cela ne signifie pas qu’il faut installer une solution complexe sans réflexion. Un EDR doit s’inscrire dans une démarche plus globale. Avant de multiplier les outils, il faut vérifier les bases : sauvegardes fiables, mises à jour régulières, comptes utilisateurs maîtrisés, droits administrateur limités, mots de passe robustes, double authentification lorsque c’est possible, pare-feu correctement configuré et sensibilisation des utilisateurs.
La sauvegarde reste un point essentiel. Un ransomware devient beaucoup plus grave lorsque l’entreprise découvre, au moment de l’incident, que ses sauvegardes sont absentes, incomplètes, non testées ou accessibles directement depuis le réseau compromis. Une sauvegarde utile doit être isolée, surveillée et régulièrement testée. Le simple fait d’avoir une copie des données ne suffit pas : il faut être certain de pouvoir restaurer les fichiers dans un délai acceptable.
Le cas de Caen montre aussi l’intérêt d’une supervision régulière. Installer un outil sans regarder les alertes ne sert pas à grand-chose. Une solution de sécurité doit être suivie, comprise et intégrée dans une organisation réaliste. Pour une petite structure, cela peut passer par un prestataire informatique, une maintenance régulière ou un diagnostic périodique de sécurité.
L’objectif n’est pas de faire peur aux dirigeants. Il s’agit plutôt de rappeler qu’une attaque se prépare souvent en plusieurs étapes. Plus l’entreprise détecte tôt une activité anormale, plus elle augmente ses chances de limiter les dégâts. Une détection rapide peut faire la différence entre un incident contenu et une paralysie complète de l’activité.
Pour les PME, la bonne approche consiste à avancer progressivement. Il faut commencer par identifier les données importantes, vérifier les sauvegardes, sécuriser les accès, limiter les droits inutiles, maintenir les systèmes à jour, former les utilisateurs et envisager des outils de détection adaptés lorsque le niveau de risque le justifie.
Ce retour d’expérience de la ville de Caen illustre une idée simple : la cybersécurité ne repose pas sur un seul outil. Elle repose sur un ensemble cohérent de mesures techniques, humaines et organisationnelles. L’EDR peut être une brique utile, mais il doit s’accompagner d’une politique claire de sécurité, d’une gestion sérieuse des sauvegardes et d’un plan de réaction en cas d’incident.
Chez Cyber-Lid, cette logique est au cœur de l’accompagnement proposé aux petites entreprises : comprendre l’existant, identifier les risques prioritaires, éviter les solutions disproportionnées et mettre en place des protections adaptées à l’activité réelle de l’entreprise.
Source : LeMagIT.
Pour aller plus loin : le guide de l’ANSSI sur l’élaboration d’une politique de sécurité des systèmes d’information permet de structurer une démarche de sécurité adaptée à l’organisation. (https://www.ssi.gouv.fr/guide/pssi-guide-delaboration-de-politiques-de-securite-des-systemes-dinformation/).
