Projet EDR

Lors de mon alternance à la mairie de Boissy-Saint-Léger, j'ai eu l'opportunité de participer à un projet stratégique pour la sécurisation des systèmes informatiques : la mise en place d'une solution EDR (Endpoint Detection and Response), en collaboration avec Orange Cybersécurité. Avant ce projet, la mairie utilisait un antivirus traditionnel (ESET), mais son coût était devenu trop élevé par rapport à une protection efficace contre les nouvelles menaces informatiques.

Dans ce contexte, l'idée de sous-traiter et de déléguer la gestion de la sécurité à un expert comme Orange Cybersécurité a émergé. L'objectif était de se protéger non seulement des virus classiques, mais aussi des menaces complexes et évolutives, notamment celles qui exploitent l'intelligence artificielle et des bases de données sophistiquées.

L'EDR se distingue des antivirus traditionnels en ce qu'il permet de surveiller en temps réel les postes utilisateurs, d'analyser les comportements suspects et d'intervenir immédiatement, soit de manière automatique, soit de manière manuelle, en cas de menace. Contrairement à un antivirus classique, qui se base principalement sur des signatures de menaces connues, un EDR comme SentinelOne utilise des techniques avancées telles que l'analyse comportementale et l'intelligence artificielle pour détecter des attaques inconnues avant qu'elles ne causent des dommages.

Ce projet a été une expérience enrichissante qui m'a permis de comprendre les enjeux de la cybersécurité et d'apporter ma contribution à une solution efficace pour protéger les utilisateurs et leurs données, tout en optimisant les coûts et les ressources de la mairie.

Le choix de la solution (SentinelOne)

Voici une image du Dashboard de SentinelOne
Voici une image du Dashboard de SentinelOne

Dans le cadre de ce projet, le choix de SentinelOne s'est imposé pour plusieurs raisons. D'abord, cette solution EDR se distingue par son approche proactive et intelligente de la cybersécurité. Contrairement aux antivirus traditionnels, qui se basent principalement sur des signatures de menaces, SentinelOne utilise une combinaison de technologies d’intelligence artificielle et d'analyse comportementale pour détecter et répondre aux menaces, même celles qui sont inconnues ou non répertoriées.

La capacité de SentinelOne à surveiller en temps réel l'ensemble des processus des postes utilisateurs permet une détection des menaces dès leur apparition. Sa réponse rapide permet de bloquer automatiquement les comportements malveillants avant qu'ils ne puissent affecter le système. C'est cette réactivité et cette capacité à analyser les données en profondeur qui ont convaincu Orange Cybersécurité de proposer cette solution à la mairie.

En plus de sa puissance technique, SentinelOne a également l'avantage de réduire les coûts à long terme, en permettant de centraliser et d'automatiser les tâches de sécurité tout en offrant une gestion simplifiée et une visibilité complète sur l'ensemble des équipements protégés.

Voici une image du Dashboard de SentinelOne

Mise en place de l'EDR - Installation de SentinelOne

Pour l'installation de SentinelOne, Orange Cybersécurité nous a fourni une fiche technique détaillant toutes les étapes nécessaires à l'installation de l'agent sur les postes utilisateurs. Un script BASH était également inclus pour automatiser le processus. Cependant, nous avons dû modifier ce script afin de le rendre compatible avec notre environnement, notamment pour corriger quelques erreurs techniques. Une fois le script adapté, il nous a suffi d'installer l'agent SentinelOne sur toutes les machines grâce à une GPO, tout en désinstallant l'ancien antivirus pour assurer une transition fluide et une sécurité optimale.

Mise en place de la GPO

Voici une image de la GPO, qui se lance au démarrage des ordinateur
Voici une image de la GPO, qui se lance au démarrage des ordinateur

Une GPO (Group Policy Object) est une stratégie de groupe utilisée dans les environnements Windows pour appliquer des configurations et automatiser des tâches sur plusieurs machines d'un domaine Active Directory. Elle permet d’assurer une gestion centralisée, simplifiant ainsi le déploiement de logiciels, la configuration des paramètres système et le renforcement de la sécurité.

Dans notre projet, nous avons intégré un SentinelOne.bat dans une GPO afin d'automatiser le téléchargement et l'installation de l’agent SentinelOne sur les postes utilisateurs. Cette approche garantit une installation uniforme et évite les interventions manuelles sur chaque machine.

Voici une image du script, exécuter au démarrage des ordinateur
Voici une image du script, exécuter au démarrage des ordinateur

Voici une image de la GPO, qui se lance au démarrage des ordinateur

Voici une image du script, exécuter au démarrage des ordinateur

Ce script batch est exécuté au démarrage des ordinateurs pour installer automatiquement SentinelOne s’il n’est pas déjà présent. Il commence par vérifier via la base de registre si SentinelOne est installé. Si ce n'est pas le cas, il passe à l’étape RunInstall, où il définit le chemin complet du fichier d’installation. Ensuite, il copie l’installeur dans un répertoire temporaire et l’exécute en mode silencieux avec un token d’activation spécifique au site. Si le fichier d’installation est introuvable, un message d’erreur est affiché.

Mise en place de l'EDR - Règle Firewall

Une fois l’agent SentinelOne installé sur les postes utilisateurs, il est essentiel d’ouvrir les flux réseau nécessaires pour garantir la communication entre les agents et la console de gestion SentinelOne. Pour cela, il faut configurer le Firewall et/ou le proxy afin d’autoriser les connexions sortantes sur le port 443 TCP (HTTPS) vers les URLs et IPs spécifiques fournies par SentinelOne. Il est également crucial de désactiver l'interception SSL pour éviter toute perturbation dans la communication entre les agents et la console SentinelOne.

Mise en place des règles Firewall

Voici une image de la Règle du Firewall, qui permet au flux de passer vers des URLs spécifiques
Voici une image de la Règle du Firewall, qui permet au flux de passer vers des URLs spécifiques

Une règle de firewall permet de contrôler le trafic réseau en autorisant ou bloquant certaines connexions en fonction de critères comme l’adresse IP, le port ou le protocole utilisé. Cela sert à protéger le réseau contre les menaces, restreindre l’accès à certaines ressources et garantir le bon fonctionnement des applications légitimes.

L’objectif principal de cette règle de firewall est d’assurer la communication sécurisée entre les agents SentinelOne installés sur les postes utilisateurs et la console de management. En autorisant les connexions sortantes sur le port 443 TCP (HTTPS) vers les serveurs SentinelOne, cette règle permet aux agents de remonter les événements de sécurité, recevoir des mises à jour et appliquer des actions de remédiation en cas de détection de menaces. Sans cette configuration, les agents ne pourraient pas communiquer correctement, ce qui limiterait la capacité de détection et de réponse aux incidents.

Voici une image de la Règle du Firewall, qui permet au flux de passer vers des URLs spécifiques

Phase de tests et validation

Après l’installation de SentinelOne, une phase de tests a été réalisée pour s’assurer du bon fonctionnement de la solution. Nous avons vérifié que tous les postes étaient bien enregistrés dans la console de management et que les agents étaient actifs. Ensuite, nous avons simulé des scénarios de menace pour tester la détection des comportements anormaux et la réaction automatique de SentinelOne (blocage, quarantaine, remédiation). Enfin, des ajustements ont été faits pour optimiser la configuration et s’assurer qu’aucun impact négatif n’affectait les utilisateurs.

Voici une image avec la liste des PC possédant un agent Sentinel d'installer
Voici une image avec la liste des PC possédant un agent Sentinel d'installer

Voici une image avec la liste des PC possédant un agent Sentinel d'installer

Conclusion

L’implémentation de SentinelOne dans notre infrastructure a renforcé notre sécurité face aux nouvelles menaces cybercriminelles. Contrairement aux antivirus classiques, l’EDR détecte et neutralise les attaques grâce à l’intelligence artificielle et à l’analyse comportementale, rendant nos systèmes plus résilients contre les cyberattaques sophistiquées.

En sous-traitant cette protection à Orange Cybersécurité, nous avons pu déléguer la gestion des incidents et nous concentrer sur l’assistance aux utilisateurs et le développement de nouveaux projets. De plus, grâce à la base de données mutualisée d’Orange et de ses clients, notre protection évolue en temps réel, intégrant les dernières menaces identifiées à travers le monde.

Voici une image avec la liste des incidents et menaces qui arrivent

Depuis l’installation de l’EDR, aucune attaque majeure n’a été recensée, prouvant son efficacité. Dans un contexte où la sécurité informatique des services publics devient un enjeu critique au quotidien, cette solution nous permet de mieux protéger nos infrastructures et les données des utilisateurs.

Merci

Je vous remercie sincèrement d'avoir pris le temps de consulter mon portfolio. Votre intérêt est très apprécié.
N'hésitez pas à me contacter directement si vous avez des questions ou si vous souhaitez obtenir plus d'informations sur moi.

Au plaisir de vous entendre bientôt !

© 2024 - 2025. Tous droits réservés. Créer par Florian Cesa.

Contact