« On a un EDR. On est protégés. » Pour rappel c’est ça un EDR
Voilà ce que m’a dit un DSI, droit dans ses bottes, regard fier, dashboard rutilant en fond d’écran. L’assurance tranquille de celui qui a coché toutes les cases de la compliance et pense que les attaques s’arrêtent à la frontière du logiciel magique.
Alors, on a décidé de faire un petit test. Pas une vraie attaque, hein. Juste une simulation d’exfiltration de données. Un petit exercice contrôlé, balisé, propre. L’équivalent cyber d’un crash-test à 30 km/h.
Et là… rien.
– Pas d’alerte.
– Pas de blocage.
– Pas même un petit clignotement suspect sur la console d’administration.
L’EDR ? Muet comme une carpe. Pas même un sursaut d’activité. Il sirotait sans doute son café virtuel en fond de tâche pendant qu’on siphonnait les données RH.
“Mais comment est-ce possible ?”, demande le DSI, interloqué.
C’est simple :
On n’a pas utilisé de malware russe aux gros sabots.
On n’a pas lancé de script .vbs téléchargé sur un site douteux en .ru.
Non, on a fait comme un humain. Un humain avec de mauvaises intentions, mais un humain quand même.
PowerShell, RDP, 7-Zip.
Des outils intégrés. Signés. Légitimes.
Le genre que votre EDR connaît trop bien… donc qu’il ignore royalement.
On a même respecté les heures de bureau. Pas d’activité suspecte à 3h du matin. Non, on a volé les données à 10h42, entre deux cafés et une réunion Teams.
Le résultat ?
– Un poste compromis
– Une élévation de privilèges en 9 minutes
– Un accès au SI élargi en 14
– Et vos données RH qui disent déjà bonjour à Telegram
Mais votre EDR ? Toujours zen. Dashboard vert. « Aucun incident détecté. » Il faudrait presque le féliciter.
La douloureuse vérité
L’attaque n’était pas bruyante. Elle était intelligente.
Et votre EDR, lui, attend toujours que les cybercriminels utilisent Meterpreter ou un binaire vérolé repéré par VirusTotal depuis 2017.
On vous a vendu un chien de garde. Vous avez eu un caniche sous Lexomil.
Parce que la réalité, c’est que ce n’est pas la technologie qui vous protège.
C’est votre capacité à vérifier qu’elle fonctionne réellement. À la challenger. À la sortir de sa zone de confort.
Petit florilège d’excuses entendues après le test :
– “Oui mais notre EDR n’était pas à jour ce jour-là…”
Ah, donc vous comptez sur la chance ? Pas de bol, les attaquants, eux, bossent même le lundi matin.
– “Mais l’attaque était trop réaliste…”
C’est le but, Sherlock.
– “On a une version de base, pas la version ‘Threat Hunting’…”
Et pendant ce temps, vos données sont en train de faire du base jumping sur le dark web.
Exemple fictif (mais pas tant que ça) :
La PME Lambda S.A.
– Un budget cybersécurité tout beau, tout propre.
– Un EDR dernière génération.
– Une équipe IT confiante.
Et un stagiaire malveillant qui a utilisé des macros Excel et une clé USB pour récupérer la base client. En douce. En local. En utilisant Word et Excel, donc : aucune alerte.
La morale ?
Si vous ne testez jamais votre EDR, vous vivez dans une illusion de protection.
Comme un pompier qui n’aurait jamais vu le feu et pense que ça s’éteint avec un spray à vitres.
Alors posez-vous la vraie question :
Votre EDR vous protège-t-il ou vous rassure-t-il ?
Parce que l’un sauve votre peau, l’autre sauve vos rapports trimestriels.
Et si un jour vous entendez cette phrase :
« Pas de panique, on a un EDR »
…souriez poliment. Puis testez-le. Vous verrez bien si lui aussi vous sourit en retour.
