L’EDR d’HarfangLab bien noté au Tests MITRE 2024

décembre 2024 par Marc Jacob

Pour la deuxième année consécutive, HarfangLab a participé aux évaluations du MITRE ATT&CK afin de confronter les capacités techniques de son EDR au plus exigeant des référentiels du marché. De nouveau, HarfangLab se démarque par l’excellence de sa détection et de ses capacités de protection.

Qu’est-ce que les évaluations MITRE ?

MITRE est un organisme à but non-lucratif qui a pour mission de créer des standards de référence pour la classification et le traitement des cyberattaques. Il édite la matrice MITRE ATT&CK qui vise aussi à documenter les tactiques, les techniques et les groupes d’attaquants. Pour une solution de détection et de réponse tel qu’un EDR, avoir la capacité de couvrir le large éventail de techniques, à différents stades d’une attaque, avec des typologies d’attaques très diverses qui sont référencées dans la matrice MITRE ATT&CK est une garantie de détection particulièrement recherchée. Déclencher des alertes et stopper les techniques et tactiques documentées dans la matrice MITRE ATT&CK est l’objectif de tous les éditeurs d’EDR.

Chaque année, les éditeurs d’EDR qui le souhaitent peuvent se soumettre aux évaluations MITRE ATT&CK afin de tester - dans des conditions aussi proches possibles d’une cyberattaque - leurs capacités de détection, de protection ou encore leur précision. Après avoir obtenu de très bons résultats en matière de détection pour sa première participation en 2023, HarfangLab a passé les tests pour la deuxième fois en 2024, en étendant l’évaluation pour également tester ses capacités de protection.

Le diptyque de la performance d’un EDR : la détection et la précision.

HarfangLab marque des points sur les deux aspects

Plusieurs capacités de l’EDR d’HarfangLab étaient testées cette année :

– la détection :

HarfangLab obtient de très bons résultats en matière de détection.

L’EDR d’HarfangLab a détecté 100% des attaques. Pour chacune des 16 étapes des scénarios d’attaque joués par l’équipe du MITRE, l’EDR d’HarfangLab a identifié des techniques, c’est-à-dire des détections les plus précises et contextualisées possibles. Pour entrer dans les détails, 69 sous-étapes dans chacune des 16 étapes ont été détectées au niveau technique. Détecter au moins une technique à l’intérieur d’une étape permet de s’assurer que l’EDR donne bien l’alerte en cas de comportement suspect.

Cette qualité de détection, qui vient confirmer les résultats 2023, valide la performance de l’EDR d’HarfangLab face aux menaces les plus sophistiquées.

– Pour la protection :

A l’analyse des résultats du test de protection, HarfangLab est particulièrement performant.

En termes de protection, l’EDR d’HarfangLab a bloqué 8 étapes. Tous les blocages réalisés l’ont été de manière immédiate, interrompant l’attaque dès la première action des attaquants. En observant les résultats des autres participants aux Evaluations du MITRE, le blocage proposé par HarfangLab est 30% plus efficace que la moyenne.

– La précision :

Contrairement aux deux tests mentionnés ci-dessus, l’objectif est ici que l’EDR ne génère pas d’alertes. Ainsi, parmi les 100 sous-étapes jouées par les équipes de MITRE pour tester les EDR, 20 étaient des actions légitimes d’utilisateurs.

Seule 1 d’entre elles a déclenché une alerte d’HarfangLab, révélant alors un haut niveau de précision de l’EDR, soit 99% de réussite sur cet exercice.

Quels scénarios en 2024 ?

Les tests se déroulent sur 3 jours et consistent à évaluer les capacités des EDR face à différents types d’attaque. Après Turla (APT) en 2023, 2024 devait permettre challenger les capacités de détection des EDR sur les OS et les menaces suivantes :

• APT sur macOS avec une simulation d’attaque pouvant être menée par un acteur Nord-Coréen ;

• Ransomware sur Windows et Linux avec des simulations d’attaques par les groupes CL0P et Lockbit.

Léna Jakubowicz, ingénieure avant-vente et cheffe de projet du MITRE commente : « Ces tests confirment que notre EDR fait aujourd’hui partie des meilleurs du marché. En effet, un bon EDR en 2025, c’est le triptyque détection, protection et précision, représentée par un faible taux de faux positifs évitant de faire perdre du temps aux analystes. De plus, les tests MITRE sont l’illustration du projet d’entreprise où chaque équipe a son rôle à jouer et apporte sa pierre à l’édifice : la recherche et le développement, les équipes produit et CTI, sur le pont lors des tests – intenses – en passant par le commerce, l’avant-vente et le marketing qui valorisent ensuite ces résultats tout au long de l’année. C’est un vrai défi, relevé avec brio par la force du collectif, et qui nous permet à la fin de délivrer un produit d’excellence et de le prouver »