Mâcon refuerza su ciberdefensa con un EDR gestionado

¿Cómo operar un EDR a diario en una ciudad de 35.000 habitantes, con un equipo de sistemas de información necesariamente pequeño? Este es el problema al que se enfrentó el responsable de SI de la ciudad de Mâcon durante la instalación de un EDR. Equipado hasta ahora con un antivirus de la firma publicada por la empresa rusa Kaspersky, el municipio intentó, al inicio de la guerra en Ucrania, sustituir esta herramienta. “El diagnóstico de Anssi nos encaminó rápidamente hacia una EDR”, recuerda Xavier Winckel, responsable de SI en la prefectura de Saona y Loira. De hecho, Mâcon se beneficia de una financiación de 50.000 euros proporcionada por la Agencia Nacional para reforzar su ciberseguridad. Esta ayuda proviene del sistema de itinerarios de ciberseguridad, que se beneficia del apoyo financiero de France Relance.

“Lo solucioné con un colega”

Al principio, Xavier Winckel imagina utilizar la solución internamente. Y avanza hacia el EDR de la editorial estadounidense Watchguard, debido a la sencillez de la consola de administración que ofrece este proveedor y también en una lógica de consolidación, Mâcon ya utiliza los firewalls de la marca. “Pero no teníamos recursos dedicados a operar la solución. Me ocupé de ello con un compañero, además de todo lo demás”, afirma el gerente. Después de las vacaciones de Navidad, período durante el cual resulta difícil garantizar un seguimiento continuo de las alertas, y ante el aumento de los ataques dirigidos a organizaciones geográficamente cercanas a la ciudad, el responsable de TI decide lanzar un mercado de soporte, "para pasar al modo gestionado".

La ciudad de Mâcon recurre a un socio de Watchguard, Ava6. Un proveedor de servicios que, en 2022, creó una oferta dedicada, RedSOC, con el fin de simplificar el funcionamiento del EDR de la marca para pymes y comunidades. “Me identifico bien con la lógica de las PYME”, afirma Xavier Winckel. Comprometido desde hace cinco años, el proyecto convenció rápidamente a la dirección general del municipio. “Se sopesó la inversión necesaria con la suma que habría que movilizar para recuperarse de un ciberataque, es decir, alrededor de un millón de euros”, comenta el directivo.

Proteger las infraestructuras más críticas

Implementado por primera vez a pequeña escala durante el verano de 2022, el EDR de Watchguard ahora protege más de 300 estaciones de trabajo y alrededor de un centenar de máquinas virtuales. “No cubrimos todo el perímetro informático, sólo los elementos más críticos: PC de gestión, servidores que alojan datos de los ciudadanos o información sensible”, indica Xavier Winckel. Por ejemplo, hasta la fecha el equipamiento escolar no está protegido por la EDR. “Pero planeamos restablecerlos cuando finalice el contrato con el antivirus que actualmente está implementado en estas máquinas. »

A través de RedSOC, Ava6 se encarga de las actividades de detección de amenazas, aislamiento de máquinas sospechosas y, posiblemente, eliminación de archivos polémicos. Además, el contrato prevé alertar a los equipos informáticos de la ciudad. “Además, los equipos Ava6 no intervienen en los servidores”, explica Xavier Winckel, que se niega a abrir el acceso a estas máquinas. De momento, el servicio RedSOC, que cuenta con alrededor de un centenar de clientes, se limita a la gestión gestionada del EDR de Watchguard. Pero la estrategia del editor y de su socio consiste en avanzar, a partir del segundo semestre de 2024, hacia una detección de incidentes gestionada más globalmente, integrando registros de firewalls, sistemas de gestión de identidades, etc. Un desarrollo que Mâcon también pretende liderar, pero más bien internamente. “Durante los próximos tres años, como está previsto en la hoja de ruta diseñada con Anssi, queremos crear un SOC interno, con un recurso dedicado a la gestión de alertas”, explica Xavier Winckel.