Les cyberattaques se faisant en plus en plus fréquentes, plus sophistiquées et plus coûteuses, il est aujourd'hui impératif pour les entreprises de se doter d'une stratégie de cybersécurité complète. Chaque stratégie de sécurité s'articule autour d'un pilier central : une fonctionnalité de détection et d'intervention capable de bloquer les menaces ayant réussi à contourner les mesures de sécurité traditionnelles. Nous examinons dans cet article trois outils clés de détection et d'intervention :

  1. Les solutions EDR (Endpoint Detection and Response)
  2. Les solutions MDR (Managed Detection and Response)
  3. Les solutions XDR (eXtended Detection and Response)

Qu'est-ce qu'une solution de détection et d'intervention sur les endpoints (EDR) ?

La détection et l'intervention sur les endpoints (EDR) constituent une solution de cybersécurité qui capture toutes les activités des endpoints et s'appuie sur des analyses avancées pour obtenir une visibilité en temps réel sur l'état de chaque endpoint, identifier toute activité anormale, avertir l'équipe de sécurité des informations en cas d'événement suspect, et fournir des suggestions et des fonctionnalités de correction permettant de neutraliser les attaques en cours ou d'en limiter la propagation.

Les solutions de détection et d'intervention sur les endpoints intègrent les fonctionnalités suivantes :

  • Surveillance des endpoints et enregistrement des événements
  • Recherche de données, investigation et Threat Hunting
  • Validation des alertes après leur tri ou en cas d'activité suspecte
  • Détection des activités suspectes
  • Analyse de données
  • Cyberveille exploitable pour permettre une réponse appropriée
  • Correction

En savoir plus

La technologie XDR (eXtended Detection and Response), une évolution naturelle de l'EDR (Endpoint Detection and Response), offre un moyen plus efficace de détecter, d'investiguer et de neutraliser les menaces. Téléchargez le rapport gratuit de Forrester Adapt Or Die: XDR Is On A Collision Course With SIEM And SOAR.

Télécharger

Qu'est-ce qu'une solution de détection et d'intervention managées (MDR) ?

La détection et l'intervention managées (MDR) constituent une solution de sécurité des endpoints fournie sous forme de service. Ce service gère les technologies de sécurité des endpoints pour les entreprises et intègre la technologie EDR. Ce type de solution intègre généralement les fonctionnalités suivantes :

  • Surveillance continue
  • Threat Hunting
  • Priorisation des menaces et des alertes
  • Services managés d'investigation
  • Intervention guidée
  • Correction managée

La MDR a pour principal avantage de favoriser une identification rapide des cybermenaces et d'en limiter les répercussions sans avoir à augmenter les effectifs. Cet avantage s'avère particulièrement important compte tenu de la pénurie mondiale d'experts en cybersécurité hautement qualifiés et des lacunes qui en découlent, notamment au niveau de la protection des systèmes et ressources basés dans le cloud.

Qu'est-ce qu'une solution XDR ?

La technologie XDR (eXtended Detection and Response) simplifie l'acquisition de données de sécurité, leur analyse et les flux de travail à l'échelle de l'infrastructure de sécurité d'une entreprise dans le but d'améliorer la visibilité sur les menaces de sécurité avancées et dissimulées et d'unifier l'intervention.

Une plateforme XDR collecte et met en corrélation les données générées par l'infrastructure afin d'améliorer la visibilité sur les menaces à l'échelle de l'entreprise, d'accélérer les opérations de sécurité et de réduire les risques. Elle analyse, priorise et rationalise ces données avant de les envoyer aux équipes de sécurité dans un format normalisé via une console unique consolidée.

Les plateformes XDR intègrent généralement les fonctionnalités suivantes :

  • Télémétrie de sécurité variée, couvrant plusieurs domaines
  • Analyse des événements axée sur les menaces
  • Détection des menaces donnant la priorité à la fidélité des données
  • Recherche de données, investigation et Threat Hunting sur une télémétrie couvrant plusieurs domaines
  • Intervention visant à limiter et à corriger la menace

En savoir plus

Le XDR est bien plus qu'un concept à la mode. Cette approche stratégique de la cybersécurité coordonne les produits, données et processus disparates pour aider les équipes de sécurité à améliorer leurs capacités de détection et de neutralisation des menaces sophistiquées.

Téléchargez l'infographie « En quoi consiste exactement le XDR ?

Pourquoi les entreprises ont-elles besoin d'une solution XDR ?

Les solutions de détection des menaces d'ancienne génération se concentrent sur une couche de l'architecture de sécurité à la fois. Les solutions EDR, par exemple, surveillent les endpoints alors que les solutions d'analyse du trafic réseau s'occupent uniquement le trafic réseau. Les données recueillies grâce à ces outils sont rarement intégrées ou unifiées, ce qui empêche d'avoir une visibilité complète et précise sur l'ensemble de l'entreprise.

Les entreprises qui multiplient les achats de produits de sécurité pour implémenter une architecture de sécurité multiniveau peuvent se retrouver avec un dispositif de sécurité complexe qui génère trop d'alertes et pas suffisamment de contexte. À mesure que d'autres outils sont ajoutés, il devient de plus en plus difficile de mener des investigations, ce qui explique notamment pourquoi le délai nécessaire à la détection d'une compromission a augmenté avec l'adoption du modèle de sécurité multiniveau.

En outre, se fier à des outils de sécurité individuels crée des silos et des failles dans l'architecture de sécurité. Plus les silos de sécurité sont complexes, plus le risque est grand de créer des failles de sécurité qui passeront inaperçues jusqu'à l'apparition d'une compromission.

La technologie XDR permet de résoudre ces problèmes ainsi que bien d'autres couramment associés à une stratégie de défense multiniveau. La technologie XDR coordonne les outils de sécurité cloisonnés et leur apporte une valeur ajoutée en unifiant et en rationalisant l'analyse, l'investigation et la correction au sein d'une console unique consolidée. En conséquence, elle améliore considérablement la visibilité sur les menaces, accélère les opérations de sécurité, diminue le coût total de possession et simplifie le perpétuel problème de dotation en personnel de sécurité.

EDR, XDR ou MDR

La technologie EDR est un outil de surveillance et de détection des menaces pour les endpoints, sur lequel s'appuie toute stratégie de cybersécurité. Une solution EDR utilise les agents logiciels ou capteurs installés sur les endpoints pour capturer des données et les envoie ensuite à un référentiel centralisé pour analyse.

La technologie MDR est essentiellement une solution EDR achetée sous la forme d'un service. Ce service, assuré par une équipe de sécurité expérimentée, sert à gérer la sécurité des endpoints et vise l'atténuation, la suppression et la correction des menaces.

La technologie XDR étend les fonctionnalités d'une solution EDR pour protéger des ressources plus vastes que les endpoints. Une solution XDR s'étend à toute l'infrastructure ; elle simplifie l'acquisition de données de sécurité, l'analyse et les flux de travail à l'échelle de l'infrastructure de sécurité d'une entreprise dans le but d'améliorer la visibilité sur les menaces avancées et dissimulées et d'unifier l'intervention. Si vous l'achetez en tant que solution managée, le XDR vous permettra également de contacter des experts chevronnés en Threat Hunting, en cyberveille et en analyse.

[table id=12 /]

Quelle est la solution la mieux adaptée à mon entreprise ?

Les besoins sont propres à chaque entreprise. La sécurité est essentielle, c'est indéniable. Il est toutefois important de sélectionner un outil de sécurité qui fournisse une couverture adaptée au profil de risque de l'entreprise.

Optez pour l'EDR si votre entreprise :

  • souhaite améliorer son niveau de sécurité des endpoints et étendre ses fonctionnalités de sécurité au-delà de l'antivirus de nouvelle génération ;
  • dispose d'une équipe de sécurité des informations capable de gérer les alertes et d'appliquer les recommandations émises par la solution EDR ;
  • est aux prémices de l'élaboration d'une stratégie de cybersécurité complète et souhaite l'asseoir sur une architecture de sécurité évolutive.

Optez pour la MDR si votre entreprise :

  • ne dispose pas d'un programme de détection et d'intervention mature permettant de corriger rapidement les menaces avancées au moyen d'outils ou de ressources existants ;
  • souhaite introduire de nouvelles compétences et développer la maturité sans engager du personnel supplémentaire ;
  • rencontre des difficultés pour combler les lacunes de son équipe informatique ou pour attirer des professionnels spécialisés et hautement qualifiés ;
  • souhaite bénéficier d'une protection constamment à jour pour contrer les nouvelles menaces ciblant les entreprises.

Optez pour le XDR si votre entreprise :

  • souhaite améliorer sa détection des menaces avancées ;
  • souhaite accélérer l'analyse des menaces, l'investigation et le Threat Hunting interdomaines à partir d'une console unique ;
  • connaît une lassitude face aux alertes répétées en raison d'une architecture de sécurité déconnectée ou en silo ;
  • souhaite améliorer ses délais d'intervention ;
  • souhaite améliorer le retour sur investissement de tous ses outils de sécurité.

Expert Tip

Dans l'un de ses derniers rapports, Forrester a évalué les 14 fournisseurs de solutions XDR les plus importants, leur attribuant un score basé sur un ensemble de critères allant de la solidité de l'offre existante à la stratégie, en passant par la présence sur le marché.

Téléchargez le rapport Forrester New Wave™ consacré aux solutions XDR (eXtended Detection and Response)