En quoi consistent les solutions que sont l’EPP, l’EDR, l’XDR et la MDR ? Comment fonctionnent-elles ?
Les entreprises ont de plus en plus besoin de visibilité sur leur parc informatique ainsi que sur leurs réseaux, et la sécurité est un réel enjeu qu’il est important de prendre en considération pour répondre à ce besoin permanent de protection au sein des structures. Une multitude de solutions existent et émergent, et font toutes la promesse de garantir une protection optimale des terminaux. Cependant, il peut être difficile en tant qu’entreprise de faire la différence entre les différentes offres proposées sur le marché.
Aussi quelles sont les différences entre ces outils ?
Nous distinguons les solutions suivantes :
EPP (Endpoint Protection Platform)
La solution Endpoint Protection Platform (EPP) permet de protéger des menaces existantes et émergentes. Une technologie qui continue d’évoluer et d’ainsi faire face à la multiplication des attaques à l’aide de plusieurs techniques telles que :
- La détection des menaces qui peuvent survenir par le biais de signatures de logiciels malveillants.
- L’analyse des fichiers et la recherche de caractéristiques malveillantes avant l’exécution à l’aide d’algorithmes d’apprentissage automatique.
- L’analyse comportementale : les solutions de type EPP peuvent déterminer la ligne de base du comportement des terminaux et identifier les anomalies qui y sont liées.
- La liste d’autorisation et de blocage, qui va permettre de bloquer l’accès ou de le limiter à des adresses IP, des URL, des applications et processus spécifiques.
- Sandbox, qui permet de tester le comportement malveillant des fichiers en les isolant dans un environnement virtuel avant de pouvoir les autoriser à s’exécuter.
- Le cryptage des données.
- Les antivirus standards et ceux de nouvelle génération.
L’évolution des menaces étant importante, il est cependant conseillé de coupler une protection traditionnelle de terminaux avec des technologies de type EDR ou bien XDR.
EDR (Endpoint Detection Response)
L’endpoint detection response (EDR) consiste à faire une remontée d’alerte sur une console unique de tous les événements qui surviennent sur une brique du réseau. Il permet d’avoir une visibilité sur l’ensemble du parc IT et des éléments du système informatique, et d’identifier plus facilement les attaques.
Les principales fonctions de ce type de solution sont :
- De surveiller et de collecter en continu les données d’activité des terminaux qui pourraient indiquer une menace.
- D’analyser les données pour en identifier les modèles de menaces, ainsi que d’observer l’historique des processus, les connexions réseaux, les registres ou bien les utilisateurs connectés.
- De répondre aux alertes, de bloquer automatiquement les menaces identifiées, et d’isoler les machines qui ont été touchées.
Sans doute l’outil le plus complet actuellement sur le marché. L’extended detection and response (XDR) centralise et externalise toutes les détections de menaces, les réponses aux incidents. Ce type d’outil ne se contente pas que de surveiller les terminaux, puisqu’il intègre également toutes les autres sources de logs telles que les emails, serveurs, cloud, réseau… . Il offre aussi un service de CTI (cyber threat intelligent) ainsi qu’une simplicité de paramétrage.
L’XDR est une technologie basée sur une IA, qui va corréler les différentes alertes et mettre en lumière une menace. De plus, ce type d’outil permet une automatisation de la remédiation et de l’élimination des menaces et permet de détecter les attaques ou les tentatives d’attaques d’un œil plus aiguisé, mais surtout plus rapide que ne pourrait le faire un opérateur.
Flexible, il est également possible de pouvoir souscrire partiellement à la solution lorsque l’on dispose déjà de certaines solutions en interne. L’investigation et la réponse aux alertes peuvent se réaliser de manière externe grâce aux solutions MDR (Managed Detection and Response).
Regroupe un ensemble de solutions managées (gérées par des experts externes), ainsi que des services de détection et de réponse aux incidents. Cet ajout complémentaire permet entre autres d’améliorer considérablement les plateformes EDR. Bien qu’il existe différentes offres de services de managed detection and response (MDR), ces dernières doivent pour autant répondre à certains critères tels que :
- L’augmentation des ressources et aide aux équipes SecOps dans leurs tâches nécessitant des compétences spécifiques telles que la chasse aux menaces, les enquêtes post-attaques et la réponse aux incidents.
- La gestion proactive des menaces et une disponibilité 24h/24, 7j/7.
- La réduction du temps de réponse aux attaques et traitement des alertes.
- Un retour sur investissement plus rapide grâce à des experts en sécurité qualifiés pour garantir de meilleures pratiques opérationnelles.
Prendre connaissance des différentes solutions proposées est une chose, mais qu’en est-il lorsqu’il advient de devoir faire un choix pour son entreprise ?
Afin de répondre au mieux aux besoins de chacun il convient dans un premier temps d’avoir une cartographie précise de sa structure, des compétences, et des équipes afin de garantir un accompagnement complet par des expert qualifiés.
Dans un second temps, le choix de la solution idéale pour votre entreprise dépendra des compétences techniques avec ou sans SOC, de la taille de votre infrastructure et du choix d’une solution On premise ou bien cloud.
Suivant le bilan obtenu après étude approfondie de votre cas, les experts pourront vous aiguillez sur l’ensemble des solutions, afin de vous conseiller et de vous accompagner tout au long de votre projet de sécurité.