Les solutions EDR (endpoint detection and response) permettent aux organisations d’avoir une visibilité en temps réel des activités des terminaux. Elles surveillent ces points finaux en permanence pour identifier les menaces potentielles. L’EDR s’impose ainsi comme la solution idéale chez les entreprises pour protéger les serveurs et les postes de travail contre les attaques du type ransomware. Selon les chiffres du cabinet Reports & Data, le marché des logiciels EDR (endpoint detection and response) valait déjà 1,41 milliard de dollars en 2019.
De bonnes habitudes de navigation sur internet représentent la première ligne de défense contre les cybermenaces. Encore faut-il que les collaborateurs puissent bénéficier d’une formation en cybersécurité. Les solutions antivirus ont été conçues pour pallier les failles humaines. Face à la multiplication des menaces sur internet, le marché de ces logiciels de sécurité pèse 40 milliards de dollars en 2020.
Néanmoins, leur efficacité est remise en cause face aux menaces plus sophistiquées, notamment celles qui s’appuient sur l’ingénierie sociale. Certains antivirus arrivent à détecter les menaces, mais ne parviennent pas à les bloquer. C’est dans ce contexte qu’Endpoint Detection and Response est apparu en 2013. Cette solution combine la surveillance en temps réel des points finaux (ordinateurs, serveurs, téléphones) et la collecte de données. Grâce à un algorithme d’analyse puissant, la solution réagit automatiquement pour neutraliser une menace.
Qu’est-ce que l’EDR (endpoint detection and response) ?
La détection et la réponse des points finaux, plus connus sous l’acronyme EDR est une solution de cybersécurité basée sur l’IA. Elle a été conçue pour protéger les appareils des utilisateurs finaux grâce à une surveillance constante en temps réel. Le logiciel est capable de répondre aux cybermenaces sophistiquées comme les ransomwares.
Pour assurer une protection optimale, l’EDR collecte des données sur les points finaux en continu. Les points finaux désignent les serveurs, les appareils mobiles et les ordinateurs, etc. Il effectue une analyse des données en temps réel. Dès qu’il considère un élément comme suspect, l’outil réagit automatiquement pour minimiser les dommages.
L’usage du terme a été suggéré pour la première fois par un employé de Gartner, Anton Chuvakin. Selon lui, l’EDR définit toutes les nouvelles solutions visant à identifier les activités suspectes sur les points finaux et à répondre automatiquement aux menaces.
Cette solution séduit de plus en plus les entreprises soucieuses de la sécurité de leurs infrastructures informatiques. Selon un rapport de Stratistics MRC, les solutions EDR devraient peser près de 7,27 milliards de dollars d’ici 2026. Elles enregistrent déjà un taux de croissance annuel à deux chiffres, avec une moyenne de 26%.
La différence avec les autres solutions de cybersécurité
Les technologies sont en constante évolution dans le monde de la cybersécurité. Les utilisateurs peuvent retrouver d’autres termes aux côtés de l’EDR. Le point commun entre ces solutions : elles désignent toute la détection et la réponse face à une menace. Les plus connues d’entre elles sont :
- L’EPP ou endpoint protection platform fait référence à une plateforme de sécurité qui regroupe tous les outils de protection comme les pare-feux, les passerelles de messageries, les antivirus et antimalwares de nouvelle génération, les technologies de sécurité classiques, etc.
- L’ITDR ou identity threat detection and response : cette solution se concentre davantage sur les utilisateurs qui représentent un autre angle d’attaque chez les hackers. Elle permet aux entreprises d’identifier et de prévenir les attaques basées sur l’usurpation d’identité. Pour cela, elle analyse le comportement des utilisateurs sur le système en temps réel.
- Le MDR ou managed detection and response : il s’agit d’un service proposé par une société externe à l’entreprise. Elle prend en main la détection des menaces grâce à ses propres technologies et ses expertises. Le MDR est plébiscité lorsque les entreprises n’ont pas l’expertise et les ressources nécessaires pour faire face aux cybermenaces.
- Le XDR ou extended detection and response : Il s’agit d’une solution complète capable de détecter tous types de menaces grâce à des outils de sécurité comme le NTA et l’EPP. Le tout est réuni au sein d’une même plateforme afin que l’organisation puisse profiter d’une visibilité globale.
Pour tout problème lié à l'envoi de ce formulaire, écrivez à contact@guardia.school ou appelez le 04 28 29 58 49
Pourquoi l’EDR est-il important ?
La solution Endpoint Detection and Response (EDR) est largement plébiscitée par les organisations pour de nombreuses raisons.
D’abord, plusieurs études ont souligné que les failles de sécurité proviennent en grande partie des appareils finaux. Ils sont à l’origine de 70% des violations de données et de 90% des cyberattaques réussies.
Malgré une amélioration notable des logiciels de sécurité classiques (antivirus et anti-malware), ils présentent encore des limites face aux APS (advanced persistent threats) ou menaces avancées et persistantes en Français. Ces menaces portent généralement sur la violation de données, le vol des secrets industriels, l’interruption du réseau électrique, etc.
Les hackers se servent de techniques plus sophistiquées pour contourner les antivirus historiques. Les éditeurs de ces logiciels disposent d’une base de fichiers connus comme étant malveillants. Leurs solutions comparent la signature des fichiers sur l’appareil d’un utilisateur à cette base. Cela signifie que les nouvelles formes de virus sont méconnues de ces logiciels de protection. Pour qu’une nouvelle souche puisse être intégrée dans la base de ces éditeurs, il faut qu’elle fasse des dégâts notables, qu’elle soit ensuite transmise pour intégrer leur liste.
Ce point n’est pas la seule faille d’un logiciel de sécurité classique. Pour que l’outil puisse comparer avec sa base, il faut que le fichier soit déposé sur l’appareil de la victime. Pourtant, les hackers peuvent désormais passer outre cette démarche pour accomplir leurs actions. Ce type d’attaque est appelée « fileless » puisqu’il ne demande aucun dépôt de fichiers.
Par ailleurs, les antivirus ne donnent pas de visibilité à l’entreprise lorsqu’ils détectent une infection. Cela rend le travail de prévention et de sensibilisation complexe, voire impossible.
Les antivirus de nouvelle génération sont néanmoins plus performants. Au-delà de la comparaison de fichiers, ils arrivent à bloquer de nombreux malwares.
Quelles sont les fonctionnalités d’une solution EDR ?
Sachant les failles des logiciels de sécurité traditionnels, l’EDR va plus loin dans la protection des points finaux. Les fonctionnalités proposées par les solutions EDR varient d’un fournisseur à un autre. Elles présentent quand même des points communs au niveau des fonctionnalités principales.
La collecte de données en continu
Une solution EDR assure la collecte de données en permanence sur les points finaux. Chaque action de l’utilisateur final est scrutée : une modification de configuration, la connexion réseau, le transfert de fichiers, le téléchargement de données, les performances de connexion, etc. Toutes ces données sont stockées et hébergées sur le cloud.
Pour assurer cette fonction, la solution a besoin d’un outil de collecte de données installé sur chaque périphérique de point de terminaison. D’autres solutions n’en ont pas besoin, elles s’appuient uniquement sur les performances du système d’exploitation.
L’analyse en temps réel pour détecter les menaces
EDR s’appuie sur des algorithmes d’apprentissage automatique pour réaliser des analyses avancées. Grâce à l’IA, la solution identifie facilement et rapidement les activités suspectes.
EDR classifie généralement les menaces en deux catégories :
- les actions ou événements suspects qui correspondent à une violation potentielle, elle repose sur les indicateurs de compromission (IOC) pour les identifier ;
- les actions qui sont associées à des cyberattaques connues, elle repose sur les indicateurs d’attaque (IOA) pour les connaître.
EDR confronte ses données sur les points finaux à celles des services de renseignement sur les menaces pour identifier les indicateurs. Ces services effectuent des mises à jour constantes sur l’apparition de nouvelles menaces et donnent des détails sur les méthodes utilisées par les hackers.
Dans le domaine de la cybersécurité, un service de renseignement peut appartenir au fournisseur EDR. Il peut être détenu par une communauté de cybersécurité ou un organisme tiers. Mitre ATT&CT par exemple est une base de données à libre accès qui recense toutes les techniques de cybermenace utilisées par les hackers. Le gouvernement américain figure même parmi les contributeurs de cette plateforme. Plusieurs solutions EDR s’appuient aussi sur sa base de données.
Les algorithmes EDR réalisent l’analyse en comparant également les données en temps réel aux données historiques. Grâce à l’IA, l’outil est capable de distinguer les menaces légitimes des faux positifs.
La réponse aux menaces déclenchée automatiquement
Lorsqu’elles identifient les menaces, les solutions Endpoint dectection response (EDR) réagissent rapidement. Soit la réaction est définie par des règles établies par l’équipe de sécurité, soit elle est apprise par la solution grâce à l’apprentissage automatique. Dans les deux cas, EDR déclenche automatiquement des réponses comme :
- le tri et la hiérarchie des menaces afin de prioriser celles qui sont plus graves ;
- information des équipes de sécurité sur la présence d’une menace ou d’une activité suspecte ;
- élaboration d’un rapport retraçant le chemin d’une menace jusqu’à sa cause première ;
- blocage ou déconnexion d’un point de terminaison infecté par un virus du réseau ;
- blocage d’un point de terminaison, l’empêchant d’accomplir une action spécifique comme le téléchargement d’une pièce jointe malveillante.
Cette automatisation des réponses facilite le travail des équipes de sécurité et permet de minimiser les dégâts causés par un malware.
La réparation des dégâts causés
EDR offre une fonctionnalité indispensable pour les experts en cybersécurité : l’enquête approfondie sur une menace. Celle-ci met en lumière le « patient zéro » d’une menace. Elle met en évidence l’ampleur des dégâts en présentant les fichiers impactés. L’enquête révèle les failles de sécurité exploitées par l’attaquant pour pénétrer le réseau : technique d’ingénierie sociale, vols d’informations d’authentification, etc.
Au-delà de l’enquête, la solution EDR prend immédiatement des initiatives comme :
- l’application de correctifs pour résoudre les vulnérabilités ;
- la restauration des paramètres, des fichiers endommagés, d’autres données, etc. ;
- la suppression des malwares des points de terminaison ;
- la mise à jour des règles de détection pour se prémunir des attaques similaires.
EDR comme support de la chasse aux menaces
Il s’agit d’un exercice de sécurité proactif mené par un expert en cybersécurité pour identifier des menaces encore méconnues de l’organisation. Pour mener la chasse, il s’appuie sur les analyses réalisées par EDR, les données que la solution a déjà collectées.