JPO en ligne ce mercredi

S’inscrire

Boite à outils

Qu’est-ce qu’une solution XDR ou détection et réponse étendue ?

L’ANSSI rapporte deux cyberattaques réussies par jour en 2022. De son côté, le CESIN révèle qu’une entreprise sur deux a connu au moins une cyberattaque en 2021. Dans ce contexte, la protection des infrastructures est devenue un enjeu majeur pour l’entreprise. Parmi les solutions de cybersécurité adoptées, XDR trouve aisément sa place grâce à son approche à 360° des infrastructures informatiques.

 

Par Justine Navet
Contenu mis à jour le
Qu’est-ce qu’une solution XDR ou détection et réponse étendue ?
NB : Contenu en cours de réécriture.

Comment cette technologie est-elle née ?

Dans le monde de l’entreprise, les antivirus font partie d’une époque révolue. En matière de sécurité d’un système informatique contre les cyberattaques, les solutions XDR gagnent en popularité. Le marché mondial devrait connaître une croissance considérable les prochaines années. Les fournisseurs qui proposent cette solution affinent progressivement leurs offres face aux menaces. Au départ, XDR était une simple version améliorée d’EDR (endpoints detection response). Aujourd’hui, le potentiel de cette technologie n’a cessé d’évoluer. Néanmoins, toutes les solutions ne se valent pas. Il revient à l’organisation d’adopter celle qui correspond à leur stratégie cyber.

Face à la multiplication des menaces informatiques, les entreprises ont déployé une multitude d’outils de sécurité. Le périmètre d’action de certains outils se limite à une couche d’infrastructure spécifique. D’autres solutions assurent uniquement la collecte de données de journal. Une étude menée par IBM en 2021 révèle que près d’un tiers des entreprises utilisent entre 21 et 30 outils de sécurité. Par ailleurs, 13% déclarent en utiliser plus.

Provenant de différents fournisseurs, ces solutions sont cloisonnées et communiquent rarement entre eux. Une équipe de sécurité doit donc traiter les alertes manuellement afin de trouver une corrélation. Elle doit ensuite filtrer les faux positifs des incidents réels avant de hiérarchiser les menaces.

Une telle procédure prend trop de temps. Un autre rapport d’IBM en 2022 révèle qu’il faut en moyenne 277 jours pour la détection et résolution d’une violation de données. Cela signifie qu’une violation qui se produit le 1er janvier ne sera entièrement résolue que le 4 octobre.

Pour les fournisseurs de solutions de sécurité, l’objectif était donc d’enlever les cloisonnements qui isolent une solution spécifique à une couche. C’est ainsi que XDR est né. Cette technologie offre une meilleure visibilité aux équipes SOC (security operations center) pour identifier les menaces. Elles peuvent ainsi réagir rapidement.

Depuis son introduction en 2018, XDR a réduit le coût d’une violation de données. Les études révèlent que les organisations ayant utilisé cet outil ont diminué de 9% le coût moyen d’une violation. Elles ont aussi raccourci le cycle de vie de cette attaque de 29%.

En 2022, le marché de la sécurisation des terminaux a pesé 13,1 milliards de dollars. Il est largement porté par l’apparition des solutions XDR. Une étude IDC rapporte une croissance de 29,2% par rapport à 2021. Le principal acteur de ce marché reste Microsoft avec ses deux technologies « Microsoft Defender for Endpoint » et « Microsoft Defender for Business ». Elles ont rapporté près de 2,5 milliards de dollars au géant américain en 2022.

Crowdstrike arrive en seconde position avec sa plateforme Falcon. L’entreprise détient 15,1% de part de marché, soit un chiffre d’affaires de 2 milliards de dollars. Trend Micro complète le podium avec 7,6% de part de marché.

Qu’est-ce que la solution XDR et ses avantages ?

Extended detection and response (XDR) constitue une technologie de sécurité qui réunit la détection, la prévention et la réponse à une menace. Ce type de solution collecte les données provenant de tous les outils de pile technologique de sécurité comme les applications, les terminaux, les réseaux, les clouds, etc.  Cela offre aux équipes du centre d’opérations de sécurité (SOC) une meilleure visibilité pour détecter, enquêter et répondre à une menace.

La technologie est considérée comme une version améliorée d’EDR (endpoints detection response). Si EDR repose uniquement sur les terminaux, XDR élargit sa surface de contrôle au-delà des terminaux.

En tant que solution de sécurité, XDR présente trois principaux avantages :

  • une réactivité plus rapide grâce à une hiérarchisation des menaces. Pour cela, l’outil s’appuie sur les corrélations et les analyses. Les équipes de sécurité peuvent ainsi se concentrer sur les menaces de niveau critique. Le traitement s’accélère aussi grâce à l’automatisation qui détecte les événements répétitifs.
  • une meilleure visibilité grâce à la collecte de données provenant de toutes les solutions de sécurité cloisonnées. Ceci augmente la fiabilité des résultats de l’analyse automatique. Une solution XDR propose généralement une plateforme qui réunit tous les résultats afin d’avoir un point de visibilité unique.
  • une réelle économie sur les dépenses de cybersécurité sachant que les fournisseurs XDR proposent des fonctionnalités natives complètes. L’entreprise bénéficie ainsi d’une pile de sécurité d’un seul fournisseur. Les XDR qui proposent des intégrations ouvertes permettent aux organisations plus grandes d’intégrer d’autres outils.
Gratuit
Téléchargez Le Grand Livre de la cybersécurité
Plus de 180 pages d’articles indispensables rédigés par des experts pour vous aider à mieux comprendre le secteur de la cybersécurité.
Téléchargez gratuitement le Grand Livre DE LA CYBERSÉCURITÉ

Pour tout problème lié à l'envoi de ce formulaire, écrivez à contact@guardia.school ou appelez le 04 28 29 58 49

Comment fonctionne la solution XDR ?

La solution XDR propose une unification du contrôle des terminaux, du cloud et du réseau pour obtenir une meilleure visibilité. Cela accélère le temps d’enquête et d’identification des menaces. Le fonctionnement d’une XDR repose sur trois aspects :

La collecte de données

XDR collecte les données de tous les outils de sécurité de l’organisation. Elle effectue cette opération continuellement afin de garantir une mise à jour des informations. Des évènements comme les connexions réseaux, les messages électroniques contenant des pièces jointes, la création et partage de fichiers, les modifications de la configuration, etc. sont enregistrés. XDR tient aussi compte des alertes produites par chaque solution de sécurité.

À noter que l’objectif n’est pas d’espionner les utilisateurs. C’est pourquoi toutes les données collectées sont anonymes. XDR ne retient que les éléments essentiels à l’identification des menaces. Dans le cas d’une solution ouverte, cette collecte s’effectue à l’aide d’une interface de programmation d’application (API).

Analyse et détection

XDR reconnaît les menaces et les activités suspectes grâce à l’apprentissage automatique qui répertorie tous les événements. Ceci est rendu possible grâce à la confrontation des données collectées au niveau de chaque couche de l’infrastructure à celles des services de renseignement des menaces. Ces services diffusent des informations mises à jour sur les tactiques utilisées par les pirates. MITRE ATT&CK fait partie de ces services. Il s’agit d’une base de données ouverte qui recense tous les cybertechniques et cybertactiques des pirates informatiques.

Les algorithmes sont aussi entrainés à identifier les activités suspectes des utilisateurs en s’appuyant sur l’historique des données. Ils sont capables de faire le tri entre les menaces réelles et les faux positifs pour faciliter le travail des équipes de sécurité. XDR propose ensuite un résumé des résultats d’analyse sur la console de gestion centrale qui offre une visibilité totale aux membres de l’équipe.

Réponse

La réponse de XDR est automatisée grâce à des règles prédéfinies en amont par l’équipe de sécurité. La solution améliore aussi son temps de réaction grâce à l’apprentissage automatique. Voici une liste des actions que celle-ci peut effectuer automatiquement :

  • déconnexion des appareils d’où provient la menace du réseau et arrêt des processus, des applications et des systèmes.
  • triage des menaces pour les hiérarchiser par ordre de priorité. Le classement s’effectue généralement en fonction du niveau de gravité.
  • déploiement d’un antivirus pour identifier le même type de menace sur les autres surfaces.
  • déclenchement des stratégies de réponse aux incidents.

Pour les équipes de sécurité, XDR fournit des informations précieuses sur les différentes étapes menant à l’attaque finale du pirate. L’enquête peut mettre en évidence des vulnérabilités grâce à l’inventaire des ressources.

Vous souhaitez travailler dans la cybersécurité ?
2 FORMATIONS DE POST BAC À BAC+5 100% dédiées à la cybersécurité
Nos programmes de formation sont pensés avec les entreprises du secteur de la cybersécurité et du digital pour maximiser l’employabilité de nos étudiants. Le Bachelor a été construit pour transmettre de solides bases de développement informatique tout en parcourant progressivement les notions clés de la cybersécurité. Le MSc est à 100% dédié à la cyber et spécialise dans un métier de la cybersécurité. Nos diplômes sont reconnus par les entreprises et par l’Etat, ils délivrent en fin de cursus un titre RNCP de niveau 6 (Bac+3) ou 7 (Bac+5).

Comment choisir la solution XDR adaptée ?

choisir une solution xdr

Il existe aujourd’hui autant de menaces que de solutions XDR sur le marché. Cela demande davantage de prudence aux organisations dans leur choix. En effet, tous les produits ne se valent pas. C’est pourquoi il est important de choisir en fonction de plusieurs critères.

Capacité de filtrage des données

Certains outils ne sont pas capables de s’approprier la télémétrie disponible. Ils utilisent alors le filtrage des données pour faire l’impasse sur la télémétrie. Cela consiste à analyser toutes les données dans le cloud pour ensuite renvoyer une détection.

Cette incapacité à ingérer une grande quantité de télémétrie compromet pourtant l’efficacité de la politique de sécurité d’une organisation. Une solution XDR performante doit être capable de gérer tous les influx de télémétrie au-delà des terminaux, c’est-à-dire les identités d’utilisateurs, les applications, etc.

XDR native ou ouverte ?

Une solution native s’intègre aux autres solutions existantes dans l’organisation qui appartiennent au même fournisseur. En choisissant cette option, les équipes de sécurité n’ont plus besoin de passer du temps à la configuration de la plateforme. Par contre, les solutions de sécurité provenant d’un seul fournisseur ne sont pas toujours judicieux. Les organisations sont confrontées à la situation de verrouillage du fournisseur.

De son côté, XDR ouverte ou hybride permet à l’entreprise d’intégrer la plateforme aux différentes solutions provenant de divers fournisseurs sur le marché.

XDR basé sur l’IA

Les solutions XDR avancées sont aujourd’hui pilotées par l’IA. Cela permet à l’outil d’agrandir la surface de détection et d’assurer la surveillance des menaces en temps réel. L’IA rend également possible l’automatisation des réponses.

XDR basé sur l’IA repose aussi sur les indicateurs de comportement. Il procède à une analyse comportementale des attaques afin d’identifier un acte potentiellement malveillant.