EDR (Détection et réponse aux terminaux)

EDR utilise des analyses en temps réel et une automatisation basée sur l'IA pour protéger les organisations contre les cybermenaces qui contournent les logiciels antivirus et d'autres technologies traditionnelles de sécurité des terminaux.

Image isométrique illustrée d'une personne travaillant avec des ordinateurs
Qu'est-ce qu'EDR ?

La détection et la réponse aux terminaux, ou EDR, est un logiciel conçu pour protéger automatiquement les utilisateurs finaux, les terminaux et les actifs informatiques d'une organisation contre les cybermenaces qui contournent les logiciels antivirus et autres outils de sécurité traditionnels des terminaux. 

EDR collecte des données en continu à partir de tous les terminaux du réseau - ordinateurs de bureau et portables, serveurs, appareils mobiles, appareils IdO (Internet des objets) et plus encore. Il analyse ces données en temps réel pour trouver des preuves de cybermenaces connues ou suspectées, et peut réagir automatiquement pour prévenir ou minimiser les dommages causés par les menaces qu'il identifie.


Pourquoi les organisations utilisation EDR

Reconnu pour la première fois par Gartner en 2013, EDR est aujourd'hui largement adopté par les entreprises, et avec raison. 

Des études estiment que jusqu'à 90 % des cyberattaques réussies et 70 % des violations de données réussies proviennent des terminaux. Bien que les antivirus, anti-malware, pare-feu et autres solutions traditionnelles de sécurité des terminaux aient évolué au fil du temps, ils se limitent encore à détecter les menaces connues, basées sur les fichiers ou les signatures.  Ils sont beaucoup moins efficaces, par exemple, pour arrêter les attaques d'ingénierie sociale, telles que les messages de phishing qui incitent les victimes à divulguer des données sensibles ou à visiter de faux sites Web contenant un code malveillant. (Le phishing est la méthode de livraison la plus courante pour les ransomwares.) Et ils sont impuissants contre un nombre croissant de cyberattaques "sans fichier" qui opèrent exclusivement dans la mémoire de l'ordinateur pour éviter complètement l'analyse des fichiers ou des signatures.

Plus important encore, les outils de sécurité des terminaux traditionnels  ne peuvent pas détecter ou neutraliser les menaces avancées qui les contournent. Cela permet à ces menaces de se cacher et d'errer sur le réseau pendant des mois, de collecter des données et d'identifier les vulnérabilités en vue de lancer une attaque de ransomware, un exploit zero-day ou une autre cyberattaque à grande échelle.

EDR reprend là où ces solutions traditionnelles de sécurité des terminaux s'arrêtent. Ses capacités d'analyse de détection des menaces et de réponse automatisée peuvent - souvent sans intervention humaine - identifier et contenir les menaces potentielles qui pénètrent dans le périmètre du réseau, avant qu'elles ne puissent causer de graves dommages. EDR fournit également des outils que les équipes de sécurité peuvent utiliser pour découvrir, enquêter et prévenir par elles-mêmes les menaces suspectes et émergentes.


Comment fonctionne l'EDR

Bien qu'il existe des différences entre les fournisseurs, les solutions EDR combinent généralement cinq fonctionnalités principales : collecte continue de données sur les terminaux, analyse et détection des menaces en temps réel, réponse automatisée aux menaces, isolation et correction des menaces, et prise en charge de la chasse aux menaces.

Collecte continue de données sur les points de terminaison

EDR collecte en permanence des données - des données sur les processus, les performances, les changements de configuration, les connexions réseau, les téléchargements ou transferts de fichiers et de données, les comportements des utilisateurs finaux ou des appareils - à partir de chaque unité de noeud final du réseau. Les données sont stockées dans une base de données centrale ou un lac de données, généralement hébergé dans le cloud. 

La plupart des solutions de sécurité EDR collectent ces données en installant un outil léger de collecte de données, ou agent, sur chaque terminal ; certains peuvent plutôt s'appuyer sur les capacités du système d'exploitation du terminal.

Analyse et détection de menace en temps réel

EDR utilise des algorithmes d'analyse et d'apprentissage automatique avancés pour identifier les modèles indiquant des menaces connues ou des activités suspectes en temps réel, au fur et à mesure qu'elles se déroulent. 

En général, EDR recherche deux types d'indicateurs : les indicateurs de compromission (IOC), qui sont des actions ou des événements compatibles avec une attaque ou une violation potentielle ; et les indicateurs d'attaque (IOA), qui sont des actions ou des événements associés à des cybermenaces ou à des cybercriminels connus. 

Pour identifier ces indicateurs, EDR met en corrélation ses propres données de terminaux en temps réel avec les données des services de renseignement sur les menaces, qui fournissent des informations continuellement mises à jour sur les cybermenaces nouvelles et récentes - les tactiques qu'ils utilisent, les vulnérabilités des terminaux ou de l'infrastructure informatique qu'ils exploitent, et plus encore. Les services de renseignement sur les menaces peuvent être propriétaires (exploités par le fournisseur EDR), tiers ou communautaires. En outre, de nombreuses solutions EDR cartographient également les données vers Mitre ATT&CK, une base de données mondiale librement accessible sur les tactiques et techniques de cybermenaces des pirates informatiques à laquelle le gouvernement américain contribue.

Les analyses et les algorithmes EDR peuvent également effectuer leurs propres recherches, en comparant les données en temps réel aux données historiques et aux bases de référence établies pour identifier les activités suspectes, les activités aberrantes des utilisateurs finaux et tout ce qui pourrait indiquer un incident ou une menace de cybersécurité. Ils peuvent également séparer les "signaux" ou menaces légitimes du "bruit" des faux positifs, afin que les analystes de la sécurité puissent se concentrer sur les incidents les plus importants.

De nombreuses entreprises intègrent EDR à une solution SIEM (gestion des informations et des événements de sécurité), qui rassemble les éléments liés à la sécurité dans toutes les couches de l'infrastructure informatique - non seulement les terminaux, mais aussi les applications, les bases de données, les navigateurs Web, le matériel réseau, etc. Les données SIEM peuvent enrichir EDR analytique avec un contexte supplémentaire pour identifier, hiérarchiser, enquêter et remédier aux menaces.

EDR synthétise les données importantes et les résultats analytiques dans une console de gestion centrale qui sert également d'interface utilisateur (UI) de la solution. À partir la console, les membres de l'équipe de sécurité bénéficient d'une visibilité complète sur chaque point final et problème de sécurité des points finaux, à l'échelle de l'entreprise, et lancent des enquêtes, des réponses aux menaces et des corrections impliquant tous les points finaux.

Réponse automatisée aux menaces

L'automatisation est ce qui place la "réponse" - vraiment la réponse rapide - dans l'EDR. Sur la base de règles prédéfinies définies par l'équipe de sécurité - ou "apprises" au fil du temps par des algorithmes d'apprentissage automatique - les solutions EDR peuvent automatiquement

  • Alerter les analystes de sécurité de menaces spécifiques ou d'activités suspectes
  • Trier ou définir les priorités des alertes selon leur gravité
  • Générer un rapport de suivi qui retrace chaque arrêt d'un incident ou d'une menace sur le réseau, jusqu'à sa cause première
  • Déconnecter un terminal ou déconnecter un utilisateur final du réseau
  • Arrêter les processus du système ou point de terminaison
  • Empêcher un terminal d'exécuter (faire exploser) un fichier malveillant ou suspect ou une pièce jointe à un e-mail
  • Déclencher un logiciel antivirus ou anti-malware pour analyser d'autres terminaux sur le réseau à la recherche de la même menace

EDR peut automatiser les activités d'investigation et de correction des menaces (voir ci-dessous). Et il peut être intégré aux systèmes SOAR (orchestration, automatisation et réponse de la sécurité) pour automatiser les playbooks de réponse de sécurité (séquences de réponse aux incidents) qui impliquent d'autres outils de sécurité.

Toute cette automatisation aide les équipes de sécurité à réagir plus rapidement aux incidents et aux menaces, afin d'éviter de minimiser les dommages qu'elles peuvent causer au réseau. Et cela aide les équipes de sécurité à travailler aussi efficacement que possible avec le personnel dont elles disposent.

Enquête et rattrapage

Une fois qu'une menace est isolée, EDR fournit des fonctionnalités que les analystes de la sécurité peuvent utiliser pour enquêter plus sur la menace. Par exemple, l'analyse médico-légale aide les analystes de la sécurité à identifier la cause première d'une menace, à identifier les différents fichiers qu'elle a touchés et à identifier la ou les vulnérabilités exploitées par l'attaquant pour entrer et se déplacer sur le réseau, accéder aux identifiants d'authentification ou effectuer d'autres activités malveillantes.

Forts de ces informations, les analystes peuvent utiliser des outils de remédiation pour éliminer la menace. La correction peut impliquer

  • Détruire les fichiers malveillants et les effacer des terminaux
  • Restauration des configurations endommagées, des paramètres de registre, des données et des fichiers d'application
  • Application de mises à jour ou de correctifs pour éliminer les vulnérabilités
  • Mise à jour des règles de détection pour éviter une récurrence

Prise en charge de la chasse aux menaces

La chasse aux menaces (également appelée chasse aux cybermenaces) est un exercice de sécurité proactif dans lequel un analyste de la sécurité recherche sur le réseau des menaces encore inconnues ou des menaces connues qui n'ont pas encore été détectées ou corrigées par les outils de cybersécurité automatisés de l'organisation. N'oubliez pas que les menaces avancées peuvent se cacher pendant des mois avant d'être détectées, rassemblant des informations système et des informations d'identification des utilisateurs en vue d'une violation à grande échelle. Une chasse aux menaces efficace et opportune peut réduire le temps nécessaire pour détecter et remédier à ces menaces, et limiter ou prévenir les dommages causés par l'attaque.

Les chasseurs de menaces utilisent une variété de tactiques et de techniques, dont la plupart s'appuient sur les mêmes sources de données, capacités d'analyse et d'automatisation qu'EDR utilise pour la détection, la réponse et la correction des menaces. Par exemple, un analyste à la recherche de menaces peut souhaiter rechercher un fichier particulier, un changement de configuration ou un autre artefact basé sur des analyses médico-légales, ou des données MITRE ATT&CK décrivant les méthodes d'un attaquant particulier.

Pour prendre en charge la chasse aux menaces, EDR met ces fonctionnalités à la disposition des analystes de la sécurité via des moyens pilotés par l'interface utilisateur ou par programme, afin qu'ils puissent effectuer des requêtes de données de recherche ad hoc, des corrélations avec des informations sur les menaces et d'autres enquêtes. Les outils EDR destinés spécifiquement à la chasse aux menaces incluent tout, des simples langages de script (pour automatiser les tâches courantes) aux outils d'interrogation en langage naturel.


EDR contre PPE

Une EPP, ou plate-forme de protection des terminaux, est une plate-forme de sécurité intégrée qui combine un antivirus de nouvelle génération (NGAV) et un logiciel anti-malware avec un logiciel de contrôle/filtrage Web, des pare-feux, des passerelles de messagerie et d'autres technologies traditionnelles de sécurité des terminaux. 

Encore une fois, les technologies EPP se concentrent principalement sur la prévention des menaces connues, ou des menaces qui se comportent de manière connue, au niveau des terminaux. EDR a la capacité d'identifier et de contenir les menaces inconnues ou potentielles qui contournent les technologies traditionnelles de sécurité des terminaux. Néanmoins, de nombreuses EPP ont évolué pour inclure des fonctionnalités EDR telles que l'analyse avancée de la détection des menaces et l'analyse du comportement des utilisateurs. 


EDR contre XDR et MDR

Comme EDR, XDR (détection et réponse étendues) et MDR (détection et réponse gérées) sont des solutions de détection des menaces d'entreprise basées sur l'analyse et l'IA. Ils diffèrent de l'EDR par l'étendue de la protection qu'ils offrent et la manière dont ils sont fournis.

XDR intègre des outils de sécurité dans l'ensemble de l'infrastructure hybride d'une organisation - non seulement les terminaux, mais aussi les réseaux, les e-mails, les applications, les charges de travail cloud et bien plus encore - afin que ces outils puissent interagir et se coordonner pour la prévention, la détection et la réponse aux cybermenaces. Comme EDR, XDR intègre SIEM, SOAR et d'autres technologies de cybersécurité d'entreprise. Technologie encore émergente mais en évolution rapide, XDR a le potentiel de rendre les centres d'opérations de sécurité (SOC) débordés beaucoup plus efficients et efficaces en unifiant les points de contrôle de sécurité, la télémétrie, l'analyse et les opérations en un seul système d'entreprise central.

MDR est un service de cybersécurité externalisé qui protège une organisation contre les menaces qui dépassent ses propres opérations de cybersécurité. Les fournisseurs de MDR offrent généralement des services de surveillance, de détection et de correction des menaces 24h/24 et 7j/7 par une équipe d'analystes de sécurité hautement qualifiés travaillant à distance avec des technologies EDR ou XDR basées sur le cloud. Le MDR peut être une solution attrayante pour une organisation qui a besoin d'une expertise en matière de sécurité au-delà de ce qu'elle a sur le personnel, ou d'une technologie de sécurité au-delà de son budget.


Solutions connexes

IBM Security ReaQta

Sécurité des points de terminaison automatisée et alimentée par l'IA pour aider à détecter et à corriger les menaces en temps quasi réel.


Services de détection et de réponse gérés (MDR)

Services gérés de prévention, de détection et de réponse basés sur l'IA pour une défense plus rapide contre les menaces sur les terminaux.


Services de gestion de la sécurité des terminaux

Gestion moderne des points d'extrémité pour protéger vos utilisateurs finaux et leurs appareils contre les dernières menaces de cybersécurité.


Gestion unifiée des points de terminaison (UEM)

Une approche d'IA en open cloud pour sécuriser et gérer tout type d'appareil avec une solution UEM


Solutions de détection et de réponse sur le réseau (NDR)

Les solutions en réseau de détection et de réponse aident les équipes de sécurité en analysant l'activité du réseau en temps réel.


Gestion des identités et des accès

Connectez chaque utilisateur au bon niveau d'accès avec la solution IBM Security Verify IAM.


Solutions de réponse aux incidents

Orchestrez votre réponse aux incidents pour unifier l'organisation en cas de cyberattaque.


Solutions de confiance zéro

Découvrez des solutions de sécurité adaptées à chaque utilisateur, chaque appareil et chaque connexion.


IBM Security QRadar SIEM

Visibilité centralisée et analyse intelligente de la sécurité pour détecter, examiner et répondre aux menaces critiques de cybersécurité.