La détection et réponse des terminaux, ou EDR, est un logiciel qui utilise l’analyse en temps réel et l’automatisation pilotée par l’IA pour protéger les utilisateurs finaux, les terminaux et les actifs informatiques d’une organisation contre les cybermenaces qui échappent aux logiciels antivirus et aux autres outils traditionnels de sécurité des terminaux.
L’EDR collecte des données en continu à partir de tous les terminaux du réseau : ordinateurs de bureau et portables, serveurs, appareils mobiles, appareils IdO (Internet des objets), etc. Elle analyse ces données en temps réel à la recherche de preuves de cybermenaces connues ou suspectées, et peut réagir automatiquement pour prévenir ou minimiser les dommages causés par les menaces identifiées.
Obtenez des informations pour mieux prendre en charge le risque de violation de données grâce au dernier rapport sur le coût d’une violation de données.
Inscrivez-vous pour obtenir le X-Force Threat Intelligence Index
Reconnue pour la première fois par Gartner en 2013, la technologie EDR est aujourd’hui largement adoptée par les entreprises, et pour cause.
D’après certaines études, jusqu’à 90 % des cyberattaques et 70 % des violations de données réussies trouvent leur origine sur les appareils finaux. Même si les antivirus, anti-logiciels malveillants, pare-feu et autres solutions traditionnelles de sécurité des terminaux ont évolué au fil du temps, ils se limitent encore à détecter les menaces connues, basées sur des fichiers ou des signatures. Ils sont par exemple beaucoup moins efficaces pour stopper les attaques d’ingénierie sociale , telles que les messages d’hameçonnage qui incitent les victimes à divulguer des données sensibles ou à visiter de faux sites web contenant du code malveillant. (L’hameçonnage est la méthode de diffusion la plus courante de ransomwares.) De plus, ils sont impuissants face à un nombre croissant de cyberattaques « sans fichier » qui opèrent exclusivement dans la mémoire de l’ordinateur pour échapper complètement à l’analyse des fichiers ou des signatures.
Plus important encore, les outils traditionnels de sécurité des terminaux ne peuvent pas détecter ou neutraliser les menaces avancées qui les contournent. Ces menaces peuvent se cacher et parcourir le réseau pendant des mois, collecter des données et identifier les vulnérabilités en vue du lancement d’une attaque par ransomware, d’un exploit zero-day ou d’une autre cyberattaque de grande envergure.
L’EDR prend le relais de ces solutions de sécurité des terminaux traditionnelles. Ses capacités de détection des menaces et de réponse automatisée peuvent, souvent sans intervention humaine, identifier et contenir les menaces potentielles qui pénètrent le périmètre du réseau avant de causer de graves dommages. L’EDR fournit également des outils que les équipes de sécurité peuvent utiliser pour découvrir par elles-mêmes les menaces suspectes et émergentes, enquêter dessus et les prévenir.
Il existe bien évidemment des différences entre les fournisseurs, mais les solutions EDR combinent généralement cinq fonctionnalités principales : collecte continue de données sur les terminaux, analyse et détection des menaces en temps réel, réponse automatisée aux menaces, isolation et résolution des menaces, et support pour la traque des menaces.
L’EDR collecte des données en continu (données sur les processus, les performances, les modifications de configuration, les connexions réseau, les téléchargements ou transferts de fichiers et de données, les comportements des utilisateurs finaux ou des appareils) sur tous les points de terminaison du réseau. Les données sont stockées dans une base de données centrale ou un data lake, généralement hébergé dans le cloud.
La plupart des solutions de sécurité EDR recueillent ces données en installant un outil ou agent léger de collecte de données sur chaque point de terminaison. Certaines solutions peuvent sinon s’appuyer sur les capacités du système d’exploitation du terminal.
La technologie EDR associe analyse avancée et algorithmes de machine learning pour identifier les schémas indiquant la présence de menaces connues ou d’activités suspectes en temps réel, à mesure qu’elles se produisent.
En général, l’EDR recherche deux types d’indicateurs : les indicateurs de compromission (IOC), qui sont des actions ou des événements qui pourraient correspondre à une attaque ou à une violation potentielle ; et les indicateurs d’attaque (IOA), qui sont des actions ou des événements associés à des cybermenaces ou à des cybercriminels connus.
Pour identifier ces indicateurs, l’EDR met en corrélation les données recueillies sur les terminaux en temps réel avec les données des services de renseignement sur les menaces, qui fournissent des informations mises à jour en continu sur les cybermenaces nouvelles et récentes : les tactiques utilisées, les vulnérabilités des terminaux ou de l’infrastructure informatique exploitées, etc. Les services de renseignement sur les menaces peuvent être propriétaires (gérés par le fournisseur EDR), tiers ou communautaires. En outre, de nombreuses solutions EDR mappent également les données sur le framework MITRE ATT&CK, une base de connaissances internationale librement accessible présentant les tactiques et techniques des pirates, à laquelle le gouvernement des États-Unis contribue.
L’analytique et les algorithmes EDR peuvent également faire leur propre enquête, en comparant les données en temps réel aux données historiques et aux bases de référence établies pour identifier les activités suspectes, les comportements anormaux des utilisateurs finaux et tout autre signe d’incident ou de cybermenace. Ils peuvent également séparer les « signaux », ou menaces légitimes, du « bruit » des faux positifs, afin que les analystes de sécurité puissent se concentrer sur les incidents importants.
De nombreuses entreprises intègrent l’EDR à une solution SIEM (gestion des informations et des événements de sécurité), qui regroupe les informations relatives à la sécurité sur toutes les couches de l’infrastructure informatique, pas seulement sur les terminaux, mais aussi sur les applications, les bases de données, les navigateurs web, le matériel réseau, etc. Les données SIEM peuvent enrichir l’analytique EDR en y ajoutant un contexte supplémentaire permettant d’identifier les menaces, de les hiérarchiser, d’enquêter dessus et de les éliminer.
La technologie EDR synthétise les données importantes et les résultats des analyses dans une console de gestion centrale qui sert également d’interface utilisateur à la solution. La console offre aux membres de l’équipe de sécurité une visibilité totale sur tous les terminaux et les problèmes de sécurité qu’ils présentent, à l’échelle de l’entreprise, et leur permet de lancer des investigations, de répondre aux menaces et d’appliquer des mesures correctives sur tous les terminaux concernés.
C’est l’automatisation qui permet à la technologie EDR de réagir promptement. Sur la base de règles prédéfinies spécifiées par l’équipe de sécurité, ou « apprises » au fil du temps par les algorithmes de machine learning, les solutions EDR peuvent automatiquement :
- alerter les analystes de sécurité en cas de menaces spécifiques ou d’activités suspectes ;
- trier ou prioriser les alertes en fonction de leur gravité ;
- générer un rapport retraçant chaque étape d’un incident ou d’une menace sur le réseau, pour remonter jusqu’à sa cause première ;
- déconnecter un point de terminaison ou un utilisateur final du réseau
- interrompre les processus du système ou du point de terminaison ;
- empêcher un point de terminaison d’exécuter une pièce jointe d’e-mail ou un fichier malveillant ou suspect ;
- déclencher le lancement d’un logiciel antivirus/anti-logiciel malveillant pour analyser les autres points de terminaison du réseau susceptibles d’être touchés par la même menace.
La technologie EDR permet également d’automatiser l’investigation et la résolution (voir ci-dessous). De plus, elle peut être intégrée aux systèmes SOAR (orchestration, automatisation et réponse aux incidents de sécurité) pour automatiser les protocoles de réponse aux incidents de sécurité (séquences de réponse aux incidents) impliquant d’autres outils de sécurité.
Tous ces mécanismes d’automatisation permettent aux équipes de sécurité de répondre plus rapidement aux incidents et aux menaces, et de prévenir ou minimiser leur impact sur le réseau. Cela leur permet également de travailler le plus efficacement possible avec le personnel dont elles disposent.
Une fois la menace isolée, l’EDR permet aux analystes de sécurité d’approfondir l’investigation. Par exemple, l’analyse légale numérique les aide à déterminer la cause racine de la menace, à identifier les différents fichiers touchés, ainsi que les vulnérabilités que le pirate a exploitées pour pénétrer le réseau et s’y déplacer, accéder aux identifiants d’authentification ou mener d’autres activités malveillantes.
Munis de ces informations, les analystes peuvent utiliser les outils de résolution pour éliminer la menace. La résolution peut impliquer les mesures suivantes :
- Détruire les fichiers malveillants et les effacer des terminaux.
- Restaurer les configurations, paramètres de registre, données et fichiers d’application endommagés.
- Appliquer des mises à jour ou des correctifs pour éliminer les vulnérabilités.
- Mettre à jour les règles de détection pour éviter que l’incident ne se reproduise.
La traque des menaces (ou traque des cybermenaces) est un exercice de sécurité proactive qui consiste à analyser le réseau à la recherche de menaces pour l’heure inconnues, ou de menaces connues qui n’ont pas encore été détectées par les outils de cybersécurité automatisés de l’entreprise. N’oubliez pas que les menaces avancées peuvent rester cachées pendant des mois avant d’être détectées, à collecter des informations sur le système et des identifiants utilisateur en vue d’une violation à grande échelle. Une traque des menaces prompte et efficace permet d’en accélérer la détection et la résolution, pour limiter, voire prévenir leur impact.
Les traqueurs de menaces utilisent diverses tactiques et techniques qui s’appuient sur les sources de données et les fonctions d’analyse et d’automatisation employées par la technologie EDR pour détecter les menaces, y répondre et les résoudre. Par exemple, les traqueurs de menaces peuvent rechercher un fichier, un changement de configuration ou tout autre artefact spécifique en s’appuyant sur l’analyse légale numérique, ou sur les données MITRE ATT&CK décrivant les méthodes d’un pirate donné.
Pour faciliter la traque, l’EDR permet aux analystes de sécurité d’utiliser ces capacités via une interface utilisateur ou par programmation. Ainsi, ils peuvent effectuer des recherches ad hoc, des requêtes de données, des corrélations avec les renseignements sur les menaces et d’autres investigations. Les outils EDR spécifiquement conçus pour la traque des menaces vont des simples langages de script (pour l’automatisation des tâches courantes) aux outils de requête en langage naturel.
Une EPP, ou plateforme de protection des terminaux, est une plateforme de sécurité intégrée qui combine un antivirus nouvelle génération (NGAV) et un logiciel anti-logiciel malveillant avec un logiciel de contrôle web/filtrage web, des pare-feu, des passerelles de messagerie et d’autres technologies traditionnelles de sécurité des terminaux.
Là encore, les technologies EPP visent principalement à prévenir les menaces connues, ou les menaces qui se comportent de manière connue, au niveau des terminaux. L’EDR a la capacité d’identifier et de contenir les menaces inconnues ou potentielles qui échappent aux technologies traditionnelles de sécurité des terminaux. Néanmoins, de nombreuses EPP ont évolué pour inclure des fonctionnalités EDR telles que la détection avancée des menaces et l’analyse du comportement des utilisateurs.
Comme l’EDR, la XDR (détection et réponse étendues) et la MDR (détection et réponse gérées) sont des solutions de détection des menaces d’entreprise basées sur l’analytique et pilotées par l’IA. Elles diffèrent de l’EDR par l’étendue de la protection qu’elles offrent et par la manière dont elles sont déployées.
La XDR intègre les outils de sécurité dans l’ensemble de l’infrastructure hybride d’une organisation (non seulement les terminaux, mais aussi les réseaux, les e-mails, les applications, les workloads cloud et plus encore), afin qu’ils puissent interagir et coordonner la prévention, la détection et la réponse aux cybermenaces. À l’instar de l’EDR, la XDR intègre les technologies SIEM, SOAR et d’autres technologies de cybersécurité d’entreprise. Technologie encore émergente mais évoluant rapidement, la XDR a le potentiel de faire gagner les centres d’opérations de sécurité (SOC) débordés en efficacité en unifiant les points de contrôle de sécurité, la télémétrie, l’analytique et les opérations dans un système d’entreprise unique centralisé.
La MDR est un service de cybersécurité externalisé qui protège les organisations contre les menaces qui échappent à leurs propres opérations de cybersécurité. Les fournisseurs MDR proposent généralement des services de surveillance, de détection et de résolution des menaces 24h/24 et 7j/7, assurés par une équipe d’analystes de sécurité hautement qualifiés travaillant à distance avec des technologies EDR ou XDR basées sur le cloud. La MDR peut être une solution intéressante pour les organisations ayant besoin d’une expertise en sécurité allant au-delà des compétences de son personnel, ou d’une technologie de sécurité dépassant son budget.
Adoptez une approche cloud ouverte, utilisant l’IA, pour sécuriser et gérer tout type d’appareil à l’aide d’une solution UEM.
Gestion moderne des terminaux pour protéger vos utilisateurs finaux et leurs appareils contre les dernières menaces de cybersécurité.
Comprenez votre environnement de cybersécurité et hiérarchisez les initiatives avec les architectes et consultants IBM Security à l’occasion d’une séance de design thinking. Virtuelle ou en présentiel, celle-ci dure trois heures, et elle est gratuite.
Qu’est-ce qui fait d’une solution EDR une solution de pointe ? Découvrez les questions à poser et les points à prendre en compte lorsque vous évaluez les éléments clés d’une solution EDR moderne.
L’un des plus grands aéroports au monde protège ses infrastructures critiques grâce à la technologie NanoOS, aux moteurs comportementaux et aux puissantes capacités de traque des menaces d’IBM Security ReaQta.