Qu’est-ce que la NDR?

Qu'est-ce que la NDR ?

La détection et la réponse du réseau (NDR) est une catégorie de technologies de cybersécurité qui utilisent des méthodes non basées sur les signatures, telles que l'intelligence artificielle, le machine learning et l'analyse comportementale, pour détecter les activités suspectes ou malveillantes sur un réseau et faire face aux cybermenaces.

La NDR est issue de l'analyse du trafic réseau (NTA), une technologie développée initialement pour extraire des modèles de trafic réseau à partir de données brutes sur le trafic réseau. Alors que NTA Solutions a ajouté des capacités d’analyse comportementale et de réponse aux menaces, les analystes du secteur de Gartner ont changé le nom de la catégorie en « network detection and response » en 2020.

Pourquoi la NDR est-elle importante ?

Les réseaux sont le fondement du monde connecté d’aujourd’hui, ce qui en fait une cible de choix pour les acteurs de la menace.

Traditionnellement, les organisations s'appuyaient sur des outils de détection des menaces tels que les antivirus, les systèmes de détection d'intrusion (IDS) et les pare-feux pour garantir la sécurité du réseau.

Nombre de ces outils utilisent une approche de détection basée sur les signatures, identifiant les menaces en comparant les indicateurs de compromission (IOC) à une base de données de signatures de cybermenaces.

Une signature peut être n’importe quelle caractéristique associée à une cyberattaque connue, comme une ligne de code d’une souche particulière de logiciel malveillant ou une ligne d’objet spécifique d’un e-mail d’hameçonnage. Ces outils basés sur les signatures surveillent les réseaux à la recherche de ces signatures précédemment découvertes et déclenchent des alertes lorsqu’ils les trouvent.

S'ils sont efficaces pour bloquer les cybermenaces connues, les outils basés sur les signatures ont du mal à détecter les menaces nouvelles, inconnues ou émergentes. Ils peinent également à détecter les menaces qui n'ont pas de signatures uniques ou qui ressemblent à un comportement légitime, telles que :

  • Les pirates utilisant des identifiants volés pour accéder au réseau

  • Les attaques de type « Business email compromise » (BEC) au cours desquelles des pirates se font passer pour un cadre ou détournent sa messagerie électronique

  • Les employés adoptant involontairement des comportements à risque, tels que l'enregistrement de données de l'entreprise sur une clé USB personnelle ou le fait de cliquer sur des liens vers des sites web malveillants

Les gangs de ransomwares et autres menaces persistantes avancées peuvent exploiter ces lacunes en matière de visibilité pour infiltrer les réseaux, effectuer une surveillance, escalader les privilèges et lancer des attaques à des moments opportuns.

La NDR peut aider les organisations à combler les lacunes que présentent les solutions basées sur les signatures et à sécuriser les réseaux modernes et de plus en plus complexes.

Grâce à des analyses avancées, au machine learning et à l’analyse comportementale, la NDR peut détecter même les menaces potentielles sans signature connue. De cette manière, la NDR fournit une couche de sécurité en temps réel, aidant les organisations à identifier les vulnérabilités et détecter des attaques que d'autres outils de sécurité pourraient manquer.

Newsletter Think

Votre équipe sera-t-elle en mesure de repérer la prochaine attaque de type zero-day à temps ?

Rejoignez les responsables de la sécurité qui font confiance à la Newsletter Think pour obtenir des informations ciblées autour de l’IA, de la cybersécurité, des données et de l’automatisation. Apprenez rapidement grâce à des tutoriels et des fiches explicatives d’experts, envoyés directement dans votre boîte de réception. Consultez la Déclaration de confidentialité d’IBM.

Vous recevrez votre abonnement en anglais. Vous trouverez un lien de désabonnement dans chaque newsletter. Vous pouvez gérer vos abonnements ou vous désabonner ici. Consultez la Déclaration de confidentialité d’IBM pour plus d’informations.

https://www.ibm.com/fr-fr/privacy

Comment fonctionnent les outils NDR ?

Les solutions de détection et de réponse du réseau reposent sur une approche proactive et dynamique de la gestion des menaces du réseau. Les outils NDR surveillent et analysent en permanence l'activité du réseau et les schémas de trafic en temps réel afin d'identifier toute activité suspecte susceptible d'indiquer une cybermenace.

La détection des menaces à l'aide d'une solution NDR comporte généralement les cinq étapes suivantes§:

  1. Collecter des données
  2. Établir le comportement de base du réseau
  3. Surveiller les activités malveillantes
  4. Répondre aux incidents
  5. Optimiser la détection au fil du temps
1. Collecter des données

Les solutions NDR ingèrent des données brutes sur le trafic réseau et des métadonnées grâce à la télémétrie, une pratique qui consiste à utiliser l'automatisation pour collecter et transmettre des données depuis des sources distantes.

Les outils NDR collectent souvent des données provenant des points de terminaison, de l'infrastructure réseau, des pare-feux et d'autres sources afin de fournir une vue d'ensemble du réseau. Les données collectées peuvent inclure des données de paquets réseau, des données de flux et des journaux.
2. Établir le comportement de base du réseau

Les outils NDR utilisent l’analyse comportementale, l’IA et le machine learning pour évaluer les données et établir un modèle de base du comportement et de l’activité normaux du réseau.
3. Surveiller les activités malveillantes

Une fois le modèle de référence établi, le système surveille en permanence le trafic réseau en temps réel. La NDR compare l'activité réseau actuelle à cette base de référence pour détecter des écarts pouvant signaler une exfiltration de données ou d'autres menaces potentielles.

Ces écarts peuvent inclure des tentatives d’accès non autorisées, des transferts de données inhabituels, des modèles de connexion anormaux (tels que l’accès aux données en dehors des heures normales) ou des communications avec des serveurs Web inconnus.
4. Répondre aux incidents

Lorsqu'une activité suspecte est détectée, les solutions NDR alertent les équipes de sécurité pour qu'elles puissent agir. Certains outils NDR peuvent également prendre des mesures automatisées pour atténuer la menace. Ces réponses automatisées peuvent consister à bloquer les adresses IP malveillantes, à isoler les dispositifs compromis ou à limiter le trafic suspect afin d'éviter d'autres dommages.
5. Optimiser la détection au fil du temps

Les systèmes NDR adaptent continuellement leurs modèles d'activité réseau en intégrant les informations provenant des menaces détectées et des réponses apportées. Ils intègrent également les données fournies par les analystes de sécurité et les renseignements sur les menaces. Ce perfectionnement continu améliore la précision et l'efficacité des outils NDR dans leur capacité à détecter les menaces nouvelles et évolutives et à y répondre.

Avantages de la NDR

Les solutions NDR offrent une gamme de capacités qui peuvent présenter des avantages par rapport aux outils traditionnels de détection des menaces basés sur les signatures. Ces capacités incluent : 

Capacités de détection des menaces en temps réel

Les solutions de NDR assurent une surveillance et une analyse des données du réseau en temps réel, ce qui permet d'identifier les menaces potentielles et d'y répondre plus rapidement. Certains outils NDR peuvent également classer les alertes par ordre de priorité et informer les équipes de sécurité ou les centres des opérations de sécurité (SOC) en fonction de la gravité potentielle de la menace.

Visibilité complète au niveau du périmètre et à l’intérieur du réseau

La NDR peut offrir une visibilité sur toutes les activités du réseau sur site et dans les environnements de cloud hybride. Cette visibilité complète peut aider les organisations à intercepter davantage d'incidents de sécurité.

Comme les solutions NDR surveillent à la fois le trafic réseau nord-sud (sortie et entrée) et est-ouest (interne), elles peuvent détecter à la fois les intrusions au périmètre du réseau et les mouvements latéraux au sein du réseau. La capacité à repérer les anomalies à l'intérieur du réseau peut aider la NDR à détecter les menaces avancées qui se cachent. Certains outils NDR peuvent également détecter les menaces qui se cachent dans le trafic chiffré.

Analyse des menaces alimentée par l'IA

La NDR tire parti de l'IA et d'algorithmes avancés de machine learning pour analyser les données du réseau, identifier des schémas et repérer des menaces potentielles. Cela inclut des menaces jusqu'alors inconnues que les outils traditionnels ne détectent souvent pas.

Réponse automatique aux incidents

Certaines solutions NDR sont dotées de capacités de réponse automatisées, telles que l'interruption d'une connexion réseau suspecte, afin de perturber ou de stopper une attaque au moment même où elle survient. Les outils NDR peuvent également s'intégrer à d'autres outils de sécurité pour exécuter des plans de réponse aux incidents plus complexes. Par exemple, après avoir détecté une menace, une NDR peut demander à une plateforme d'orchestration, automatisation et réponse aux incidents de sécurité (SOAR) d'exécuter un protocole de réponse prédéfini.

Intégration avec les renseignements sur les menaces

De nombreux outils NDR peuvent s'intégrer à des flux et des bases de données de renseignements sur les menaces, tels que le framework MITRE ATT&CK. Ces intégrations peuvent améliorer les modèles comportementaux et la précision de la détection des menaces, ce qui rend les outils de NDR moins sujets aux faux positifs.

Recherche des menaces

Les solutions NDR fournissent des données contextuelles et des fonctionnalités que les équipes de sécurité peuvent utiliser dans leur travail de traque des menaces qui n'ont pas été détectées auparavant.

Inconvénients potentiels de la NDR

Malgré leurs avantages, les solutions NDR ont leurs limites. Voici quelques-unes des principales limitations des outils NDR actuels :

Complexité et coût

Les outils NDR peuvent nécessiter des investissements importants en matériel, en logiciels et en personnel de cybersécurité. La configuration initiale peut, par exemple, impliquer le déploiement de capteurs sur plusieurs segments du réseau et l'investissement dans un système de stockage de données de grande capacité pour les gros volumes de données relatives au trafic sur le réseau.

Problèmes d’évolutivité

La mise à l’échelle des solutions NDR pour les réseaux en pleine croissance peut s’avérer difficile. L'augmentation du flux de données peut peser sur les ressources et créer des goulets d'étranglement, ce qui rend les solutions de détection et de réponse aux menaces moins efficaces dans les grandes entreprises.

Faux positifs

Les outils de NDR peuvent générer de nombreux faux positifs et submerger les équipes de sécurité d'alertes intempestives. Les moindres écarts par rapport aux caractéristiques normales des réseaux peuvent être signalés comme suspects, ce qui entraîne une perte de temps et potentiellement entraver la détection de menaces réelles.

Préoccupations en matière de protection de la vie privée et de réglementation

La surveillance continue du trafic réseau, y compris les communications chiffrées, peut soulever des problèmes de confidentialité. Le non-respect des réglementations telles que le Règlement général sur la protection des données (RGPD) et la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) peut entraîner des amendes et des sanctions importantes.

NDR et autres solutions de sécurité

Les réseaux d'entreprise d'aujourd'hui sont décentralisés et étendus, connectant des centres de données, du matériel, des logiciels, des appareils IdO et des workloads sur site et dans des environnements cloud.

Les organisations et leurs centres des opérations de sécurité (SOC) ont besoin d'un ensemble robuste d'outils pour bénéficier d'une visibilité complète sur ces réseaux complexes. De plus en plus, elles optent pour une combinaison de NDR et d'autres solutions de sécurité.

Par exemple, la NDR est l'un des trois piliers de la triade de visibilité SOC de Gartner, avec la détection et la réponse des terminaux (EDR) et la gestion des informations et des événements de sécurité (SIEM).

  • L'EDR est un logiciel conçu pour protéger automatiquement les utilisateurs finaux, les terminaux et les actifs informatiques d'une organisation contre les cybermenaces. Là où la NDR fournit une « vue aérienne » du trafic réseau, l'EDR peut fournir une vue supplémentaire « sur le terrain » de l’activité à des points de terminaison individuels.

  • La SIEM combine et met en corrélation les données des journaux et des événements liés à la sécurité provenant d’outils de sécurité et de sources réseau disparates, tels que les serveurs, les applications et les appareils. Les outils NDR peuvent renforcer ces efforts en transmettant leurs données et analyses de trafic réseau aux systèmes SIEM, améliorant ainsi la sécurité et l'efficacité de la conformité réglementaire.

Plus récemment, les SOC ont adopté des solutions de détection et de réponse étendues (XDR). XDR intègre des outils de cybersécurité sur l'ensemble de l'infrastructure informatique hybride d'une organisation, y compris les points de terminaison, les réseaux et les workloads dans le cloud. De nombreux fournisseurs XDR incluent des fonctionnalités NDR, tandis que les solutions XDR ouvertes peuvent tirer parti des capacités NDR existantes d'une organisation, en s'intégrant aux workflows de sécurité déjà en place.

Ressources

IBM® X-Force Threat Intelligence Index 2025

Obtenez des informations précieuses pour vous préparer et réagir plus rapidement et plus efficacement aux cyberattaques avec IBM X-Force Threat Intelligence Index.
IDC MarketScape : Évaluation des fournisseurs de services de conseil en cybersécurité 2025

Découvrez pourquoi IBM a été désigné comme acteur majeur et obtenez des informations qui vous permettront de sélectionner le fournisseur de services de conseil en cybersécurité le mieux adapté aux besoins de votre organisation.
La cybersécurité à l’ère de l’IA générative

Découvrez comment l’environnement de la sécurité actuel évolue, comment faire face aux défis de l’IA générative et comment tirer pleinement parti de sa résilience.
Rapport IBM X-Force 2024 sur l'environnement des menaces dans le cloud

Comprenez les dernières menaces et renforcez vos défenses cloud avec le rapport IBM X-Force sur le paysage des menaces dans le cloud.
Qu’est-ce que la sécurité des données ?

Découvrez comment la sécurité des données permet de protéger les informations numériques contre l’accès non autorisé, la corruption et le vol tout au long de leur cycle de vie.
Qu’est-ce qu’une cyberattaque ?

Une cyberattaque est un effort intentionnel visant à voler, exposer, modifier, désactiver ou détruire des données, des applications ou d’autres actifs par le biais d’un accès non autorisé.
Solutions connexes
Solutions de sécurité d’entreprise

Transformez votre programme de sécurité avec le portefeuille de solutions le plus complet.

 Découvrir les solutions de cybersécurité
Services de cybersécurité

Transformez votre entreprise et gérez les risques avec des services de conseil en cybersécurité, de cloud et de sécurité gérée.

         Découvrir les services de cybersécurité
    Cybersécurité et intelligence artificielle (IA)

    Accélérez et précisez le travail des équipes de sécurité, et rendez-les plus productives grâce à des solutions de cybersécurité cyberalimentées par l’IA.

         Découvrir AI cybersecurity
    Passez à l’étape suivante

    Utilisez les solutions de détection et de réponse aux menaces d’IBM pour renforcer votre sécurité et accélérer la détection des menaces.

     

         Découvrir les solutions de détection des menaces Découvrir IBM Verify