Accueil les sujets NDR Qu’est-ce que la détection et la réponse du réseau (NDR) ?
La NDR utilise le machine learning, l’IA et l’analyse comportementale pour détecter les activités suspectes ou malveillantes sur un réseau d’entreprise et y répondre.
Abonnez-vous à la newsletter d’IBM En savoir plus sur IBM Security QRadar NDR
Dessin isométrique montrant différents membres du personnel de bureau, tous utilisant IBM Security
Qu'est-ce que la NDR ?

La détection et la réponse du réseau (NDR) est une catégorie de technologies de cybersécurité qui utilisent des méthodes non basées sur les signatures, telles que l'intelligence artificielle, le machine learning et l'analyse comportementale, pour détecter les activités suspectes ou malveillantes sur un réseau et faire face aux cybermenaces. 

La NDR est issue de l'analyse du trafic réseau (NTA), une technologie développée initialement pour extraire des modèles de trafic réseau à partir de données brutes sur le trafic réseau. Les solutions NTA intégrant des fonctionnalités d'analyse comportementale et de réponse aux menaces, l'analyste Gartner a rebaptisé la catégorie NDR en 2020.

Limites des solutions de sécurité réseau basées sur les signatures

De nombreux outils classiques de détection des menaces, comme les logiciels antivirus, systèmes de détection et de prévention des intrusions (IDPS) et certains types de pare-feu, identifient et prémunissent contre les menaces en recherchant des indicateurs de compromission (IOC), ou signatures, uniques en leur genre.

Une signature peut être une caractéristique associée à une cyberattaque connue, par exemple une ligne de code, un hash ou la taille d'un fichier issu d'une variante particulière de logiciel malveillant, un en-tête de paquet spécifique ou une ligne d'objet d'un e-mail par hameçonnage ou d'ingénierie sociale. Les outils basés sur les signatures tiennent à jour des bases de données de signatures connues et détectent les menaces en recherchant la présence de ces signatures dans le trafic réseau.

Par conséquent, ces outils sont efficaces pour empêcher les menaces connues d'infiltrer le réseau ou de s'y dissimuler. Mais ils ne peuvent pas détecter les nouveaux logiciels malveillants ou les nouvelles menaces, encore inconnus ou émergents. Il est également peu probable qu'ils identifient des menaces sans signature, telles que

  • Les pirates utilisant des identifiants volés pour accéder au réseau
  • Les attaques de type « Business email compromise » (BEC) au cours desquelles des pirates se font passer pour un cadre ou détournent sa messagerie électronique
  • Les employés adoptant involontairement des comportements à risque, tels que l'enregistrement de données de l'entreprise sur une clé USB personnelle ou le fait de cliquer sur des liens vers des sites web malveillants.

Les ransomwares et autres menaces persistantes avancées exploitent ces failles pour se faufiler dans les réseaux, effectuer des reconnaissances, escalader les privilèges et attendre le bon moment pour lancer une attaque. 

Fonctionnement de la NDR

Alors que les outils basés sur les signatures sont essentiellement préventifs, la NDR adopte une approche dynamique et réactive des menaces qui pèsent sur le réseau. Au lieu de rechercher des signatures spécifiques connues, les solutions NDR surveillent et analysent le trafic et l'activité du réseau en temps réel afin d'identifier toute activité suspecte, extérieure ou interne au réseau, qui pourrait traduire une cybermenace connue ou inconnue.

Pour ce faire, les solutions NDR :

Modélisent le comportement de base du réseau. Les solutions NDR intègrent des données brutes sur l'activité du réseau et des métadonnées issues de capteurs dédiés et d'agents informatiques répartis sur le réseau, ainsi que de l'infrastructure du réseau, comme les pare-feux et les routeurs. Les outils NDR appliquent ensuite l'analyse comportementale, l'IA et le machine learning aux données pour générer un modèle de base du comportement et de l'activité habituels du réseau. 

Détectent les activités suspectes et potentiellement malveillantes. La NDR surveille le réseau en permanence et utilise les mêmes capacités d'analyse et d'IA pour identifier en temps réel les divergences par rapport au comportement de base. Il peut s'agir, par exemple, d'un utilisateur qui accède à des données sensibles en dehors des heures de travail, du dispositif d'un terminal qui communique avec un serveur externe inconnu ou d'un port qui reçoit des paquets de données inhabituels.

Comme les solutions NDR surveillent à la fois le trafic réseau nord-sud (sortie et entrée) et est-ouest (interne), elles peuvent détecter et suivre les mouvements latéraux des menaces, un comportement fréquent de la part des individus internes malveillants et des menaces avancées. Certaines solutions NDR permettent de détecter les menaces qui se cachent dans le trafic chiffré.

La NDR peut également générer des modèles de comportement des menaces en corrélant des données provenant de flux de renseignements sur les menaces, du cadre MITRE ATT&CK et d'autres sources de données sur les tactiques, techniques et procédures (TTP) des cybercriminels. Ces modèles aident la solution NDR à distinguer les signaux du bruit, c'est-à-dire à faire la distinction entre les cyberattaques probables et les activités inhabituelles mais inoffensives, ou « faux positifs ».

Fournissent des outils d'automatisation et de réponse aux incidents. Lorsqu'une solution NDR détecte une cyberattaque ou un comportement susceptible de trahir une cyberattaque, elle peut

  • Hiérarchiser et transmettre des alertes à l'équipe de sécurité ou au centre d'opérations de sécurité (SOC) en temps réel.
  • Automatiser la réponse aux incidents. Les solutions NDR peuvent automatiquement prendre des mesures, comme mettre fin à une connexion réseau suspecte, afin de perturber ou de stopper une attaque au moment même où elle survient. La NDR peut également s'intégrer à d'autres outils de sécurité pour déclencher une réponse en cas d'incident. Par exemple, elle peut inciter le système SOAR (Security Orchestration, Automation and Response) d'une organisation à exécuter un protocole de réponse prédéfinie.
  • Optimiser les investigations des menaces. Les solutions NDR fournissent des données contextuelles et des fonctionnalités que les équipes de sécurité et les SOC peuvent utiliser pour faciliter les enquêtes sur les menaces en cours et les enquêtes proactives sur les menaces inconnues ou non détectées (ce que l'on appelle la traque des menaces).
NDR et autres solutions de sécurité d'entreprise

Aujourd'hui, les réseaux d'entreprise sont très décentralisés et étendus, connectant les centres de données sur site et du cloud, le matériel, les logiciels, les appareils IdO et les workloads. Pour obtenir une visibilité totale sur ces réseaux distribués et interconnectés, les SOC s'appuient souvent sur la NDR avec d'autres solutions de sécurité dans le cadre de leur stratégie de sécurité du cloud. 

Par exemple, la NDR est l'un des trois piliers de la triade de visibilité SOC de Gartner, avec la détection et la réponse des terminaux (EDR) et la gestion des informations et des événements de sécurité (SIEM). L'EDR est un logiciel conçu pour protéger automatiquement les utilisateurs finaux, les terminaux et les actifs informatiques d'une organisation contre les cybermenaces qui contournent les logiciels antivirus et les autres outils classiques d'endpoint security. Il fournit une vue locale de l'activité se produisant à des terminaux individuels qui complète la vue globale du trafic réseau fournie par la NDR. La SIEM combine et met en corrélation les données des journaux et des événements liés à la sécurité provenant d'outils de sécurité disparates et d'autres sources sur le réseau (serveurs, applications, appareils). Les outils de NDR peuvent transmettre leurs données de trafic réseau et leur analyse à une solution SIEM, ce qui enrichit encore sa valeur pour les workflows de sécurité et de conformité aux réglementations.

Plus récemment, les SOC ont adopté des solutions de détection et de réponse étendues (XDR). XDR intègre les outils de cybersécurité dans l'ensemble de l'infrastructure informatique hybride d'une organisation (points d'accès, réseaux, workloads sur le cloud, etc.) afin qu'ils puissent interagir et coordonner la prévention, la détection et la réponse aux cybermenaces. De nombreuses solutions XDR intègrent des fonctionnalités NDR ; les solutions XDR ouvertes peuvent tirer parti des fonctionnalités NDR déjà en place au sein d'une organisation.

Solutions connexes
Solutions de détection et réponse du réseau (NDR)

IBM Security QRadar Network Detection and Response (NDR) aide vos équipes de sécurité en analysant l’activité du réseau en temps réel.

Découvrir IBM Security QRadar NDR
Services de détection et réponse gérées

Bénéficiez d'une défense plus rapide contre les menaces sur les terminaux, les réseaux, les systèmes et les applications grâce à une prévention, une détection et une réponse gérées 24 heures sur 24, 7 jours sur 7 et alimentées par l'IA.

Explorez les services de détection et de réponse gérés
Services de gestion de la vulnérabilité

Adoptez un programme de gestion des vulnérabilités qui identifie, hiérarchise et gère la correction des failles susceptibles d’exposer vos actifs les plus critiques.

Découvrir les services de gestion des vulnérabilités
Ressources Qu’est-ce que l’EDR ?

L'EDR utilise une analytique en temps réel et une automatisation gérée par l'IA pour protéger les organisations contre les cybermenaces qui contournent les logiciels antivirus et les autres technologies traditionnelles d'enpoint security.

Qu’est-ce qu’un ransomware ?

Un ransomware est un logiciel malveillant qui enferme les données ou l'appareil informatique d'une victime et menace de le maintenir ainsi, voire pire, à moins que la victime ne paie une rançon au pirate.

Qu’est-ce que l’intelligence artificielle ?

L’intelligence artificielle (IA) exploite les ordinateurs et les machines pour imiter les capacités de résolution de problèmes et de prise de décision de l’esprit humain.