Nous utilisons au quotidien différents types de terminaux. Chacun d’entre eux est porteur de vulnérabilités et donc exposé aux cybermenaces. Les solutions de défense classiques de type antivirus ou antimalware ne sont aujourd’hui plus suffisantes pour assurer la sécurité de ces terminaux. Une autre catégorie de solutions de sécurité émerge : l’EDR ou « Endpoint Detection and Response », dont la particularité est de s’appuyer sur l’intelligence artificielle et l’analyse comportementale pour mieux repérer les menaces avancées et y répondre.
Voyons comment fonctionnent les solutions de sécurité EDR et quels sont leurs avantages.
EDR : de quoi parle-t-on ?
EDR : définition
L’acronyme « EDR » correspond à l’expression « Endpoint Detection and Response », qui désigne une catégorie de solutions logicielles dédiées à la sécurité des terminaux d’une organisation (ordinateurs portables, ordinateurs de bureau, appareils mobiles, etc.).
L’EDR est une solution capable de repérer, détecter et répondre aux activités suspectes et aux menaces qui pèsent sur les terminaux (également appelés « points de terminaison »). L’objectif est de les protéger des diverses cyberattaques qui pourraient les toucher, de type malwares (logiciels malveillants), ransomwares (rançongiciels), etc.
EDR, antivirus : quelles différences ?
La différence majeure entre les EDR et les solutions antivirus traditionnelles tient aux types de menaces traitées. Un EDR est conçu pour repérer et traiter les différents types de cyberattaques. Les logiciels antivirus, eux, détectent et bloquent uniquement les malwares. La protection offerte par une solution de type EDR est donc plus étendue.
D’autre part, les EDR sont plus efficaces face à une menace émergente, qu’ils parviennent mieux à détecter et à traiter.
Comment fonctionnent les EDR ?
Récolte et ingestion de données
Les solutions de sécurité des terminaux de type EDR disposent de fortes capacités de détection car elles s’appuient sur de grandes quantités de données récoltées sur les terminaux (tentatives d’authentification, applis exécutées, journaux d’événements, etc.).
Les données collectées sur les terminaux sont ensuite envoyées sur une plateforme EDR pour y être centralisées.
Analyse des données
Pour traiter la masse de données dont elles disposent, les plateformes EDR s’appuient sur des algorithmes et du machine learning dans le but de faire ressortir des comportements anormaux. L’analyse contextuelle permet de détecter des menaces furtives et des activités potentiellement suspectes. Les plateformes EDR peuvent également croiser leurs données avec celles issues d’autres solutions de sécurité informatique.
Traitement (éventuellement automatisé) des activités suspectes
Lorsqu’une solution EDR détecte des événements ou des activités qualifiés de suspects, les analystes en sécurité de l’organisation sont alertés. Certaines situations nécessitent une intervention humaine, mais d'autres peuvent également générer une prise de décision de manière automatisée, comme l’exclusion temporaire d’un terminal du réseau de l’organisation pour bloquer la propagation d’un logiciel malveillant.
Réutilisation des données
Les solutions EDR stockent et archivent de grandes quantités de données, ce qui leur permet d’avoir une vue d’ensemble sur les attaques subies par l’organisation et de mieux traquer les différentes menaces, y compris les attaques sans fichiers.
Comment les EDR sont devenus la norme en matière de protection des terminaux ?
Un éventail toujours plus important de cybermenaces
Avec la mobilité croissante des collaborateurs, chacun d’entre eux possède généralement plusieurs terminaux connectés au réseau, qui peuvent potentiellement servir de vecteurs d’attaques.
D’autre part, les hackers savent désormais contourner différents dispositifs comme les logiciels antivirus, les solutions de protection par signature ou encore les systèmes dédiés à la détection des intrusions. Enfin, les solutions de sécurité utilisées jusqu’ici ne savent pas détecter certaines menaces telles que les malwares sans fichiers ou les menaces persistantes avancées. Les solutions EDR, elles, peuvent le faire.
Des réponses appropriées aux nouvelles cybermenaces
Les outils de sécurité classique ne sont désormais plus suffisants pour contrer cet éventail de cybermenaces. Les plateformes de type EDR examinent les activités suspectes sur les terminaux d’une manière plus poussée que ne le font les outils utilisés jusqu’ici, permettant de repérer des menaces qui passeraient tout simplement inaperçues sans EDR. Les attaques « zero day » en sont de bons exemples. L’une des particularités des solutions EDR est de se focaliser sur la protection des terminaux et non sur le réseau comme le font par exemple les pare-feu.
Avantages des solutions EDR
La plupart de ces solutions de détection de menaces permettent de répondre aux événements en temps réel. Un système d’alerte permet en effet aux organisations de repérer les prémices d’une attaque et d’éviter par exemple que des fuites de données se produisent.
Les plateformes EDR sont également utiles dans la gestion post-incident. Elles permettent par exemple de comprendre comment une attaque a pu se produire, et donc d’envisager des mesures correctives à mettre en place.
Comment bien investir dans un EDR ?
L’adoption d’une solution EDR constitue une pièce importante dans une stratégie de sécurité d’un SI, mais comment en tirer le maximum de bénéfices ? En choisissant une solution adaptée à la configuration de son SI et aux outils de sécurité existants. Les recherches sur les différents produits disponibles ne sont jamais superflues.
Les solutions de type EDR génèrent au quotidien une masse importante de données et d’alertes, mais encore faut-il savoir les interpréter. Les organisations ont tout intérêt à intégrer dans leurs équipes de sécurité des analystes en sécurité dont le rôle sera d’interpréter ces données.
Enfin, mettre en place une solution EDR ne fait pas tout. Il s’agit d’une brique de sécurité dont la vocation n’est pas de remplacer les autres dispositifs existants, mais bien d’intervenir en complément des solutions existantes pour s'intégrer dans une approche globale et multicouche de sécurité.