Blog Sécurité des données

Technologie EDR : tout ce qu’il faut savoir sur la sécurité EDR

Ce guide traite des solutions de type Endpoint Detection and Response (EDR) qui permettent de détecter et contrer les activités suspectes sur les postes de travail, les ordinateurs portables et les terminaux mobiles.
Michael Buckbee
7 minute de lecture
Dernière mise à jour 29 octobre 2021

Contents

    Les terminaux (c’est-à-dire les ordinateurs portables, smartphones et autres appareils connectés que nous utilisons au quotidien) constituent une cible de choix pour les attaquants. Omniprésents et sujets aux vulnérabilités, ils sont aussi difficiles à défendre. En 2017, par exemple, l’attaque WannaCry aurait affecté plus de 230 000 terminaux à l’échelle de la planète. L’EDR (Endpoint Detection and Response) est une catégorie de solutions en plein essor qui vise à fournir des capacités plus poussées que les solutions classiques d’antivirus et d’antimalware. Cet article explique en quoi consiste l’EDR et pourquoi elle est importante ; il décrit le fonctionnement des solutions de sécurité EDR et examine les bonnes pratiques à respecter avec de tels outils.

    L’EDR, qu’est-ce que c’est ?

    L’EDR (Endpoint Detection and Response) est une catégorie de solutions capable de détecter et contrer des activités suspectes sur les postes de travail, les ordinateurs portables et les appareils mobiles d’une organisation. Utilisé pour la première fois en 2013 par Anton Chuvakin, analyste chez Gartner, ce terme décrit des plateformes émergentes qui permettent d’examiner les activités suspectes de manière plus poussée. L’EDR se distingue également des solutions de sécurité telles que les pare-feu, car elle applique la protection sur les terminaux eux-mêmes, plutôt que sur le périmètre du réseau.

    Pourquoi est-ce important ?

    Entre les menaces persistantes avancées (APT) et les malwares sans fichier, les organisations sont aujourd’hui confrontées à un éventail de cybermenaces que les produits de sécurité hérités ne savent pas détecter. Désormais, les attaquants savent très bien comment contourner les dispositifs de protection par signature, tels que les logiciels antivirus et les systèmes de détection des intrusions. Chaque terminal connecté au réseau constitue un potentiel vecteur d’attaque pour les cybermenaces. Et avec la généralisation des appareils mobiles et du travail à distance, l’efficacité des défenses périmétriques, comme les pare-feu, s’amenuise.

    Les solutions de sécurité EDR associent de vastes quantités de données capturées sur chaque terminal à une analyse contextuelle pour détecter les menaces furtives qui, auparavant, seraient passées inaperçues. La plupart des solutions EDR s’appuient sur la définition de points de référence et sur l’analyse comportementale afin de repérer des activités potentiellement suspectes. Beaucoup offrent également une capacité de réponse en temps réel aux événements.

    Contrairement à d’autres solutions, l’intérêt de l’EDR se manifeste le plus souvent pendant l’incident et après. Grâce aux informations hautement détaillées que fournissent les plateformes EDR, les équipes de sécurité peuvent déterminer comment une menace a réussi à échapper aux défenses existantes. Les alertes en temps réel qu’elles fournissent peuvent aider l’organisation à repérer les premiers stades d’une attaque, et à agir pour éviter une fuite de données d’envergure. Si une telle fuite se produit tout de même, les plateformes EDR fournissent des fonctionnalités qui facilitent grandement les investigations et les mesures de remédiation.

    Comment ça marche ?

    On compare souvent l’EDR à l’enregistreur de vol d’un avion commercial, la fameuse « boîte noire », non sans raison. Tout comme la boîte noire collecte en continu les données télémétriques des systèmes de vol de l’aéronef, les plateformes EDR ingèrent en permanence des données issues des terminaux : journaux d’événements, tentatives d’authentification, applications exécutées, etc. Ces données varient d’un éditeur à l’autre, mais en règle générale, les solutions de sécurité EDR fonctionnent ainsi :

    1. Ingestion des données télémétriques issues des terminaux

    Un large éventail de données télémétriques est collecté sur les terminaux. Cette collecte est généralement assurée par un agent logiciel installé sur chaque terminal, mais dans certains cas, elle s’effectue de manière indirecte.

    1. Envoi des données télémétriques ingérées à la plateforme EDR centrale

    Les données de chaque agent de terminal sont envoyées à un emplacement central, le plus souvent une plateforme cloud fournie par l’éditeur de la solution EDR. Dans les secteurs soumis à des obligations de conformité spécifiques, il peut s’agir d’une implémentation sur site ou cloud hybride.

    1. Corrélation et analyse des données

    À l’aide d’algorithmes et de moteurs de machine learning, les immenses quantités de données collectées sont passées au crible afin de mettre en évidence des irrégularités potentielles. De nombreuses solutions EDR vont « apprendre » ce qui constitue des comportements utilisateur et des opérations de terminaux normaux. Il est également possible de corréler les données à partir de plusieurs sources, comme d’autres produits de sécurité. Des flux d’information sur les menaces sont souvent utilisés pour fournir des exemples concrets de cyberattaques actuelles auxquels comparer les activités au sein de l’organisation.

    1. Signalement et traitement des activités suspectes

    En cas d’événement ou d’activité jugés suspects par la plateforme EDR, une alerte est envoyée aux analystes en sécurité pour examen. De nombreuses solutions de sécurité EDR présentent des fonctionnalités d’automatisation qui permettent de prendre des mesures directes face à une menace. Par exemple, la solution peut isoler temporairement un terminal du reste du réseau afin d’éviter la propagation d’un malware. En cas de menaces plus graves, une intervention humaine plus poussée sera nécessaire.

    1. Rétention des données en vue de leur réutilisation

    La rétention des données est une caractéristique essentielle de l’EDR. À mesure qu’apparaissent de nouveaux types de cyberattaques, les équipes de sécurité peuvent explorer les données antérieures afin de déterminer si l’organisation a déjà subi une attaque alors inconnue. Les données d’archive peuvent aussi servir à traquer les menaces de manière proactive ; il s’agit essentiellement de sonder de larges volumes de données en partant du principe qu’une activité malveillante a eu lieu.

    Les 9 composantes d’une solution EDR

    Les solutions EDR peuvent présenter diverses fonctionnalités, mais il existe en ensemble d’éléments fondamentaux incontournables :

    1. Alerte et reporting sur console : console à base de rôles qui assure une visibilité de l’état de sécurité des terminaux de l’organisation
    2. Réponse avancée EDR : fonctionnalités avancées d’analyse et de réponse des solutions EDR, comme l’automatisation et l’analyse forensique détaillée des incidents de sécurité
    3. Fonctionnalité EDR de base : capacité de détecter et signaler les menaces de sécurité et les vulnérabilités sur le terminal
    4. Suite de protection des terminaux : fonctionnalité de base proposée par la précédente génération de logiciels de sécurité des terminaux, réunissant des capacités antimalware, antiphishing et anti-exploit
    5. Prise en charge géographique : capacité d’un éditeur de solution EDR à accompagner une entreprise internationale, car la sécurité des informations est essentielle à sa mission
    6. Services gérés : capacité de l’EDR à transmettre des données à un service géré de sécurité ou à un éditeur d’EDR géré pour accroître les capacités de l’équipe en charge de la sécurité
    7. Prise en charge des systèmes d’exploitation : pour être efficace, la solution EDR doit prendre en charge tous les systèmes d’exploitation utilisés dans l’organisation
    8. Prévention : la détection des menaces ne suffit pas ; une solution EDR efficace doit également fournir des mesures préventives pour mieux réduire le risque et permettre aux équipes d’agir
    9. Intégration avec des solutions tierces : une stratégie complète de sécurité des données exige souvent une intégration avec de multiples produits : l’EDR doit proposer des API ou des intégrations avec d’autres solutions pour établir une approche multicouche de la sécurité

    Les avantages de la sécurité EDR

    Utilisée correctement, une solution EDR peut apporter de nombreux avantages, parmi lesquels :

    1. Visibilité approfondie et élargie

    Composante fondamentale de toutes les solutions EDR, la visibilité se concrétise de deux manières. D’une part, elle permet d’explorer en profondeur le fonctionnement interne du terminal et d’inspecter les relations entre processus, connexions réseau et comportements utilisateur. D’autre part, l’EDR étant par nature centralisée, les analystes peuvent observer la posture de sécurité de l’organisation dans son ensemble, et ainsi repérer les schémas qui se répètent sur des dizaines, des centaines, voire des milliers de terminaux.

    1. Détection des menaces avancées

    L’un des principaux avantages offerts par l’EDR réside dans sa capacité à détecter des menaces qui, autrement, passeraient inaperçues. Il s’agit notamment des attaques zero-day, des menaces internes et des campagnes de hacking hautement sophistiquées.

    1. Simplification de la réponse aux incidents

    Grâce aux nombreux détails qu’elles collectent, les solutions EDR peuvent fortement simplifier les activités de réponse et de remédiation en cas de fuite de données. Par le passé, à la suite d’un incident, l’intervenant pouvait passer un temps considérable à recueillir des artéfacts sur une diversité de terminaux afin de réunir un ensemble de preuves suffisant. Avec l’EDR, la collecte et le stockage de ces artéfacts font partie du processus normal. Les consoles EDR centralisées et les périodes plus longues de rétention des données permettent aussi de dresser un tableau plus complet de l’incident de sécurité.

    1. Automatisation et intégration

    Les produits EDR offrent souvent des fonctionnalités d’automatisation robustes et la possibilité de recourir aux API pour réaliser des intégrations personnalisées. Comme les agents EDR sont en général installés sur tous les terminaux de l’organisation, il est possible de lancer rapidement des investigations ou des interventions à grande échelle.

    Comparatif : EDR, antivirus ou plateforme de protection des terminaux ?

    En principe, l’EDR consiste à détecter et contrer les menaces qui ont réussi à franchir d’autres couches de défense. Mais en pratique, les éditeurs de solutions combinent souvent les fonctionnalités d’EDR avec d’autres fonctions de sécurité. Contre les malwares, la plupart des produits EDR offrent le même type de protection basée sur les signatures que les logiciels antivirus hérités. On utilise souvent le terme « plateforme de protection des terminaux » pour décrire des produits qui combinent EDR, antivirus nouvelle génération et d’autres types de protection dans un même logiciel. Ces plateformes peuvent aussi proposer d’autres fonctionnalités, comme des pare-feu hébergés sur l’hôte, le contrôle du chiffrement des appareils, la prévention des pertes de données (DLP), etc.

    Conseils et bonnes pratiques de sécurité EDR

    Une solution EDR peut constituer un atout supplémentaire dans un programme de sécurité globale des informations, mais sa mise en œuvre doit être soigneusement réfléchie. Pour tirer pleinement parti d’un investissement dans une solution EDR, l’organisation doit :

    1. Prendre conscience que les solutions EDR nécessitent des compétences humaines spécifiques

    Dans une grande organisation, les solutions de sécurité EDR peuvent générer des dizaines de milliers d’alertes chaque jour, dont la plupart seront au final des faux positifs. Pour concrétiser les avantages de l’EDR, les organisations doivent recruter des analystes en sécurité qui sauront donner du sens aux données obtenues informatiquement. Cet investissement est souvent coûteux, car un analyste qualifié peut représenter un salaire relativement élevé. Les organisations de taille plus modeste peuvent envisager une solution gérée ou MDR (Managed Detection and Response), c’est-à-dire un service combinant EDR et analyse humaine.

    1. Choisir un éditeur de solution en fonction de leurs besoins précis

    La fonctionnalité et le coût d’une solution EDR peuvent varier de manière considérable. Les organisations doivent passer du temps à étudier les produits proposés par différents éditeurs pour faire le bon choix. Par exemple, la solution EDR proposée fonctionne-t-elle bien avec les systèmes d’exploitation et les applications déjà en place ? S’intègre-t-elle convenablement avec d’autres outils de sécurité ? Si les organisations ne se posent pas ces questions, elles risquent de choisir une solution inadaptée, qui annulerait les bénéfices de l’EDR.

    1. Utiliser l’EDR en complément, pas en remplacement

    L’EDR tient son nom à son mode de fonctionnement, exclusivement centré sur les terminaux. Et ce n’est pas un hasard. Certains comportements pouvant sembler normaux sur un terminal, comme la connexion d’un utilisateur avec un identifiant et un mot de passe valides, ne déclencheront pas nécessairement un signal d’alarme si l’EDR est utilisée seule. Mais cet événement de connexion peut se révéler suspect s’il est détecté à plusieurs endroits sur une courte période. Varonis DatAlert et Edge analysent l’activité des fichiers, les événements utilisateur et la télémétrie du périmètre afin d’identifier tout comportement anormal au vu d’un contexte plus complet. Même les activités en apparence inoffensives sont contextualisées afin de dégager une vue plus globale.

    Certes, les solutions EDR protègent les terminaux sur votre réseau, mais elles sont limitées d’une part par les types d’activités qu’elles peuvent surveiller, et d’autre part par les types de malwares ou de cyberattaques qu’elles peuvent détecter. La solution Varonis est conçue pour protéger les données d’entreprise contre les attaques zero-day au-delà du terminal, en replaçant les mesures télémétriques du périmètre dans le contexte des activités de fichiers et des comportements utilisateur issus de vos dépôts de données centraux.

    L’EDR et Varonis peuvent agir en synergie.  Cliquez ici pour obtenir une démonstration personnalisée et découvrir comment une stratégie de sécurité multicouche peut fonctionner dans votre environnement.

    Que dois-je faire maintenant ?

    Vous trouverez ci-dessous trois solutions pour poursuivre vos efforts visant à réduire les risques liés aux données dans votre entreprise:

    1

    Planifiez une démonstration avec nous pour voir Varonis en action. Nous personnaliserons la session en fonction des besoins de votre organisation en matière de sécurité des données et répondrons à vos questions.

    2

    Consultez un exemple de notre évaluation des risques liés aux données et découvrez les risques qui pourraient subsister dans votre environnement. Cette évaluation est gratuite et vous montre clairement comment procéder à une remédiation automatisée.

    3

    Suivez-nous sur LinkedIn, YouTube et X (Twitter) for pour obtenir des informations sur tous les aspects de la sécurité des données, y compris la DSPM, la détection des menaces, la sécurité de l’IA et plus encore.

    Michael Buckbee
    Michael Buckbee Michael a travaillé en tant qu'administrateur système et développeur de logiciels pour des start-ups de la Silicon Valley, la marine américaine, et tout ce qui se trouve entre les deux.

    Essayez Varonis gratuitement.

    Obtenez un rapport détaillé sur les risques liés aux données basé sur les données de votre entreprise.
    Se déploie en quelques minutes.
    Commencer Voir un échantillon

    Keep reading

    Varonis tackles hundreds of use cases, making it the ultimate platform to stop data breaches and ensure compliance.

    endpoint-detection-and-response-:-tout-ce-qu’il-vous-faut-savoir-sur-l’edr
    Endpoint Detection and Response : tout ce qu’il vous faut savoir sur l’EDR
    endpoint-detection-and-response-:-tout-ce-qu’il-vous-faut-savoir-sur-l’edr
    Michael Buckbee
    10 août 2018
    Les terminaux sont une cible privilégiée pour les pirates : ils sont omniprésents, vulnérables et difficiles à défendre. En 2017, par exemple, on rapporte que l’attaque WannaCry a affecté plus de 230 000 terminaux dans le...
    qu’est-ce-le-c&c-?-explications-sur-l’infrastructure-de-commande-et-contrôle
    Qu’est-ce le C&C ? Explications sur l’infrastructure de Commande et Contrôle
    qu’est-ce-le-c&c-?-explications-sur-l’infrastructure-de-commande-et-contrôle
    Robert Grimmick
    7 mai 2021
    Cet article décrit l'infrastructure Commande et Contrôle (C&C), utilisée par les hackers pour contrôler des appareils infectés et dérober des données sensibles lors d'une cyberattaque.
    ids-et-ips-:-en-quoi-sont-ils-différents-?
    IDS et IPS : en quoi sont-ils différents ?
    ids-et-ips-:-en-quoi-sont-ils-différents-?
    Michael Buckbee
    25 janvier 2019
    Les systèmes de détection des intrusions (IDS) analysent le trafic réseau pour détecter des signatures correspondant à des cyberattaques connues. Les systèmes de prévention des intrusions (IPS) analysent également les...
    votre-guide-sur-les-simulations-de-cyberattaques :-en-quoi-consistent-les-tests-d’intrusion ?
    Votre guide sur les simulations de cyberattaques : en quoi consistent les tests d’intrusion ?
    votre-guide-sur-les-simulations-de-cyberattaques :-en-quoi-consistent-les-tests-d’intrusion ?
    David Harrington
    29 avril 2022
    Les tests d’intrusion simulent une cyberattaque réelle sur vos données et systèmes critiques. Voici en quoi ils consistent, les processus et outils utilisés et comment ces tests permettent de détecter les vulnérabilités avant que les pirates ne le fassent.