MENU
ACTUALITÉS
Trop de termes pour la détection et la réponse aux incidents de sécurité. Lequel est le bon ?
Actualités
02
Nov 21

Les attaques informatiques sont toujours plus nombreuses et sophistiquées. Pour réduire le risque d’attaque, les entreprises doivent adopter une approche globale permettant de détecter les incidents de sécurité et d’y répondre. L’objectif est d’éliminer les angles morts, d’améliorer la précision des analyses et de simplifier les investigations. Pour répondre à cela, de nombreux termes existent tels que EDR, NDR, XDR, SIEM, SOAR, SOC… Que signifient-ils et quelles sont leurs différences ?

Souvenez-vous de l’attaque Wannacry en 2017 qui a affecté plus de 300 000 terminaux dans 150 pays. Les terminaux, aussi appelés endpoints (ordinateurs, serveurs, tablettes, téléphones…) sont l’une des premières briques à surveiller. Ils sont une cible privilégiée des cyber attaquants car ils sont omniprésents, vulnérables et difficiles à défendre principalement depuis l’apparition du BYOD (Bring Your Own Device). Les solutions EDR (Endpoint Detection Response) sont une des solutions pour protéger des terminaux :  elles analysent les usages faits des terminaux en surveillant l’exploitation de failles de sécurité et les comportements anormaux. La détection de ces menaces est permise grâce à l’analyse comportementale qui étudie les événements systèmes du terminal (exécution de processus, appel système, création de tâche, etc.) afin de détecter des comportements déviants. Ainsi, les outils EDR permettent aux entreprises de se protéger contre les APT (Advanced Persistent Threats), qui utilisent souvent des techniques d’attaque sans malware et des failles de sécurité pour accéder au système d’information, ce que les antivirus classiques ne permettent pas car ils se basent sur des signatures connues de malware.

Une fois que nous nous sommes concentrés sur les terminaux, il est important de détecter les comportements malveillants sur le réseau de l’entreprise. Les solutions NDR (Network Detection Response) apportent une visibilité à l’échelle du réseau pour détecter le comportement d’attaquants possiblement cachés, ciblant les infrastructures physiques, virtuelles et du cloud. Elles sont complémentaires aux outils EDR. Comme métaphore, nous pouvons imaginer les solutions NDR agissant comme un agent de patrouille routière observant la circulation des véhicules. Si l’agent constate une infraction, il peut prendre les mesures nécessaires pour assurer la sécurité routière. Au même titre, les solutions NDR, en analysant le trafic réseau, peuvent détecter la connexion d’un appareil non autorisé ou un comportement suspect et permettre l’envoi de commandes à un pare-feu afin qu’il bloque ce trafic. Cependant, les solutions NDR ont leurs limites : le télétravail s’étant généralisé, les télétravailleurs ne sont pas en permanence connectés sur le réseau de l’entreprise, rendant difficile la détection de menaces sur le réseau traditionnel.

Les menaces évoluent et de nombreuses attaques impliquent à la fois les terminaux et d’autres couches de l’environnement informatique, tels que les mails, le cloud… Les entreprises doivent alors réfléchir au-delà des solutions EDR et antivirus, en ayant une couverture de sécurité plus étendu que les terminaux. C’est pourquoi les solutions XDR (Extended Detection Response) offrent une version plus poussée des EDR et des NDR. Celles-ci ne vont pas seulement se concentrer sur les terminaux et les événements systèmes ou réseau, mais aussi sur l’ensemble des actions et événements d’un terminal : système, réseaux, mails, activité cloud, et fournir une visibilité et une corrélation plus grandes entre ces différentes infrastructures. Le XDR va pouvoir détecter les menaces plus complexes, sans signature connue, à signaux faibles : c’est un outil puissant face aux attaques zéro-day ou contre les APT (Advanced Persistent Threat). En d’autres termes, les outils XDR offrent une plateforme de sécurité unifiée pour détecter les menaces sur les terminaux, mails, applications cloud, intégrant des outils de réponse aux incidents.

Les SIEM (Security Information and Event Management) traditionnels sont un élément central des SOC (Security Operation Center). Ils permettent de corréler des événements provenant de plusieurs outils de sécurité et de générer des alertes de sécurité. À la différence des solutions XDR, les SIEM traditionnels n’ont pas de capacités de réponses intégrées. Ce sont des outils de détection, qui permettent d’identifier les incidents de sécurité, mais n’ont pas la capacité de les corriger. C’est pourquoi le SOC a toute son importance. En intégrant des scénarios de détections métiers et une équipe d’analystes, vous aurez une visibilité de l’ensemble de votre réseau et de vos terminaux. Les analystes SOC, grâce au SIEM et autres outils, seront en mesure de suivre le cheminement d’un acteur malveillant dans le but d’investiguer sur une attaque informatique pour analyser comment celle-ci peut se propager. Vous pourrez si nécessaire bloquer le réseau vous-même et non pas automatiquement comme peuvent le proposer les solutions XDR ou de SOAR (Security Orchestration Automatisation and Response).

De nombreux termes existent, cependant, nous ne pouvons pas dire qu’une seule solution est bonne pour votre organisation car chaque entreprise a des besoins spécifiques et les méthodes de détection et réponses aux incidents varient de l’une à l’autre. Il est ainsi important de bien identifier les risques à couvrir, de comprendre les actifs à protéger et de fonctionner par combinaisons.

Au travers de notre SOC managé, nos équipes d’analystes sont analysent votre système d’information et vous accompagne pour sélectionner le ou les outils les plus adaptés à vos infrastructures et aux risques potentiels. Les événements générés par les terminaux (via les EDR, XDR), le trafic réseau (via les NDR) ou encore les mails, l’activité cloud ou la gestion d’identité pourront être collectés via une solution SIEM, puiscorrélés et analysés afin de détecter des menaces et des incidents de sécurité.

Prenez contact avec nous pour une démonstration

Partagez l'article :