Les menaces ont évolué. Les antivirus traditionnels ne suffisent plus. Pas dans un réseau professionnel en tout cas.
Le virus auto-propagé conçu pour créer un chaos aléatoire a été en grande partie remplacé par une bande organisée de pirates informatiques déterminés à rançonner votre entreprise, à voler, détruire ou divulguer vos données, voire à nuire à votre réputation.
Au fur et à mesure que les menaces évoluent, les outils de protection doivent évoluer également.
De nos jours, toute personne exploitant un réseau d’entreprise devrait utiliser un EDR, un MDR ou un XDR.
Quelle est leur différence et à quoi faut-il faire attention avant de se décider ?
Commençons par décrire l’EDR, abréviation de Endpoint Detection and Response.
Là où l’antivirus se concentre sur les logiciels malveillants, l’EDR se concentre sur les comportements malveillants.
Il surveille les activités et les événements sur les appareils, à la recherche de comportements pouvant indiquer une action malveillante.
A titre d’exemple, il est normal qu’un utilisateur ou un appareil recherche assez fréquemment des informations dans un service annuaire d’entreprise. Mais si un utilisateur essaie de rechercher toutes les informations en même temps, un outil EDR le signalera pour mener une enquête; car même si chaque action individuelle parait normale, la situation dans son ensemble ressemble plutôt à celle d’un attaquant effectuant une reconnaissance de réseau afin d’étendre son emprise sur vos systèmes.
L’EDR enregistre l’activité du système, suspecte ou pas, afin de fournir des données pour de futures investigations. Ces données sont vitales lorsqu’une violation est détectée car elles permettent aux défenseurs de comprendre comment la violation s’est produite et ce que l’attaquant a réellement fait. La dernière chose que vous souhaitez connaître est que votre réseau a été piraté, mais que dire si vous n’avez aucune idée du moment où cela s’est produit ni à quelles données l’acteur malveillant a eû accès, données qui pourraient potentiellement avoir fuité ou avoir été modifiées.
La compréhension du déroulement des évènements est totalement souhaitable dans ce cas.
Non seulement l’EDR peut aider à étouffer dans l’œuf les attaques, mais il fournit également les données dont vous avez besoin pour comprendre exactement ce qui s’est passé, quand et comment cela s’est passé.
La dernière lettre de l’EDR est le « R » pour Response.
En plus de vous alerter des activités malveillantes, l’EDR peut prendre des mesures proactives pour atténuer les attaques avant qu’elles n’aient la possibilité de causer des dommages.
Si des événements enregistrés indiquent qu’un système a été compromis, l’EDR peut automatiquement isoler l’équipement du réseau afin de mettre fin à l’attaque.
À proprement parler, l’EDR est une solution distincte de l’antivirus ; Cependant, en pratique de nos jours, de nombreux fournisseurs proposent les deux dans un seul package. C’est le cas des solutions d’ESET.
En termes d’inconvénients, le plus grand défi de l’EDR réside dans la quantité d’informations qu’il produit. L’EDR n’est pas aussi « précis » qu’un antivirus car il fonctionne rarement avec une liste noire et blanche de ce qui constitue une activité malveillante.
Presque tous les points de données collectés par un système EDR peuvent être bons ou mauvais selon le contexte. L’EDR essaie d’évaluer cela sur la base de règles connues et des renseignements sur les menaces auxquels il a accès, mais il existe une zone grise entre ce qui est définitivement bon et définitivement mauvais.
L’isolation automatique de systèmes actifs sur la base d’une supposition est risquée, c’est pourquoi, pour la plupart des détections, EDR signalera les événements afin qu’un administrateur puisse les examiner.
Comparé à un antivirus, EDR génère beaucoup plus d’alertes pour l’investigation ; et parce que ces alertes ne sont pas aussi définitives, les enquêtes nécessitent de fournir plus d’efforts et d’expertise. La mise en œuvre d’un EDR peut vous obliger à perfectionner ou à faire évoluer les compétences de votre équipe; c’est pourquoi de nombreuses entreprises préfèrent sous-traiter ce travail à un partenaire qualifié. Ce partenaire fournira dès lors l’expertise et la main d’œuvre nécessaires pour trier les alertes générées par le logiciel EDR et vous fournira des recommandations claires et exploitables. C’est le rôle du MDR : Managed Detection and Response. (suite au prochain billet)