Qu’est-ce qu’une solution de détection et réponse des terminaux (EDR) ?

Les systèmes EDR se sont imposés dans les listes de contrôle des équipes de sécurité modernes. Ils protègent le périmètre numérique contre les menaces (connues et changeantes) et les incidents de sécurité de différentes manières.

En premier lieu, la collecte complète de données de surveillance permet aux systèmes EDR de compiler une vue exhaustive des attaques potentielles. La surveillance continue de tous les terminaux, en ligne et hors ligne, facilite l’analyse et la réponse aux incidents. Elle offre une analyse et une visibilité approfondies afin que les professionnels puissent se familiariser avec les anomalies et les vulnérabilités du réseau de l’entreprise et mieux se préparer à contrer les futures attaques. La détection de chaque menace sur les terminaux va au-delà des possibilités d’un antivirus traditionnel, et la capacité de la solution EDR à traiter en temps réel un large éventail de menaces permet aux équipes en charge de la sécurité de visualiser les attaques et menaces potentielles à mesure qu’elles évoluent.

Vous évitez ainsi les pertes en sabotant les attaques dès leurs phases initiales, avant que des pertes ou des compromissions critiques ne se produisent. La réponse en temps réel permet également à une entreprise de détecter un comportement suspect ou non autorisé sur le réseau, et d’identifier la cause profonde d’une menace avant qu’elle n’affecte les opérations. Enfin, les systèmes EDR peuvent s’intégrer à d’autres outils de sécurité, ce qui permet de mettre en corrélation les données des terminaux, du réseau et des systèmes SIEM, et de développer ainsi une expertise dans les pratiques et techniques appliquées par les personnes malveillantes qui tentent d’accéder sans autorisation aux ressources numériques.

Le paysage des menaces est en constante évolution, avec l’apparition quotidienne de nouveaux virus, logiciels malveillants et autres cybermenaces. Pour combattre ces menaces mouvantes, la collecte et la détection en temps réel d’éventuelles anomalies s’imposent de plus en plus.

La mobilité croissante du personnel amplifie ces défis. La pandémie de COVID a entraîné une augmentation accélérée du nombre de collaborateurs qui se connectent à distance avec des terminaux qui, souvent, leur appartiennent pour accéder aux ressources numériques de l’entreprise. Ces terminaux BYOD peuvent être partagés par les familles des collaborateurs, notamment sur des réseaux partagés, et donc être infectés par un logiciel malveillant à l’insu des collaborateurs.

En recourant à une solution EDR, l’entreprise peut plus facilement résoudre ces problèmes en prenant les mesures suivantes :

• Identifier et bloquer les exécutables susceptibles de commettre des actes malveillants
• Empêcher les périphériques USB d’accéder sans autorisation aux données ou de télécharger des informations confidentielles ou protégées
• Bloquer les techniques d’attaque des logiciels malveillants sans fichier susceptibles d’infecter les terminaux
• Contrôler l’exécution des scripts
• Empêcher les e-mails malveillants de libérer leurs pièces jointes
• Arrêter les attaques zero-day et les empêcher de causer des dommages

Le recours à des services tiers d’informations sur les menaces permet également d’améliorer l’efficacité des solutions de sécurité des terminaux qui, en s’appuyant sur l’intelligence collective, peuvent augmenter leur capacité à identifier les attaques zero-day et autres menaces multicouche. Désormais, de nombreuses solutions EDR intègrent l’autoapprentissage et l’intelligence artificielle pour renforcer l’automatisation du processus en « apprenant » le comportement de base de l’entreprise et en utilisant ces informations pour interpréter les résultats lorsque des attaques sont détectées.

Une solution EDR surveille le trafic du réseau et des terminaux, collecte les informations potentiellement liées à des problèmes de sécurité dans une base de données centrale pour analyse ultérieure, et facilite la génération de rapports et les recherches sur les menaces.

Toutes les solutions EDR ne se valent pas : l’étendue de leurs activités peut varier d’un fournisseur à l’autre. Les principaux composants d’une solution EDR standard sont les suivants :

• Agents de collecte de données. Installés sur les terminaux, ces agents surveillent et collectent des données sur les processus en cours d’exécution, les connexions aux réseaux et aux terminaux, le volume d’activité et les transferts de données.
• Hub central.  Ce hub intégré recueille, met en corrélation et analyse les données collectées sur les terminaux. Le hub central coordonne également les alertes et les réponses aux menaces immédiates.
  
• Automatisation de la réponse. Un système EDR utilise des règles, généralement préconfigurées, qui identifient les menaces connues dans les données collectées et déclenchent une réponse automatique, par exemple pour alerter le personnel de sécurité ou déconnecter un utilisateur du système.
  
• Observabilité et analyse. Les solutions EDR peuvent inclure des outils d’analyse permettant d’éliminer les menaces, ou d’effectuer des analyses après coup et des analyses en temps réel qui accélèrent la détection de menaces n’entrant pas dans le champ des règles préconfigurées existantes.