Détection et réponse des terminaux (EDR) est une solution de sécurité des terminaux qui inclut la surveillance en temps réel et la collecte des données de sécurité des terminaux avec un mécanisme de réponse automatisée aux menaces.
Gartner utilise le terme EDR pour décrire une catégorie de systèmes de sécurité émergents qui détectent et analysent les activités suspectes sur les hôtes et les terminaux pour informer les équipes responsables de la sécurité et permettre une réponse rapide, ce que rend possible leur degré élevé d’automatisation.
Les systèmes EDR assurent cinq fonctions principales :
Les systèmes EDR se sont imposés dans les listes de contrôle des équipes de sécurité modernes. Ils protègent le périmètre numérique contre les menaces (connues et changeantes) et les incidents de sécurité de différentes manières.
En premier lieu, la collecte complète de données de surveillance permet aux systèmes EDR de compiler une vue exhaustive des attaques potentielles. La surveillance continue de tous les terminaux, en ligne et hors ligne, facilite l’analyse et la réponse aux incidents. Elle offre une analyse et une visibilité approfondies afin que les professionnels puissent se familiariser avec les anomalies et les vulnérabilités du réseau de l’entreprise et mieux se préparer à contrer les futures attaques. La détection de chaque menace sur les terminaux va au-delà des possibilités d’un antivirus traditionnel, et la capacité de la solution EDR à traiter en temps réel un large éventail de menaces permet aux équipes en charge de la sécurité de visualiser les attaques et menaces potentielles à mesure qu’elles évoluent.
Vous évitez ainsi les pertes en sabotant les attaques dès leurs phases initiales, avant que des pertes ou des compromissions critiques ne se produisent. La réponse en temps réel permet également à une entreprise de détecter un comportement suspect ou non autorisé sur le réseau, et d’identifier la cause profonde d’une menace avant qu’elle n’affecte les opérations. Enfin, les systèmes EDR peuvent s’intégrer à d’autres outils de sécurité, ce qui permet de mettre en corrélation les données des terminaux, du réseau et des systèmes SIEM, et de développer ainsi une expertise dans les pratiques et techniques appliquées par les personnes malveillantes qui tentent d’accéder sans autorisation aux ressources numériques.
Le paysage des menaces est en constante évolution, avec l’apparition quotidienne de nouveaux virus, logiciels malveillants et autres cybermenaces. Pour combattre ces menaces mouvantes, la collecte et la détection en temps réel d’éventuelles anomalies s’imposent de plus en plus.
La mobilité croissante du personnel amplifie ces défis. La pandémie de COVID a entraîné une augmentation accélérée du nombre de collaborateurs qui se connectent à distance avec des terminaux qui, souvent, leur appartiennent pour accéder aux ressources numériques de l’entreprise. Ces terminaux BYOD peuvent être partagés par les familles des collaborateurs, notamment sur des réseaux partagés, et donc être infectés par un logiciel malveillant à l’insu des collaborateurs.
En recourant à une solution EDR, l’entreprise peut plus facilement résoudre ces problèmes en prenant les mesures suivantes :
Le recours à des services tiers d’informations sur les menaces permet également d’améliorer l’efficacité des solutions de sécurité des terminaux qui, en s’appuyant sur l’intelligence collective, peuvent augmenter leur capacité à identifier les attaques zero-day et autres menaces multicouche. Désormais, de nombreuses solutions EDR intègrent l’autoapprentissage et l’intelligence artificielle pour renforcer l’automatisation du processus en « apprenant » le comportement de base de l’entreprise et en utilisant ces informations pour interpréter les résultats lorsque des attaques sont détectées.
Une solution EDR surveille le trafic du réseau et des terminaux, collecte les informations potentiellement liées à des problèmes de sécurité dans une base de données centrale pour analyse ultérieure, et facilite la génération de rapports et les recherches sur les menaces.
Toutes les solutions EDR ne se valent pas : l’étendue de leurs activités peut varier d’un fournisseur à l’autre. Les principaux composants d’une solution EDR standard sont les suivants :
Les solutions EDR peuvent être considérées comme un super-ensemble de programmes antivirus traditionnels, dont la portée est limitée par rapport aux nouvelles solutions EDR. Sous cet angle, un antivirus fait partie intégrante d’une solution EDR.
Un antivirus exécute des fonctions de base comme l’analyse, la détection et la suppression des virus, alors qu’une solution EDR met en œuvre de nombreuses autres fonctions. Au-delà du rôle d’antivirus, la solution EDR peut proposer des fonctions supplémentaires comme, entre autres, la surveillance et la création de listes autorisées/bloquées, conçues pour renforcer la protection contre les menaces connues et émergentes.
Étant donné que le périmètre de réseau numérique a été étendu partout, un antivirus traditionnel ne peut plus protéger tous les terminaux utilisés pour accéder aux ressources de l’entreprise. Les systèmes EDR sont mieux adaptés pour se protéger contre les cyberattaques avancées, et leur mécanisme de réponse automatisée allège la charge des équipes informatiques responsables de la protection contre les attaques.
Cette fonctionnalité gagne en importance en raison de l’évolution rapide du paysage des menaces. Dans la mesure où les cybercriminels perfectionnent leurs attaques et utilisent des menaces avancées pour accéder aux réseaux, un simple antivirus basé sur des signatures ne détecte pas les menaces zero-day ou multicouche en temps opportun alors qu’à l’inverse, les systèmes EDR détectent tous les types de menaces et combattent en temps réel celles qui sont identifiées.