Que signifie Extended Detection and Response (XDR) ?
Extended Detection and Response (XDR) est une consolidation d’outils et de données qui offre des fonctionnalités de visibilité, d’analyse et de réponse étendues à l’échelle des terminaux, des charges de travail, des utilisateurs et des réseaux.
XDR unifie les fonctionnalités de sécurité des terminaux et des charges de travail et offre une visibilité stratégique sur le réseau et le Cloud, ce qui réduit les angles morts, accélère la détection des menaces et automatise la correction grâce à un contexte faisant autorité dans ces domaines.

Le SOC pérenne : utiliser XDR pour bénéficier d’une visibilité et d’un contrôle unifiés

Impact des solutions XDR dans le centre d’opérations de sécurité moderne (SOC)
Comment fonctionne la XDR dans le domaine de la sécurité ?
La XDR est essentiellement une consolidation des outils et des données, et représente une évolution majeure en matière de fonctionnalités de sécurité d’entreprise. Dans la mesure où la solution XDR a accès aux données brutes collectées dans l’environnement, elle peut détecter les acteurs malveillants qui utilisent des logiciels légitimes pour accéder au système. Souvent, les logiciels de gestion des informations et des événements de sécurité, ou SIEM, en sont incapables. XDR effectue une analyse et une mise en corrélation automatisées des données d’activité, ce qui permet aux équipes en charge de la sécurité de contenir les menaces plus efficacement. Par exemple, la solution peut s’étendre pour inclure les détections de réseau, les mouvements latéraux, les connexions anormales, les balises, l’exfiltration et la fourniture d’objets malveillants.
Comme la fonction EDR, la XDR réagit aux menaces afin de les contenir et de les supprimer. Cependant, la XDR peut réagir plus efficacement par rapport à la ressource affectée, en raison de sa collecte de données optimale et de son intégration à l’environnement. Les véritables plates-formes XDR offrent la visibilité globale et le contexte dont les analystes de sécurité ont besoin pour répondre aux menaces de manière ciblée et efficace. Cette réponse personnalisée permet d’enrayer non seulement la menace elle-même, mais également l’impact de la réponse sur les systèmes. Conséquence : une réduction des interruptions de service sur les serveurs critiques.
La XDR se décline en trois parties : la télémétrie et l’analyse des données, la détection et la réponse.
- Télémétrie et analyse des données : La XDR surveille et collecte les données à l’échelle de plusieurs couches de sécurité, à savoir les terminaux, le réseau, le serveur et le Cloud. Elle utilise l’analyse des données pour mettre en corrélation le contexte de milliers d’alertes issues de ces couches afin de dégager un nombre beaucoup plus faible d’alertes prioritaires, de manière à éviter de submerger les équipes responsables de la sécurité.
- Détection : La visibilité supérieure de la XDR lui permet de passer au crible les alertes et de signaler celles qui nécessitent une réponse. Cette même visibilité lui permet de créer des références de comportement normal au sein d’un environnement afin de détecter les menaces qui exploitent les logiciels, les ports et les protocoles, et de rechercher l’origine de la menace pour l’empêcher d’affecter d’autres parties du système.
- Réponse : À l’instar de l’EDR, la XDR a la capacité d’enrayer et de supprimer les menaces qu’elle détecte, ainsi que de mettre à jour les règles de sécurité pour empêcher qu’une violation similaire ne se reproduise. Mais contrairement à l’EDR, qui exécute cette fonction uniquement sur les terminaux et les charges de travail, la XDR va au-delà de la protection des terminaux, en répondant aux menaces sur tous les points de contrôle de sécurité qu’elle touche, de la sécurité des conteneurs aux réseaux et aux serveurs.
Quels sont les avantages de la XDR ?
Les fonctionnalités de la XDR au-delà de l’EDR lui confèrent plusieurs avantages tangibles pour la sécurisation de l’environnement informatique d’une entreprise. Ces avantages incluent :
- Gain en visibilité et en contexte : Contrairement à l’EDR (limitée aux terminaux et aux charges de travail) et aux services de sécurité tiers (qui ont souvent une visibilité limitée), la XDR offre une vue complète à 360 degrés sur l’environnement de sécurité. La plate-forme permet aux analystes de sécurité de voir les menaces (même celles qui exploitent des logiciels, ports et protocoles légitimes pour obtenir un accès) sur n’importe quelle couche de sécurité, ainsi que de déterminer le déroulement d’une attaque, le modèle, le point d’entrée, les autres utilisateurs touchés, l’origine de la menace et comment elle s’est propagée. Ce contexte supplémentaire, ainsi que les analyses nécessaires pour le comprendre, est essentiel pour assurer une réponse rapide aux menaces.
- Priorité : Les équipes responsables de l’informatique et de la sécurité ont souvent du mal à suivre le rythme des milliers d’alertes générées par leurs services de sécurité. Les fonctionnalités d’analyse et de corrélation des données de la XDR lui permettent de regrouper les alertes associées sur l’ensemble du cadre MITRE ATT&CK, de les hiérarchiser et de faire ressortir uniquement les plus importantes.
- Automatisation : l’utilisation de l’automatisation dans XDR accélère la détection et la réponse et supprime les étapes manuelles des processus de sécurité, ce qui permet aux équipes informatiques de gérer un grand volume de données de sécurité et d’exécuter des processus complexes de manière reproductible.
- Efficacité opérationnelle : Au lieu d’un ensemble fragmenté d’outils de sécurité, la XDR fournit une vue globale des menaces à l’échelle de tout l’environnement. Elle offre des fonctionnalités centralisées de collecte de données et de réponse étroitement intégrées dans l’environnement et au sein d’un écosystème de sécurité plus vaste.
- Détection et réponse plus rapides : Tous ces avantages s’accumulent pour renforcer la robustesse et l’efficacité de la stratégie sécuritaire. L’efficacité accrue de la XDR lui permet de détecter les menaces et d’y répondre plus rapidement, une caractéristique cruciale dans le paysage de la sécurité actuel.
- Réponses plus sophistiquées : Traditionnellement, l’EDR répond souvent à une menace en mettant en quarantaine le terminal affecté, ce qui est acceptable lorsqu’il s’agit d’un terminal utilisateur, mais peut poser un problème lorsqu’un serveur stratégique est infecté. Les fonctionnalités plus sophistiquées et la visibilité accrue de la XDR lui permettent d’adapter spécifiquement la réponse au système et d’exploiter d’autres points de contrôle pour minimiser l’impact global.
Quels sont les cas d’usage de la XDR ?
- Recherche de menaces : Bien qu’il soit probable qu’il existe déjà des menaces sur un réseau donné, de nombreuses équipes chargées de la sécurité ont du mal à trouver le temps de procéder à une recherche proactive des menaces. Les fonctionnalités de télémétrie et d’automatisation de la XDR permettent d’effectuer une grande partie de ce travail automatiquement, ce qui allège considérablement la charge des équipes de sécurité et leur permet de rechercher les menaces parallèlement à leurs autres tâches, en intervenant uniquement lorsque cela s’avère nécessaire.
- Tri : L’une des fonctions les plus importantes d’une équipe de sécurité consiste à hiérarchiser ou à trier les alertes, ainsi qu’à répondre rapidement aux plus critiques. La XDR permet de faire le tri à l’aide d’analyses puissantes pour établir des liens entre des milliers d’alertes afin d’en extraire un petit nombre d’alertes hautement prioritaires.
- Enquête : La collecte de données étendue, la visibilité supérieure et l’analyse automatisée de la XDR permettent aux équipes de sécurité d’établir rapidement et facilement l’origine d’une menace, son mode de propagation, ainsi que d’identifier les autres utilisateurs ou terminaux susceptibles d’être affectés. Ces opérations sont cruciales pour éliminer la menace et renforcer le réseau contre les menaces futures.
Quelles sont les erreurs de la XDR à éviter ?
La XDR est une puissante stratégie de sécurité, mais pour en tirer pleinement parti, il est important de choisir une solution qui exploite au mieux ses fonctionnalités. Lorsque vous choisissez une plate-forme, tenez compte des problèmes suivants :
- Absence d’intégration : La XDR n’est efficace que si elle est entièrement intégrée à l’environnement informatique. Les intégrations complexes qui nécessitent des efforts de maintenance peuvent monopoliser le temps de vos équipes informatiques et réduire l’efficacité de votre solution XDR.
- Automatisation insuffisante : L’automatisation est l’une des fonctionnalités les plus puissantes de la XDR. Une plate-forme efficace doit donc pouvoir s’adapter aux conditions actuelles et apporter une réponse ciblée qui va au-delà du simple blocage du trafic vers le terminal affecté.
- Complexité opérationnelle : Une solution XDR utile se doit d’être cohérente et accessible aux équipes informatiques et de sécurité ; sinon, le temps gagné par votre équipe lors de sa mise en œuvre sera compensé par le temps et les efforts consacrés à son apprentissage et à sa configuration.
Qu’est-ce que la détection et réponse dans la cybersécurité ?
La technologie de détection et réponse fait appel à une surveillance continue en temps réel des systèmes pour détecter et enquêter sur les menaces potentielles. Un système de détection et réponse utilise ensuite l’automatisation pour arrêter et éliminer ces menaces.
Il existe aujourd’hui différents types de solutions de détection et de réponse, notamment :
- EDR (Détection et réponse des terminaux) : L’EDR surveille les menaces sur les terminaux et y répond. Lors de son lancement, il s’agissait du premier type de système de détection et de réponse. Par rapport aux technologies de sécurité précédentes, elle offre une meilleure visibilité et une réponse plus rapide aux menaces. Elle assure également une détection améliorée des logiciels malveillants qui lui permet de détecter des menaces plus sophistiquées, telles que les logiciels malveillants sans fichier. Cependant, sa portée est limitée à la sécurité des terminaux et des charges de travail, ce qui rend difficile la mise en corrélation des menaces dans un environnement complexe.
- NDR (Network Detection and Response) : La NDR recherche les menaces au sein du réseau et déploie une réponse lorsqu’elle détecte une menace. Ce type de détection et réponse se concentre sur le réseau interne et permet aux équipes de sécurité de voir les menaces qui ont franchi le périmètre. La NDR combine des technologies, notamment NTA, IDPS, le sandbox réseau avec apprentissage automatique non supervisé et supervisé pour différencier les activités malveillantes des activités inoffensives au-delà du terminal.
- MDR (Managed Detection and Response) : La MDR est exécutée en tant que service externalisé, où des professionnels externes effectuent des opérations de détection et réponse sur les systèmes d’une entreprise, souvent à l’aide d’outils EDR et NDR. Cette option peut être intéressante pour les entreprises qui ne disposent pas de l’expertise ou des ressources internes nécessaires pour mettre en œuvre les outils de détection et réponse. Contrairement à d’autres services de sécurité externalisés, tels que les fournisseurs de services de sécurité gérés (MSSP), les MDR sont axés sur la détection et réponse aux dernières menaces détectées sur les terminaux, les charges de travail et au sein du réseau.
Quelle est la différence entre la XDR et l’EDR ?
La XDR étend les fonctionnalités EDR à toutes les couches de sécurité de l’environnement : charges, terminaux, utilisateurs et réseaux.
Au lieu du point de vue unique fourni par l’EDR, la XDR effectue une analyse de télémétrie et comportementale sur plusieurs couches de sécurité, ce qui permet aux équipes de sécurité de bénéficier d’une vue d’ensemble.
Les cybercriminels ne limitent pas leurs attaques à une seule couche de sécurité, et les équipes de sécurité ne peuvent pas non plus se permettre de limiter leur visibilité à une seule couche. L’EDR offre aux professionnels de la sécurité une visibilité sur les terminaux susceptibles d’être compromis, mais cela ne suffit pas lorsqu’une attaque s’est déplacée sur le réseau et dans d’autres systèmes au moment où l’équipe de sécurité en a pris connaissance. C’est là que la XDR intervient. En fournissant une vue globale de l’activité à l’échelle du système pour éviter les problèmes de visibilité, la XDR permet aux équipes de sécurité de comprendre d’où vient une menace et comment elle se propage dans l’environnement, afin de l’éliminer. Autrement dit, la XDR offre de meilleures capacités d’analyse et de corrélation, ainsi qu’un point de vue global.
Solutions et produits connexes
VMware Carbon Black Cloud
Transformez la sécurité avec une protection intelligente des terminaux et des charges de travail qui s’adapte à vos besoins.
VMware Carbon Black EDR
Détection et réponse des terminaux on premise (EDR).
VMware NSX Network Detection and Response
Détection des problèmes réseau et réponse (NDR) reposant sur l’IA