Le XDR, futur de la cybersécurité
Le XDR (Extended Detection and Response) s'impose comme une approche à valeur ajoutée permettant d'obtenir cette visibilité indispensable à la mise en oeuvre d'une réponse unifiée et la plus rapide possible face à la complexité croissante des cybermenaces.
C'est un fait, depuis de nombreuses années, les organisations ont multiplié les solutions de cybersécurité par silo pour protéger tous les pans de l'entreprise qui offrent une surface d'attaque ; les postes utilisateurs, les serveurs, le réseau ou encore les emails. La complexité croissante des cybermenaces a toutefois montré les limites de cette approche qui ne permet pas toujours d'obtenir une vue d'ensemble en temps réel de tout un système.
Dans ce contexte, le XDR (Extended Detection and Response) s'impose comme une approche à valeur ajoutée permettant d'obtenir cette visibilité indispensable à la mise en oeuvre d'une réponse unifiée et la plus rapide possible. Comme souvent toutefois avec l'avènement d'une nouvelle technologie, les offres se multiplient rapidement, au point qu'il devient difficile de distinguer l'efficace du discours marketing.
Commençons par un petit rappel de l'évolution des solutions de sécurité disponibles pour les organisations.
Lire aussi : La XRD peut-elle remplacer les SIEM dans les SOC ?
L'EPP, l'antivirus de nouvelle génération
Depuis l'avènement d'Internet, le nombre d'appareils connectés à Internet n'a fait qu'augmenter. On estimait le total à 9.7 milliards en 2020 et il est attendu que plus de 29 milliards le soient d'ici 2030i, soit autant de points d'entrée potentiels pour des acteurs malveillants.
Devant la croissance continue des cybermenaces, les antivirus, cantonnés à un rôle de détection des logiciels malveillants ont progressivement laissé place à des solutions de sécurité des endpoints (points terminaux) communément appelées EPP.
Conçu comme une défense de première ligne visant à bloquer les menaces connues en se basant sur la détection de signatures, l'analyse comportementale et le renseignement sur les menaces, l'EPP a toutefois eu du mal à suivre l'évolution rapide des cybermenaces.
Adieu EPP, bonjour EDR
Est apparu ensuite l'EDR (Endpoint Detection and Response), une solution de sécurité toujours sur le endpoint mais qui inclut la surveillance en temps réel et la collecte des données de sécurité des terminaux avec un mécanisme de réponse automatisée aux menaces.
L'EDR se concentre sur l'identification des menaces, signale qu'un système a été compromis et propose comment répondre aux incidents. En dépit de cette avancée technologique par ailleurs bien adoptée par les entreprises, cette nouvelle parade est parfois considérée à tort comme celle une approche XDR. Si bien qu'on a fini par faire l'amalgame que le XDR n'était en fait qu'un « X-EDR ».
Bienvenu dans l'ère du XDR
Dernier né des solutions de sécurité, le XDR se doit d'intégrer des données provenant de toutes les sources pertinentes (endpoints, réseau, données, datacenter, cloud, IOT, Threat intelligence/CERT), afin de jouer pleinement son rôle qui est d'apporter une réponse unifiée la plus rapide qui soit. Il fournit une image plus globale du paysage des menaces aux organisations.
Il utilise l'intelligence artificielle, l'apprentissage automatique et la recherche avancée pour identifier et répondre en temps réel, en reliant les événements entre eux et en réduisant ainsi le temps d'attente. Mais toutes les solutions XDR ne se valent pas pour autant.
Comment choisir son fournisseur XDR
Quelle que soit l'entreprise, Il est essentiel de s'associer à un fournisseur qui offre une expérience simplifiée mais efficace des opérations de sécurité.
Parmi les critères à garder en tête lors de la sélection d'un fournisseur :
> Faites preuve de bon sens et évitez les amalgames - un acteur présent sur un seul silo (endpoint, réseau, ...) ne peut en aucun cas apporter la vision globale nécessaire pour piloter une réponse unifiée. Le XDR n'est donc pas un « X-EDR », comme il n'est pas un « X-NDR », un « X-SIEM » ou encore un X-SOAR
> Préférez une plateforme ouverte - il n'est pas concevable pour une organisation de changer l'ensemble de ses solutions de sécurité existantes par silo parce que l'éditeur XDR vous impose de tout avoir chez lui pour pouvoir bénéficier de la technologie. La plateforme doit être dotée de nombreuses API permettant de récupérer des flux provenant de sources multi-éditeurs.
> Faites le choix de la Threat Intelligence - Ce flux d'information concentre des données et renseignements issus de ressources internes et externes à l'organisation, parfois même issus d'un centre de recherche propre au fournisseur. Intégré à une plateforme XDR unifiée, ce flux d'informations permet d'optimiser la détection des menaces ainsi que la réponse à apporter en cas d'attaque.
> Privilégiez une interface XDR pensée pour les utilisateurs - La quantité d'information que les équipes de sécurité peuvent être amenées à traiter est telle que la rapidité de réponse à un incident s'en trouve parfois impactée. Une interface unifiée ou encore un « centre de commandement secops », qui présente l'information de façon simplifiée et donc efficace, participe à redonner aux équipes de sécurité une meilleure capacité de réponse aux incidents, ce dont bénéficie ultimement l'ensemble de l'organisation.
L'évolution rapide des cybermenaces couplée à la pénurie de ressources va obliger les organisations à basculer dans le SOC (Security Operation Center) du futur. Un SOC de plus en plus automatisé, où les experts sécurité récupèrent une information simplifiée afin de pouvoir se concentrer sur une remédiation rapide, est la pierre angulaire de ce SOC et il est urgent de l'adopter !
Adrien Vandeweeghe, Directeur France & Benelux - Trellix.
Sur le même thème
Voir tous les articles Cybersécurité