Inside Out - Blog CyberSécurité Blog   /  

Technologie EDR : tout ce qu’il faut savoir sur la sécurité EDR

Technologie EDR : tout ce qu’il faut savoir sur la sécurité EDR | Varonis

Les terminaux (c’est-à-dire les ordinateurs portables, smartphones et autres appareils connectés que nous utilisons au quotidien) constituent une cible de choix pour les attaquants. Omniprésents et sujets aux vulnérabilités, ils sont aussi difficiles à défendre. En 2017, par exemple, l’attaque WannaCry aurait affecté plus de 230 000 terminaux à l’échelle de la planète. L’EDR (Endpoint Detection and Response) est une catégorie de solutions en plein essor qui vise à fournir des capacités plus poussées que les solutions classiques d’antivirus et d’antimalware. Cet article explique en quoi consiste l’EDR et pourquoi elle est importante ; il décrit le fonctionnement des solutions de sécurité EDR et examine les bonnes pratiques à respecter avec de tels outils.

L’EDR, qu’est-ce que c’est ?

L’EDR (Endpoint Detection and Response) est une catégorie de solutions capable de détecter et contrer des activités suspectes sur les postes de travail, les ordinateurs portables et les appareils mobiles d’une organisation. Utilisé pour la première fois en 2013 par Anton Chuvakin, analyste chez Gartner, ce terme décrit des plateformes émergentes qui permettent d’examiner les activités suspectes de manière plus poussée. L’EDR se distingue également des solutions de sécurité telles que les pare-feu, car elle applique la protection sur les terminaux eux-mêmes, plutôt que sur le périmètre du réseau.

Pourquoi est-ce important ?

Entre les menaces persistantes avancées (APT) et les malwares sans fichier, les organisations sont aujourd’hui confrontées à un éventail de cybermenaces que les produits de sécurité hérités ne savent pas détecter. Désormais, les attaquants savent très bien comment contourner les dispositifs de protection par signature, tels que les logiciels antivirus et les systèmes de détection des intrusions. Chaque terminal connecté au réseau constitue un potentiel vecteur d’attaque pour les cybermenaces. Et avec la généralisation des appareils mobiles et du travail à distance, l’efficacité des défenses périmétriques, comme les pare-feu, s’amenuise.

Les solutions de sécurité EDR associent de vastes quantités de données capturées sur chaque terminal à une analyse contextuelle pour détecter les menaces furtives qui, auparavant, seraient passées inaperçues. La plupart des solutions EDR s’appuient sur la définition de points de référence et sur l’analyse comportementale afin de repérer des activités potentiellement suspectes. Beaucoup offrent également une capacité de réponse en temps réel aux événements.

Contrairement à d’autres solutions, l’intérêt de l’EDR se manifeste le plus souvent pendant l’incident et après. Grâce aux informations hautement détaillées que fournissent les plateformes EDR, les équipes de sécurité peuvent déterminer comment une menace a réussi à échapper aux défenses existantes. Les alertes en temps réel qu’elles fournissent peuvent aider l’organisation à repérer les premiers stades d’une attaque, et à agir pour éviter une fuite de données d’envergure. Si une telle fuite se produit tout de même, les plateformes EDR fournissent des fonctionnalités qui facilitent grandement les investigations et les mesures de remédiation.

Comment ça marche ?

On compare souvent l’EDR à l’enregistreur de vol d’un avion commercial, la fameuse « boîte noire », non sans raison. Tout comme la boîte noire collecte en continu les données télémétriques des systèmes de vol de l’aéronef, les plateformes EDR ingèrent en permanence des données issues des terminaux : journaux d’événements, tentatives d’authentification, applications exécutées, etc. Ces données varient d’un éditeur à l’autre, mais en règle générale, les solutions de sécurité EDR fonctionnent ainsi :

  1. Ingestion des données télémétriques issues des terminaux

Un large éventail de données télémétriques est collecté sur les terminaux. Cette collecte est généralement assurée par un agent logiciel installé sur chaque terminal, mais dans certains cas, elle s’effectue de manière indirecte.

  1. Envoi des données télémétriques ingérées à la plateforme EDR centrale

Les données de chaque agent de terminal sont envoyées à un emplacement central, le plus souvent une plateforme cloud fournie par l’éditeur de la solution EDR. Dans les secteurs soumis à des obligations de conformité spécifiques, il peut s’agir d’une implémentation sur site ou cloud hybride.

  1. Corrélation et analyse des données

À l’aide d’algorithmes et de moteurs de machine learning, les immenses quantités de données collectées sont passées au crible afin de mettre en évidence des irrégularités potentielles. De nombreuses solutions EDR vont « apprendre » ce qui constitue des comportements utilisateur et des opérations de terminaux normaux. Il est également possible de corréler les données à partir de plusieurs sources, comme d’autres produits de sécurité. Des flux d’information sur les menaces sont souvent utilisés pour fournir des exemples concrets de cyberattaques actuelles auxquels comparer les activités au sein de l’organisation.

  1. Signalement et traitement des activités suspectes

En cas d’événement ou d’activité jugés suspects par la plateforme EDR, une alerte est envoyée aux analystes en sécurité pour examen. De nombreuses solutions de sécurité EDR présentent des fonctionnalités d’automatisation qui permettent de prendre des mesures directes face à une menace. Par exemple, la solution peut isoler temporairement un terminal du reste du réseau afin d’éviter la propagation d’un malware. En cas de menaces plus graves, une intervention humaine plus poussée sera nécessaire.

  1. Rétention des données en vue de leur réutilisation

La rétention des données est une caractéristique essentielle de l’EDR. À mesure qu’apparaissent de nouveaux types de cyberattaques, les équipes de sécurité peuvent explorer les données antérieures afin de déterminer si l’organisation a déjà subi une attaque alors inconnue. Les données d’archive peuvent aussi servir à traquer les menaces de manière proactive ; il s’agit essentiellement de sonder de larges volumes de données en partant du principe qu’une activité malveillante a eu lieu.

Les 9 composantes d’une solution EDR

Les solutions EDR peuvent présenter diverses fonctionnalités, mais il existe en ensemble d’éléments fondamentaux incontournables :

  1. Alerte et reporting sur console : console à base de rôles qui assure une visibilité de l’état de sécurité des terminaux de l’organisation
  2. Réponse avancée EDR : fonctionnalités avancées d’analyse et de réponse des solutions EDR, comme l’automatisation et l’analyse forensique détaillée des incidents de sécurité
  3. Fonctionnalité EDR de base : capacité de détecter et signaler les menaces de sécurité et les vulnérabilités sur le terminal
  4. Suite de protection des terminaux : fonctionnalité de base proposée par la précédente génération de logiciels de sécurité des terminaux, réunissant des capacités antimalware, antiphishing et anti-exploit
  5. Prise en charge géographique : capacité d’un éditeur de solution EDR à accompagner une entreprise internationale, car la sécurité des informations est essentielle à sa mission
  6. Services gérés : capacité de l’EDR à transmettre des données à un service géré de sécurité ou à un éditeur d’EDR géré pour accroître les capacités de l’équipe en charge de la sécurité
  7. Prise en charge des systèmes d’exploitation : pour être efficace, la solution EDR doit prendre en charge tous les systèmes d’exploitation utilisés dans l’organisation
  8. Prévention : la détection des menaces ne suffit pas ; une solution EDR efficace doit également fournir des mesures préventives pour mieux réduire le risque et permettre aux équipes d’agir
  9. Intégration avec des solutions tierces : une stratégie complète de sécurité des données exige souvent une intégration avec de multiples produits : l’EDR doit proposer des API ou des intégrations avec d’autres solutions pour établir une approche multicouche de la sécurité

Les avantages de la sécurité EDR

Utilisée correctement, une solution EDR peut apporter de nombreux avantages, parmi lesquels :

  1. Visibilité approfondie et élargie

Composante fondamentale de toutes les solutions EDR, la visibilité se concrétise de deux manières. D’une part, elle permet d’explorer en profondeur le fonctionnement interne du terminal et d’inspecter les relations entre processus, connexions réseau et comportements utilisateur. D’autre part, l’EDR étant par nature centralisée, les analystes peuvent observer la posture de sécurité de l’organisation dans son ensemble, et ainsi repérer les schémas qui se répètent sur des dizaines, des centaines, voire des milliers de terminaux.

  1. Détection des menaces avancées

L’un des principaux avantages offerts par l’EDR réside dans sa capacité à détecter des menaces qui, autrement, passeraient inaperçues. Il s’agit notamment des attaques zero-day, des menaces internes et des campagnes de hacking hautement sophistiquées.

  1. Simplification de la réponse aux incidents

Grâce aux nombreux détails qu’elles collectent, les solutions EDR peuvent fortement simplifier les activités de réponse et de remédiation en cas de fuite de données. Par le passé, à la suite d’un incident, l’intervenant pouvait passer un temps considérable à recueillir des artéfacts sur une diversité de terminaux afin de réunir un ensemble de preuves suffisant. Avec l’EDR, la collecte et le stockage de ces artéfacts font partie du processus normal. Les consoles EDR centralisées et les périodes plus longues de rétention des données permettent aussi de dresser un tableau plus complet de l’incident de sécurité.

  1. Automatisation et intégration

Les produits EDR offrent souvent des fonctionnalités d’automatisation robustes et la possibilité de recourir aux API pour réaliser des intégrations personnalisées. Comme les agents EDR sont en général installés sur tous les terminaux de l’organisation, il est possible de lancer rapidement des investigations ou des interventions à grande échelle.

Comparatif : EDR, antivirus ou plateforme de protection des terminaux ?

En principe, l’EDR consiste à détecter et contrer les menaces qui ont réussi à franchir d’autres couches de défense. Mais en pratique, les éditeurs de solutions combinent souvent les fonctionnalités d’EDR avec d’autres fonctions de sécurité. Contre les malwares, la plupart des produits EDR offrent le même type de protection basée sur les signatures que les logiciels antivirus hérités. On utilise souvent le terme « plateforme de protection des terminaux » pour décrire des produits qui combinent EDR, antivirus nouvelle génération et d’autres types de protection dans un même logiciel. Ces plateformes peuvent aussi proposer d’autres fonctionnalités, comme des pare-feu hébergés sur l’hôte, le contrôle du chiffrement des appareils, la prévention des pertes de données (DLP), etc.

Conseils et bonnes pratiques de sécurité EDR

Une solution EDR peut constituer un atout supplémentaire dans un programme de sécurité globale des informations, mais sa mise en œuvre doit être soigneusement réfléchie. Pour tirer pleinement parti d’un investissement dans une solution EDR, l’organisation doit :

  1. Prendre conscience que les solutions EDR nécessitent des compétences humaines spécifiques

Dans une grande organisation, les solutions de sécurité EDR peuvent générer des dizaines de milliers d’alertes chaque jour, dont la plupart seront au final des faux positifs. Pour concrétiser les avantages de l’EDR, les organisations doivent recruter des analystes en sécurité qui sauront donner du sens aux données obtenues informatiquement. Cet investissement est souvent coûteux, car un analyste qualifié peut représenter un salaire relativement élevé. Les organisations de taille plus modeste peuvent envisager une solution gérée ou MDR (Managed Detection and Response), c’est-à-dire un service combinant EDR et analyse humaine.

  1. Choisir un éditeur de solution en fonction de leurs besoins précis

La fonctionnalité et le coût d’une solution EDR peuvent varier de manière considérable. Les organisations doivent passer du temps à étudier les produits proposés par différents éditeurs pour faire le bon choix. Par exemple, la solution EDR proposée fonctionne-t-elle bien avec les systèmes d’exploitation et les applications déjà en place ? S’intègre-t-elle convenablement avec d’autres outils de sécurité ? Si les organisations ne se posent pas ces questions, elles risquent de choisir une solution inadaptée, qui annulerait les bénéfices de l’EDR.

  1. Utiliser l’EDR en complément, pas en remplacement

L’EDR tient son nom à son mode de fonctionnement, exclusivement centré sur les terminaux. Et ce n’est pas un hasard. Certains comportements pouvant sembler normaux sur un terminal, comme la connexion d’un utilisateur avec un identifiant et un mot de passe valides, ne déclencheront pas nécessairement un signal d’alarme si l’EDR est utilisée seule. Mais cet événement de connexion peut se révéler suspect s’il est détecté à plusieurs endroits sur une courte période. Varonis DatAlert et Edge analysent l’activité des fichiers, les événements utilisateur et la télémétrie du périmètre afin d’identifier tout comportement anormal au vu d’un contexte plus complet. Même les activités en apparence inoffensives sont contextualisées afin de dégager une vue plus globale.

Certes, les solutions EDR protègent les terminaux sur votre réseau, mais elles sont limitées d’une part par les types d’activités qu’elles peuvent surveiller, et d’autre part par les types de malwares ou de cyberattaques qu’elles peuvent détecter. La solution Varonis est conçue pour protéger les données d’entreprise contre les attaques zero-day au-delà du terminal, en replaçant les mesures télémétriques du périmètre dans le contexte des activités de fichiers et des comportements utilisateur issus de vos dépôts de données centraux.

L’EDR et Varonis peuvent agir en synergie.  Cliquez ici pour obtenir une démonstration personnalisée et découvrir comment une stratégie de sécurité multicouche peut fonctionner dans votre environnement.

Nous sommes Varonis.

Depuis 2005, nous protégeons les données les plus précieuses du monde des mains de vos ennemis grâce à notre plateforme de sécurité des données, leader sur le marché.

Comment fonctionne Varonis ?