L’EDR, une lampe torche pour éclairer le brouillard ?

Les professionnels de la sécurité manquent de visibilité. C’est le premier constat que l’on est tenté de faire à la lecture de l’enquêterécemment conduite par Censuswide pour Bitdefender auprès d’un peu plus d’un millier de RSSI de grandes entreprises à travers le monde, dont 150 en France.

Certes, les activités suspectes sur le réseau se classent en première place des moyens de détection d’une attaque ciblée ou d’une infection par un maliciel, citées par près de 65 % des sondés. Mais arrive ensuite la corruption de données et/ou de systèmes, à 47,5 %, puis les audits externes, à 34,1 %, ou encore les perturbations de fonctionnement d’infrastructures métiers (30,6 %). Et c’est sans compter avec les notifications de clients (29,7 %), les alertes des forces de l’ordre (20,1 %), ou encore la presse (10,6 %). En somme, il n’est pas rare que les entreprises réalisent l’inconfortable situation dans laquelle elles se trouvent alors que le mal est déjà fait.

Et les principales conséquences sont connues avec, dans l’ordre : interruption des activités, réputation dégradée, perte de chiffre d’affaires, perte de propriété intellectuelle, ou encore amendes…

En fait, les sondés ne se font pas d’illusions : plus de 38 % d’entre eux estiment que leurs systèmes de défense en place les laissent aveugles à jusqu’à 50 % des menaces. Pour autant, ils pensent être capables de débusquer des attaquants assez rapidement : seulement un peu plus de 10 % des sondés estiment qu’il faudrait pour cela plus d’un mois. De quoi laisser rêveur lorsque l’on fait le parallèle avec la dernière édition de l’étude M-Trends de FireEye : selon celle-ci, il fallait en moyenne compter 175 joursl’an passé, dans la région Europe/Moyen-Orient/Agrique, pour qu’une attaque soit détectée, contre 101 jours au niveau mondial.

Pour autant, les RSSI sondés ne sont pas complètement dans le noir. En France, près de 63 % d’entre eux indiquent disposer d’un budget dédié à la détection et la réponse sur les points de terminaison (EDR). Mais est-ce bien suffisant ? L’EDR est considéré avant tout comme un élément de visibilité. Mais cela ne signifie pas qu’il apporte toute la visibilité nécessaire.

Ainsi, selon les sondés de l’étude de Bitdefender, il faut hélas compter avec beaucoup de faux positifs : ils représentent entre 25 et 75 % des alarmes pour plus de 55 % des sondés. Et près de 25 % des sondés estiment que les faux positifs comptent pour 1 à 24 % des alarmes.

En France, 44 % des sondés estiment que la gestion de la réponse est plus ou moins difficile, en termes de ressources et de temps requis. Mais ils sont plus de 22 % à considérer que c’est difficile à très difficile.

Dans un contexte, il n’est guère surprenant que plus de 60 % des sondés dans l’Hexagone indiquent ressentir une usure, des personnels et face aux alertes. D’autant plus qu’ils sont 72 % à juger ne pas disposer de ressources suffisantes.

L’intégration en coursentre réseau et points de terminaison, mais également entre EDR et protection du poste de travail (EPP), contribuera peut-être à une amélioration graduelle de la situation. Avec l’aide, aussi, d’un certain niveau d’automatisation.