Comment l’EDR s’est imposé avec l’évolution de la menace cyber

Il y a moins de dix ans, l’EDR (Endpoint Dectection and Response, ou détection et réponse sur l’hôte, poste de travail comme serveur) était réservé à un marché de niche, avec en particulier un objectif limité : détecter et stopper les attaques des APT, les menaces avancées persistantes, autrement dit les acteurs étatiques.

Un rapprochement avec les antivirus classiques, encore très largement vus comme complémentaires, était anticipé. Mais la métamorphose de la cybercriminalité a changé la donne et a accéléré l’adoption de l’EDR. Car la cybercriminalité crapuleuse s’est approprié les méthodes des APT. Dès lors, se prémunir d’une cyberattaque avec ransomware n’avait plus grand-chose de différent de la recherche et de la détection des opérations furtives des APT. 

De fait, avant le déclenchement du rançongiciel et du chiffrement à proprement parler, bien visible, les étapes préalables de la cinétique d’attaque sont comparables. Discrètes et efficaces. Des indicateurs techniques allant bien au-delà de la seule détection de maliciels connus se sont faits nécessaires. C’est encore plus vrai aujourd’hui avec la menace d’infostealers rapides et particulièrement évasifs. 

Aujourd’hui, les témoignages de cyberattaques avortées grâce à la visibilité additionnelle apportée par l’EDR – combinée à la réactivité des équipes en charge de la sécurité opérationnelle – se multiplient. 

Début 2021, Lactalis a évité le pire grâce à son EDR. Le géant laitier avait été alerté par les équipes de l’éditeur de son EDR – signé CrowdStrike, comme le suggère un atelier organisé lors de l’édition 2022 des Assises de la Sécurité –, qui était déployé en démonstrateur sur des contrôleurs de domaine. Ce qui lui a permis d’agir rapidement pour éviter une détonation de ransomware.

Mais il faut aussi compter avec Egis, Caen, plusieurs établissements d’enseignement supérieur, ou encore les centres hospitaliers de Nice et d’Argenteuil. Dans ce dernier secteur, les données de l’Agence du numérique en santé suggèrent d’ailleurs un recours croissant – et réussi – à l’EDR, même si tous les incidents ne sont pas publiquement documentés.

Pour le mois de janvier 2023, on parle ainsi de 11 compromissions de système d’information dans le monde de la santé pour seulement deux cyberattaques ayant débouché sur le déclenchement d’un rançongiciel. Des chiffres identiques à ceux du mois de décembre 2022. Au mois de novembre, c’était 4 rançongiciels pour 7 compromissions.

Il n’est pas dit que l’EDR est à chaque fois à l’origine de l’issue heureuse de la compromission, mais c’est une aide qu’il devient de moins en moins possible de négliger. Même si elle n’est pas parfaite et nécessite des processus et ressources appropriés. C’est pour cela que nous avons souhaité y consacrer le numéro 25 de notre eZine Information Sécurité, retours d’expérience à l’appui.