EDR, XDR, MDR : principales différences et avantages

Qu’est-ce que la détection et la réponse aux terminaux (EDR) ?

La détection et la réponse au niveau des terminaux (ou endpoints en anglais) concernent des dispositifs généralement situés à l’intérieur des quatre murs d’une organisation. Les systèmes d’EDR examinent les ordinateurs portables, les postes de travail, les imprimantes, les composants du réseau et d’autres composants des systèmes d’information à la recherche d’activités suspectes.

La technologie d’EDR peut identifier les comportements suspects, utiliser l’IA pour analyser les anomalies et permettre l’identification, le triage, le confinement et l’élimination des menaces. Les systèmes d’EDR sont généralement dotés de tableaux de bord qui fournissent aux équipes de sécurité des informations sur l’état des menaces et les performances.

Les éléments d’IA ne se contentent pas d’examiner les codes suspects à partir de listes de milliers de menaces, mais ils utilisent également l’analyse comportementale pour analyser de vastes quantités de données et identifier d’éventuelles similitudes avec des menaces connues. Les systèmes peuvent alors fournir des conseils sur la meilleure façon d’atténuer la menace, ainsi que de la contenir et de l’éliminer de manière proactive. Les données capturées lors de la surveillance sont traitées et stockées dans des bases de données en vue d’une utilisation ultérieure.

Une caractéristique importante de l’EDR – ainsi que des systèmes XDR et MDR – est la chasse aux menaces, qui consiste à rechercher activement des réseaux, des dispositifs, des systèmes et d’autres ressources afin d’identifier les menaces. Cette fonction élargit considérablement les capacités d’une équipe de cybersécurité en matière d’identification et de gestion des menaces, en l’aidant à garder une longueur d’avance sur le phishing, les ransomwares et d’autres menaces.

Comme le XDR, les systèmes EDR surveillent, détectent, analysent et atténuent automatiquement les menaces de sécurité qui pèsent sur les terminaux. Ils lancent une chasse aux menaces, établissent une posture défensive proactive, rassemblent les données sur les menaces dans des bases de données en vue d’une utilisation ultérieure, augmentent les capacités et l’efficacité d’un centre d’opérations de sécurité (SOC) et fournissent des informations exploitables pour la gestion et la résolution des incidents de sécurité.

Parmi les fournisseurs de produits EDR figurent BlackBerry, Check Point, Cisco, CrowdStrike, Cybereason, Cynet, ESET, FireEye, HarfangLab, IBM, Kaspersky, Malwarebytes, McAfee, Microsoft, Palo Alto Networks, SentinelOne, Sophos, Symantec (Broadcom), Tehtris, Trend Micro, VMware et WatchGuard.

Qu’est-ce que la détection et la réponse managées (MDR) ?

Les attributs des systèmes EDR et XDR peuvent également être fournis par des tiers. Ces services de détection et de réponse managés complètent les efforts de cybersécurité en ajoutant des fonctions qui pourraient dépasser les capacités d’une équipe particulière. Le MDR peut également être une solution unique qui couvre tous les aspects de la gestion de la cybersécurité.

Les fournisseurs de services de détection et de réponse offrent une gamme étendue de services. En ayant accès à ces capacités et à cette expertise, une organisation peut renforcer sa sécurité sans avoir besoin de trouver et d’embaucher du personnel supplémentaire. En outre, les organisations soumises à des exigences de conformité peuvent bénéficier de l’expertise d’un fournisseur de MDR et de ses rapports continus.

Les fournisseurs qui proposent des services de MDR sont notamment Alert Logic, CrowdStrike, Cynet, Cybereason, eSentire, Rapid7, Red Canary, SecurityHQ, Security Joes, SecureWorks, SentinelOne ou encore UnderDefense.

Qu’est-ce que la détection et la réaction étendues (XDR) ?

Lorsqu’une organisation a besoin de surveiller, d’analyser et d’atténuer les menaces au-delà des terminaux, il est recommandé d’utiliser une technologie de détection et de réponse étendue. Des implémentations locales sont possibles, mais la technologie XDR basée sur le cloud est souvent plus souhaitable, en particulier si le fournisseur dispose de nombreux sites à partir desquels il peut lancer des activités XDR.

Les outils XDR sont conçus pour examiner plus que les seuls points d’extrémité. Combinant EDR et NDR, ils examinent les bureaux distants, les implémentations cloud, les réseaux d’entreprise et les systèmes spécialisés, tels que l’IoT et la surveillance à distance. 

Ces systèmes accumulent en permanence des données sur les menaces ; ils les analysent à l’aide de l’IA et de l’analyse comportementale et agissent en conséquence si nécessaire. Les systèmes XDR peuvent lancer des activités de gestion et de réponse aux incidents, fournir à une équipe des données d’état en temps réel, analyser les données de la chaîne de menaces pour identifier les vulnérabilités qui pourraient autrement être manquées, atténuer ou éliminer les menaces, et même aider à remettre les systèmes affectés dans un état sûr et utilisable.

En plus d’avoir une plus grande portée que les systèmes axés sur les terminaux, les systèmes et plateformes XDR offrent une plus grande visibilité sur tous les éléments des infrastructures de réseau. Ils permettent une détection et une réponse automatisées aux menaces dans plusieurs domaines, augmentent les performances d’un SOC et réduisent le temps que les équipes de sécurité consacrent à l’examen des menaces.

Parmi les fournisseurs de services XDR figurent CrowdStrike, Cybereason, Cynet, FireEye, Microsoft, Palo Alto Networks, ReliaQuest, SentinelOne, Secureworks, Sekoia.io, ou encore Trellix.

EDR vs MDR vs XDR

Les services EDR se concentrent généralement sur les terminaux des entreprises.

Les prestataires de services de détection des menaces fournissent des services de détection des menaces là où ils sont nécessaires au sein d’une organisation. Les utilisateurs peuvent choisir comment gérer les menaces et quelles parties de l’écosystème sont concernées. Le MDR fournit des services de détection et de réponse aux menaces par l’intermédiaire d’une entité tierce externe, telle qu’un MSP ou un fournisseur de services cloud. Au lieu de gérer les activités de détection et de réponse aux menaces en interne, l’entreprise peut déléguer ces activités – en tout ou partie – à un tiers.

XDR peut s’attaquer aux terminaux, ainsi qu’aux points technologiques situés en dehors des bureaux de l’organisation, tels que les bureaux distants, les réseaux d’entreprise, les activités Internet, les sites Web et d’autres éléments.

Compte tenu du grand nombre d’options disponibles, les organisations doivent évaluer soigneusement leurs besoins avant de choisir les outils qui leur conviennent le mieux.

Conseils pour le choix d’un produit de détection des menaces

Lors de l’évaluation, de la sélection et du déploiement d’outils et de services de détection et de réponse aux menaces, il convient de prendre en compte les étapes suivantes :

1. Examiner les activités actuelles de gestion de la cybersécurité pour déterminer où des capacités supplémentaires – par exemple, une surveillance accrue, des analyses basées sur l’IA, la chasse et la détection des menaces avancées, et la gestion automatisée des événements – sont nécessaires.
2. Fixer des objectifs et des stratégies de gestion des cybermenaces sur la base de l’évaluation des besoins ; envisager de réviser et d’actualiser les politiques de cybersécurité et les procédures associées.
3. Une fois que les lacunes dans la gestion de la cybersécurité et les stratégies de sécurité ont été identifiées, il convient de les examiner avec la direction et d’obtenir l’autorisation de lancer un processus de sélection et d’évaluation.
4. Identifier les fournisseurs potentiels en fonction du niveau de service requis – qu’il s’agisse d’une gestion améliorée des menaces, d’une assistance supplémentaire pour un SOC existant ou autre –, puis évaluer les capacités d’un fournisseur par le biais d’une demande d’informations ou d’un appel d’offres.
5. Lorsque les fournisseurs candidats ont été sélectionnés, demandez à voir des démonstrations en direct des systèmes, des plateformes, des services et des tableaux de bord ; vous voulez que votre équipe soit à l’aise avec le produit envisagé.
6. Examiner de près les services à fournir, y compris la formation, la documentation, la maintenance, les garanties, les contrats, les accords de niveau de service, la tarification, la compatibilité avec les systèmes existants des utilisateurs et la manière dont le système ou le service est déployé, testé, accepté et mis en production.
7. Une fois le produit sélectionné, il faut établir un plan de projet pour préparer le SOC au nouveau système ou service, former les équipes, programmer les tests et l’acceptation du système et fournir une assistance après l’installation.
8. Une fois que le système est en production, modifiez les procédures et les politiques existantes si nécessaire, prévoyez des examens périodiques des performances du système et effectuez des tests lorsque des correctifs sont apportés.

Les systèmes EDR et XDR, et les services de MDR, peuvent fournir des protections essentielles en matière de cybersécurité : surveillance, analyse, confinement et élimination des menaces. En plus d’être capables de surveiller et de détecter les menaces, ils peuvent chasser, identifier et neutraliser de manière proactive les menaces, qui pourraient autrement ne pas être détectées. Les capacités des SOC existants peuvent être considérablement améliorées grâce à ces systèmes et services.

En outre, les données générées par ces systèmes peuvent s’avérer précieuses lors des activités d’audit de sécurité et contribuer à démontrer le respect de normes et de réglementations spécifiques en matière de sécurité.

Paul Kirvan est consultant indépendant, auditeur informatique, rédacteur technique, éditeur et éducateur. Il a plus de 25 ans d’expérience dans les domaines de la continuité des activités, de la reprise après sinistre, de la sécurité, de la gestion des risques d’entreprise, des télécommunications et de l’audit informatique.