taa22 - stock.adobe.com

Quelles sont les différences entre XDR ouvert et natif ?

Avec la détection et la réponse étendues, les équipes de sécurité accèdent à des capacités d’analyse des menaces et de réponse améliorées. Voici ce qu’il faut savoir pour choisir le type de XDR qui convient à son organisation.

Établie en 2018 par Palo Alto Networks, la notion de détection et de réponse étendues (XDR) est une évolution de l’EDR. Le cabinet Enterprise Strategy Group (ESG), une division du groupe TechTarget, estime que plus des deux tiers des entreprises vont investir dans le XDR au cours de l’année à venir.

Mais celles-ci ont quelques options en la matière. Il faut ainsi considérer deux principales approches : ouverte et native, parfois dites hybride et fermée. Reste que le XDR est une notion jeune et les analystes peuvent s’avérer divisés sur la manière de segmenter plus avant le marché.

Qu’est-ce que le XDR ?

Le XDR est décrit comme une évolution de la détection et de la réponse sur l’hôte, l’EDR. Ce dernier aide à détecter la survenue de brèches de sécurité sur les serveurs et les postes de travail. Avec le XDR, les entreprises vont au-delà des hôtes. Les outils de XDR en mode SaaS collectent des données relatives aux menaces à partir du réseau, des services cloud, des serveurs ou encore des systèmes de messagerie électronique. Grâce à l’ingestion centralisée des données, les équipes de sécurité disposent d’une vue plus complète de l’état de la menace à laquelle est confronté leur environnement informatique. En appliquant l’apprentissage automatique et l’analyse comportementale, le XDR fournit des capacités de réponse automatisées, permettant de réagir plus vite aux menaces détectées.

Mais une certaine confusion demeure quant à ce qui constitue un produit de XDR. Les réponses des analystes le soulignent bien. « À première vue, le XDR peut donner l’impression de n’être que l’EDR saisissant l’opportunité de devenir un meilleur SIEM », indique ainsi Allie Mellen, analyste chez Forrester. Tout en soulignant que « la réalité est très différente ».

Les équipes de sécurité adoptent le XDR pour améliorer la détection des menaces, l’investigation et la réponse. Elles disposent là de quoi être plus proactive face aux menaces. Pour Allie Mellen, le XDR s’attaque à 4 problèmes qui pénalisent les entreprises : l’efficacité de la détection ; les taux de faux positifs ; les volumes d’alertes ; et le temps passé à les traiter. Car pour l’analyste, les investigations prennent traditionnellement trop de temps : « les équipes de sécurité peuvent soit répondre rapidement, soit répondre complètement, mais il est très difficile de faire les deux à la fois ».

XDR ouvert contre natif

L’offre XDR se divise globalement en deux grandes familles : ouvert et natif. Dans le premier cas, il s’agit de miser sur les intégrations avec des tiers ; dans le second, le XDR se présente comme une plateforme tout-en-un. Certains analystes estiment toutefois qu’il faut compter jusqu’à 5 approches distinctes.

Avec le XDR natif, la solution collecte toute la télémétrie. Cela vaut pour Microsoft 365 Defender, Cisco XDR ou encore Palo Alto Networks Cortex XDR. Le composant XDR assure l’intégration avec le reste des produits de sécurité du fournisseur. Les équipes de sécurité des entreprises n’ont alors pas à se préoccuper des intégrations : une seule plateforme assure l’ensemble des analyses et la détection des menaces.

La mise en œuvre des solutions XDR natives peut toutefois s’avérer difficile, en cela qu’il faut supprimer les outils existants au profit d’une plateforme complète unique. Le manque de possibilités d’intégration avec des outils tiers peut d’ailleurs être pénalisant : « ces fournisseurs doivent adopter la notion d’intégrations tierces et d’API », souligne Dave Gruber, chez ESG.

De l’autre côté, XDR ouvert ne veut pas dire outils open source. Dès lors, certaines organisations préfèrent parler de XDR hybride. Ces outils sont conçus pour s’intégrer avec des outils analytiques tiers afin de fournir un plan d’administration centralisée. Là, on trouve par exemple ReliaQuest GreyMatter, Exabeam Fusion XDR, ou encore Stellar Cyber Open XDR.

L’inconvénient est que les entreprises doivent s’assurer que l’outil XDR ouvert qu’elles choisissent dispose de suffisamment d’intégrations. Les produits de sécurité de niche risquent d’être laissés de côté. Il n’est pas possible pour les fournisseurs de concevoir des connexions pour tous les produits existants.

Autres types de XDR

Les analystes du secteur considèrent que le marché ne le limite pas au XDR natif ou ouvert. Ainsi, pour Dave Gruber, il existe trois ou quatre types de XDR : overlay (ouvert), full-stack (natif), full-stack modifié et offres de l’écosystème. Les fournisseurs de solutions full-stack modifié proposent une architecture qui s’intègre mieux aux produits de sécurité tiers. Il s’agit d’un outil XDR intermédiaire qui allie natif et ouvert. Les fournisseurs d’écosystèmes ne disposent pas eux-mêmes d’une plateforme complète et s’associent donc à d’autres fournisseurs. Ensemble, ils offrent quelque chose qui ressemble à une solution native, mais ce n’est pas une véritable offre complète.

Selon Peter Firstbrook, analyste chez Gartner, les clients disposent de cinq options XDR. Aux offres ouvertes et natives, il ajoute les offres de produits uniques, l’orchestration de la sécurité et la réponse automatisée (SOAR) et les SIEM, ainsi que les fournisseurs de services de sécurité managés (MSSP). Les fournisseurs de produits de base uniques ne disposent pas de beaucoup d’intégrations aujourd’hui, mais ils peuvent en ajouter. Peter Firstbrook inclut les fournisseurs de SOAR et de SIEM parce qu’il considère que leurs produits offrent tout autant que ce que promet le XDR. Le XDR est conçu pour être facile à utiliser, c’est-à-dire intégré clefs en main, contrairement aux produits SOAR et SIEM, mais les éditeurs y travaillent. De la même manière, les MSSP pensent que ce qu’ils offrent est également XDR.

Au fur et à mesure que le XDR gagnera en maturité, les types de XDR se réduiront. Le plus grand obstacle pour le XDR en 2021 est que les clients potentiels ne le comprennent pas, ou ne savent pas comment il aide leurs équipes de sécurité. Les fournisseurs doivent montrer aux équipes de sécurité en quoi le XDR diffère de l’EDR, du SIEM et du SOAR.

Pour approfondir sur Protection du terminal et EDR

Close