Dossier : le continuum moderne de détection et réponse aux incidents
Introduction
La chaîne s’étendant de la détection des incidents de cybersécurité à leur traitement a significativement évolué au cours des 5 à 10 dernières années. Cela a commencé par le passage de la simple protection antivirale des postes de travail et serveurs à la détection et la réponse (EDR), avec intégration de l’analyse comportementale, afin de repérer les moindres anomalies susceptibles de trahir la présence d’une menace.
Dans le même temps, cette approche s’est étendue au réseau, avec l’IPS/IDS se muant en NDR (Network Detection and Response) à grand renfort d’analyse du trafic réseau (NTA). Ce point d’observation complétant celui fourni par les points de terminaison du réseau, c’est tout naturellement qu’est apparue la XDR, ou Détection et Réponse Étendues (pour eXtended Detection and Response, en anglais).
Mais que faire avec toute la télémétrie générée par ces points de visibilité ? L’envoyer directement dans un système de gestion des événements et des informations de sécurité (SIEM) ? Pas vraiment… la tarification de ces systèmes historiquement utilisés surtout à des fins de conformité n’y serait guère adaptée. Seule une partie des événements leur est généralement remontée, après un premier traitement à un niveau inférieur. Là, savoir où placer le curseur ne relève pas toujours de l’évidence. D’où des choix d’intégration parfois difficiles.
Et c’est sans compter avec la question des ressources disponibles, en interne, voire chez son prestataire de services de sécurité managés. Car il faut bien traiter, à un moment, toutes les informations remontées. C’est là qu’entre en scène la SOAR (ou Security Orchestration Automation and Response) : une brique conçue pour accélérer les traitements et alléger la charge de travail des analystes. Mais est-ce bien suffisant alors que l’horizon des menaces est loin de s’éclaircir ? Non. Et les éditeurs l’ont bien compris.
Ces toutes dernières années, ils ont pris le virage de l’intelligence artificielle générative. D’abord pour des fonctions plus ou moins limitées, ce qui pouvait donner l’impression d’un simple gadget à l’utilité réelle limitée. Mais le passage à l’agentique commence à changer la donne, avec des IA venant plus efficacement épauler les équipes en charge de la sécurité opérationnelle, ne serait-ce que pour l’intégration de multiples sources de données et la corrélation de signaux. Et ce n’est probablement qu’un début, compte tenu de la puissance que leurs connecteurs et compétences confèrent à ces agents.
1Comprendre-
Les différents composants de la chaîne
EDR, XDR, MDR : avantages et principales différences
L’un des principaux objectifs des professionnels de la cybersécurité est d’identifier rapidement les cyberattaques potentielles ou en cours. Ces trois approches peuvent les y aider. Lire la suite
Comment évaluer et déployer une plateforme XDR
Toutes les plateformes de détection et réponse étendues ne se valent pas. Mieux vaut se retenir de sauter le pas tant que l’on n’a pas pleinement déterminé ce que l’on attend d’une plateforme XDR. Lire la suite
Comprendre ce à quoi correspond le XDR
Cet acronyme est utilisé par un nombre croissant de fournisseurs d’outils de cybersécurité. Mais que cache ce concept de détection et réponse étendues ? Lire la suite
SIEM vs SOAR vs XDR : évaluer les différences clés
SIEM, SOAR et XDR possèdent chacun des capacités et des inconvénients distincts. Découvrez les différences entre les trois, comment ils peuvent fonctionner ensemble et lequel est le plus adapté à votre entreprise. Lire la suite
Quelles sont les différences entre XDR ouvert et natif ?
Avec la détection et la réponse étendues, les équipes de sécurité accèdent à des capacités d’analyse des menaces et de réponse améliorées. Voici ce qu’il faut savoir pour choisir le type de XDR qui convient à son organisation. Lire la suite
Comment intégrer EDR, SIEM et SOAR
Comprendre l'architecture, la mise en œuvre et la maintenance des outils EDR, SIEM et SOAR afin d'optimiser les workflows de sécurité et d'assurer la résilience. Lire la suite
9 conseils pour changer de fournisseur de SOC managé
Le passage d’un SOC managé à un autre peut être décourageant, mais avec une bonne planification, les organisations peuvent y parvenir. Un conseil important : tout documenter. Lire la suite
2Intelligence Artificielle-
La sécurité à l’heure du tout agentique
Palo Alto Networks met le cap sur la sécurité agentique
Palo Alto surfe sur la vague agentique et dévoile ses ambitions. Les agents viennent relayer le SOAR dans les SOC et de nouvelles briques de sécurité arrivent pour sécuriser les IA au cœur du système d’information. Lire la suite
Proofpoint Satori, les agents IA au service du SOC
Disponible au début de l’année prochaine, la plateforme Satori vise à accélérer l’automation des SOC en établissant une collaboration entre humains et agents. Lire la suite
AgenticOps et SOC agentique, les concepts inédits de Splunk
L’éditeur de solutions d’observabilité entend, d’une part, proposer une approche de pointe pour surveiller les IA et, d’autre part, se servir d’elles pour approfondir comme jamais la surveillance des incidents de cybersécurité. Lire la suite
Intégration du renseignement cyber : Securonix rachète ThreatQuotient
Ce rapprochement vise à créer une plateforme complète, modulaire et entièrement intégrée, pour la détection, l’investigation et la réponse aux menaces, tirant parti d’analyses avancées et d’informations sur les menaces internes et externes. Lire la suite
Détection des menaces : Zscaler s’offre Red Canary
Le spécialiste du SASE vient d’annoncer avoir conclu un accord définitif d’acquisition du fournisseur de services managés de détection et de réponse. Il prévoit de le faire profiter des renseignements sur les menaces des ThreatLabz. Lire la suite
3Témoignages-
Comment ils ont fait évoluer leur approche SOC
Comment l’Insep s’est mis à l’EDR
Durant les JO 2024, l’institut comptait notamment, pour la sécurité de son système d’information, sur la détection des menaces dans le trafic réseau. Mais un démonstrateur EDR fonctionnait en parallèle. C’est lui qui a pris le relais. Lire la suite
Les Mousquetaires démontrent l’efficience du SOC hybride
Filiale informatique du Groupement Mousquetaires, la STIME s’appuie sur son partenaire I-Tracing pour gérer son SOC. Avec une intégration maximale, des ressources dédiées et une marge de manœuvre très grande laissée aux analystes pour intervenir en cas d’incident. Lire la suite
Pourquoi l’Urssaf a réinternalisé son SOC
L’Urssaf a déployé son propre SIEM en 2012. Une première brique qui l’a amené vers la mise en œuvre d’un SOC managé, pour finalement internaliser cette structure une fois la montée en compétence aboutie. Lire la suite
Comment Systra entraîne son SOC en automatisant les tests d’intrusion
Depuis 3 ans, Systra exploite la solution Pentera afin d’automatiser les tests d’intrusion réalisés sur son infrastructure interne et externe, mais aussi pour entraîner son équipe SOC à repérer rapidement les attaques. Une démarche qui n’exclut pas les tests réalisés par des humains. Lire la suite