nndanko - stock.adobe.com

Opinion

Partenariat F5-CrowdStrike : l’EDR suffit-il ?

Un nouveau partenariat F5-CrowdStrike étend l’EDR à l’infrastructure réseau vulnérable, mais est-ce suffisant ? La recherche montre que la NDR est plus performante que l’EDR dans de nombreux cas.

John Grady
par
Publié le: 21 nov. 2025

Cherchant à mieux protéger leurs clients contre les équipements réseau exploitables, F5 et CrowdStrike ont récemment annoncé une alliance technologique dans laquelle CrowdStrike Falcon s’intégrera et fonctionnera directement sur la plateforme BIG-IP de F5.

Ce partenariat permettra aux clients d’utiliser l’agent Falcon de sécurité des traitements, ainsi que le service managé de chasse aux menaces Falcon Adversary OverWatch de CrowdStrike, sur l’ensemble de leur environnement BIG-IP. Les deux fournisseurs ont positionné cette alliance comme une nouvelle approche qui redéfinit la protection du réseau et étend la protection des ordinateurs portables, des ordinateurs de bureau et des terminaux mobiles à l’infrastructure réseau vulnérable.

Bien qu’il s’agisse d’un sujet de préoccupation croissant pour de nombreuses organisations, il convient de noter que ce partenariat fait suite à une violation importante subie par F5 en août et divulguée en octobre, au cours de laquelle des acteurs étatiques ont volé des segments du code source de BIG-IP et des détails sur les vulnérabilités. En conséquence, les clients BIG-IP éligibles pourront déployer Falcon et utiliser OverWatch gratuitement jusqu’en octobre 2026.

Ainsi, bien que les équipements de réseau vulnérables constituent un problème important et permanent (une vulnérabilité de Fortinet FortiWeb permettant d’exécuter un code à distance a récemment été exploitée) et que ce partenariat représente une voie pour aborder le problème, il intervient en réaction à un événement spécifique et se contente d’un objectif assez restreint, du moins initialement. Cela dit, il faut féliciter F5 d’avoir agi rapidement pour s’engager avec CrowdStrike et s’assurer que les clients sont protégés et disposent des outils dont ils ont besoin pour se défendre.

Cette annonce représente une évolution intéressante et nécessaire dans la détection des menaces visant les infrastructures réseau, mais elle ne tient pas compte des questions clés suivantes concernant la protection de ces infrastructures au sens large :

  • Le partenariat ne couvre actuellement que la famille BIG-IP de F5. La plupart des entreprises utilisent plusieurs fournisseurs d’équipements de réseau. Pour obtenir une visibilité totale sur l’infrastructure du réseau, Falcon devra s’intégrer à de nombreuses plateformes. Cela pourrait se faire au fil du temps, mais des lacunes subsisteront probablement dans un avenir immédiat, ce qui signifie que les équipes de sécurité qui s’appuient uniquement sur l’EDR manqueront de visibilité.
  • Le modèle « EDR partout » est difficile à mettre à l’échelle. Ce point recoupe quelque peu le premier. Les appareils IoT connectés et les environnements cloud sont deux domaines clés où le déploiement d’agents est difficile, voire impossible. Et si l’EDR n’est pas partout, les organisations ont besoin d’autre chose pour combler ce manque de visibilité.
  • L’EDR lui-même peut être vulnérable. Outre les attaques conçues pour contourner l’EDR, l’une des premières actions d’un attaquant, une fois qu’il a accès à un point de terminaison, est d’essayer de désactiver le système EDR afin de masquer ses traces. La panne de CrowdStrike en juillet 2024 a mis en évidence le risque de perturbation lors du déploiement d’agents sur des systèmes critiques, ce qui inclut certainement les dispositifs de réseau. En résumé, l’EDR présente des lacunes.

Réexamen de la visibilité et de la détection dans le réseau

Il ne fait aucun doute que la visibilité au niveau des terminaux est essentielle et qu’elle fournit des données que d’autres outils ne peuvent pas fournir. Cependant, une vision plus large, au niveau du réseau, offre certains avantages distincts qui ne remplacent pas nécessairement la détection au niveau des points d’extrémité, mais la complètent. La détection et la réaction au niveau du réseau (NDR) peuvent en particulier contribuer à résoudre certains des problèmes évoqués précédemment.

La NDR n’exige pas que les équipes de sécurité déploient des agents, ce qui permet de couvrir les parties de l’environnement où le déploiement d’agents n’est pas possible ni souhaité. Comme elle fonctionne hors bande, elle ne peut pas être désactivée ou manipulée. La NDR peut également fournir une vue globale de l’environnement, permettant aux analystes et aux chasseurs de menaces de voir chaque connexion et d’identifier les activités anormales et les mouvements latéraux à travers les systèmes. La NDR n’offre peut-être pas la même profondeur de visibilité au niveau du système que l’EDR, mais elle offre une valeur ajoutée grâce à sa capacité à voir l’ensemble de l’image.

Une récente étude d’Omdia, une division d’Informa TechTarget, intitulée « The Role of Network Visibility in Protecting Modern Environments » (« Le rôle de la visibilité réseau dans la protection des environnements modernes »), met en évidence la façon dont les organisations considèrent les outils basés sur le réseau par rapport à d’autres aspects de leur pile de sécurité, ainsi que les avantages qu’elles tirent de l’utilisation de la NDR. Voici quelques-unes des conclusions les plus éloquentes :

  • La NDR est bien positionnée pour le cloud hybride. Dans l’ensemble, 41 % des personnes interrogées ont déclaré que les outils de NDR ou de visibilité sont les mieux équipés pour fournir une visibilité dans les environnements hybrides multicloud. Seuls 12 % estiment que les outils EDR sont les mieux équipés à cette fin.
  • La NDR est précise. Dans l’ensemble, seuls 19 % des répondants ont indiqué qu’au moins la moitié des alertes générées par leurs outils de sécurité s’avéraient être de vrais positifs malveillants – ce qui signifie que les faux positifs restent un problème dans l’ensemble. Cependant, les résultats sont meilleurs parmi ceux qui utilisent la visibilité du réseau comme première ligne de défense, avec 24 % qui indiquent qu’au moins la moitié de leurs détections sont des vrais positifs, contre seulement 11 % qui utilisent la visibilité des points d’extrémité comme première ligne de défense.
  • La NDR aide les équipes à réagir plus rapidement. Près des deux tiers (61 %) ont déclaré que la visibilité du réseau avait un impact significatif sur le passage de la détection à la réponse, en aidant à franchir l’étape plus rapidement et avec plus de confiance. Par ailleurs, 38 % des personnes interrogées ont déclaré que la visibilité du réseau avait un impact modéré, c’est-à-dire qu’elle permettait de passer à l’étape suivante un peu plus rapidement et avec un peu plus de confiance.
  • La NDR permet d’améliorer à la fois l’efficacité et la sécurité. Les entreprises tirent des avantages tangibles de l’utilisation de la NDR. Plus de la moitié d’entre elles (53 %) ont indiqué que l’efficacité des analystes des centres d’opérations de sécurité (SOC) s’était améliorée, et 49 % ont déclaré que le temps moyen de détection avait été réduit, tandis que 42 % ont signalé une diminution du nombre de violations de données.

Ce que cela signifie

Pour être clair, il ne s’agit pas ici de dire que la NDR est le seul outil dont une équipe de sécurité a besoin pour détecter les menaces modernes dans les environnements distribués. En fait, la visibilité au niveau des appareils dans l’infrastructure du réseau est une lacune notable de la NDR. Mais l’EDR n’est pas non plus une solution miracle et doit être complété par la visibilité du réseau.

La visibilité et la détection dans le réseau peuvent clairement aider les équipes de sécurité à combler ces lacunes, à améliorer l’efficacité et à détecter des menaces qu’elles n’auraient pas décelées autrement. Comme c’est souvent le cas, les équipes de sécurité devraient privilégier une approche à plusieurs niveaux, mais en mettant l’accent sur la visibilité du réseau. Pour l’infrastructure réseau en particulier, l’ajout d’EDR (lorsque c’est possible pour détecter plus tôt les dispositifs compromis) pourrait être utile. Cependant, lorsque cette approche est complétée par une NDR pour détecter les déplacements latéraux et les activités suspectes émanant de ces dispositifs, les équipes de sécurité obtiendront de meilleurs résultats dans l’ensemble.

John Grady est analyste principal chez Omdia et s’occupe de la sécurité des réseaux. Il a plus de 15 ans d’expérience en tant qu’analyste et vendeur de produits informatiques.

Omdia est une division d’Informa TechTarget. Ses analystes entretiennent des relations d’affaires avec des fournisseurs IT.

Pour approfondir sur Sécurité réseau (IDS, XDR, etc.)