Les mesures préventives ne suffisent plus à protéger les ordinateurs portables, les PC de bureau et les smartphones. Des mesures supplémentaires sont requises pour repérer et éliminer les cyberattaques perfectionnées. Les systèmes EDR ou Endpoint Detection & Response font partie de ces mesures.
Texte: Andreas Heer, Image: iStock,
Cela commence généralement par les équipements terminaux: environ 70 % des cyberattaques passent par les points d’extrémité ou «endpoints», comme l’a rapporté le fournisseur de solutions de sécurité nord-américain «Absolute Software» dans son «Endpoint Security Trends Report» (rapport sur les tendances en matière de sécurité des points d’extrémité). Ces derniers peuvent être des ordinateurs portables, des PC de bureau et des smartphones, mais aussi des serveurs locaux du réseau d’une entreprise.
Le nombre important d’attaques qui réussissent prouve qu’une simple protection préventive avec logiciels antivirus et pare-feu est souvent insuffisante. Cela s’explique par la sophistication croissante des attaques. Ainsi, les attaques dites sans fichiers sont en augmentation. Elles peuvent consister par exemple en un script PowerShell et se dérouler exclusivement dans la mémoire d’ordinateurs Windows, sans laisser aucune trace dans le système de fichiers. Pour les logiciels antivirus dont l’action dépend de la signature virale, les attaques de ce genre passent inaperçues. Dans la mesure où la charge utile (payload) est elle-même souvent téléchargée via un site Internet compromis, le pare-feu ne décèle rien non plus.
Pour les équipements terminaux, les entreprises ont donc besoin de mesures de sécurité supplémentaires qui détectent même les attaques élaborées. Ensuite seulement, elles peuvent engager des mesures pour remédier aux attaques. L’EDR (Endpoint Detection & Response) répond à leurs besoins. Contrairement aux logiciels antivirus qui opèrent en fonction de la signature virale, un système EDR étudie le comportement de l’équipement terminal et peut repérer des anomalies. Pour analyser le modèle de comportement, l’EDR utilise également le machine learning qui permet d’obtenir un taux de détection maximum. Le terme EDR a été utilisé pour la première fois par l’analyste Anton Chuvakin de la société Gartner en 2013, soit relativement récemment.
L’EDR ne constitue pas une solution stand alone. En cas d’anomalies, les alertes sont en effet judicieusement transmises aux systèmes de surveillance de type SIEM (Security Information and Event Management) ou SOAR (Security Orchestration, Automation and Response). Cela permet de déclencher les mesures adéquates, comme le blocage automatique de l’accès réseau pour l’équipement terminal ou l’analyse manuelle de l’incident par les spécialistes de la sécurité. Ces tâches sont généralement prises en charge par un SOC ou Security Operation Center. L’existence d’un SOC est d’ailleurs le préalable logique – et raisonnable – à un EDR efficace.
Il importe d’intégrer la solution EDR aux processus et systèmes de sécurité existants. Selon l’infrastructure en place, cela peut être une vraie gageure, notamment lorsqu’il s’agit d’adapter les mesures de remédiation automatisées. Une autre difficulté concerne le personnel dont dispose le service de sécurité informatique de l’entreprise. Les ressources disponibles sont-elles suffisantes pour surmonter les attaques, y compris celles de grande envergure?
Ce serait faire un mauvais choix que de renoncer à la technologie EDR pour cette raison. Combiner EDR et SOC as a Service représente en revanche une démarche économique et viable pour pallier le côté incertain des dépenses et le manque de ressources qualifiées. Le tout, en préservant le niveau de maturité actuellement nécessaire en termes de sécurité informatique.
Newsletter
Vous souhaitez recevoir régulièrement des articles et Whitepapers passionnants sur des activités TIC actuelles?
En savoir plus sur ce thème: