Les périodes de confinement ont largement contribué à accélérer un mouvement déjà en cours visant à la décentralisation des systèmes d’informations, notamment via le télétravail ou les outils collaboratifs par exemple.
Paradoxalement, ces périodes ont transformé une contrainte en liberté plus grande pour une grande partie des employés en entreprise. Mais qui dit plus de liberté pense forcément plus de risque.
De fait, ces nouvelles approches ont surtout été l’occasion pour les pirates et autres hackers en herbe d’étrenner de nouveaux jouets en multipliant les attaques face à des structures informatiques ouvrant de nouvelles failles. C’est là qu’intervient la solution EDR.
L’avènement de l’EDR ?
Pour comprendre l’intérêt des solutions EDR, il faut bien intégrer le contexte cybercriminel depuis deux ans. Pour résumer, on peut dire que les cyberattaques ont considérablement augmenté (+ 255 % depuis 2020 selon l’ANSSI !), qu’elles sont plus diversifiées et donc moins facilement repérables par les antivirus classiques et qu’elles sont plus dangereuses et plus intensives que dans un passé proche.
Dans les faits, le terminal (ou le Endpoint) est une porte d’accès aux réseaux d’institutions ou d’entreprises. Une porte d’accès que les solutions EPP (Endpoint Protection Platform ou plus simplement antivirus) ne suffisent plus à sécuriser totalement. En effet, un antivirus, même mis à jour en temps réel, ne peut combattre que ce qu’il connaît. Sa technologie “limitante“ ne lui permet pas de faire face à de nouvelles variations dans les cyberattaques. La Solution de Sécurité pour les points Terminaux (ou EDR, Endpoint Detection and Response) vient compléter le dispositif EPP.
Qu’est-ce que l’EDR ?
L’EDR, déjà évoquée par Anton Chavukin, grand spécialiste de la sécurité informatique œuvrant actuellement chez Gartner, est une nouvelle technologie logicielle basée sur l’intelligence artificielle. Son rôle ; apprendre et analyser le fonctionnement de chaque terminal connecté au réseau, au sein d’une PME comme au cœur d’une multinationale.
Dans la pratique, l’EDR a pour mission de reconnaître les comportements inadaptés et d’anticiper les possibles attaques. Toutes les menaces avancées telles que le phishing, l’ingénierie sociale, les vulnérabilités 0-day ou les malwares sans fichier sont stoppées.
La complémentarité EPP – EDR
Si l’on devait imager la complémentarité entre l’EPP et l’EDR, on résumerait les choses de la façon suivante :
- L’antivirus est une technologie de prévention passive, éliminant les menaces entrantes sur un terminal. C’est un bouclier. Au football américain, on l’appellerait la defensive line, chargée d’empêcher les attaquants adverses de faire progresser le ballon vers la end zone ;
- L’EDR, au contraire, est une technologie proactive agissant en temps réel. C’est l’offensive line. Elle bloque tout ce qu’elle perçoit comme une agression, isolant les terminaux qu’elle pense touchés du reste du réseau, permettant ainsi au reste de l’équipe de continuer à déployer son jeu.
Quelques exemples de solutions EDR
Attention à ne pas confondre les solutions Endpoint detection and response avec les outils logiciels disponibles et utilisables indépendamment d’une solution complète. Rappelons qu’une solution EDR comprend à minima trois composants indispensables :
- Un outil de collecte de données ;
- Un outil d’analyse de données ;
- Un outil de détection des anomalies de comportement sur le réseau.
De fait, vous trouverez aisément différents outils de ce genre sur internet. Les solutions complètes, adaptées sur mesure aux infrastructures des entreprises, sont moins nombreuses. On peut toutefois citer Cynet 360, CrowdStrike Falcon, Sophos Intercept X, les solutions EDR d’HarfangLab (seule solution certifiée par l’ANSSI) ou encore Cisco Secure Endpoint.
Les limites actuelles de l’EDR
Toutefois, l’EDR a quelques limites. Logique pour une technologie émergente. Certes, elle se révèle très efficace, mais elle demande également plus de temps de paramétrage et de suivi continu. Ceci est du au fait qu’elle doit à chaque fois apprendre des comportements, des protocoles et des usages de chaque réseau ou elle est déployée. Ainsi, dans un premier temps, elle va détecter de très nombreux faux positifs qu’il va falloir corriger en déterminant ce qui relève du faux positif et ce qui s’avère une menace pour le système d’information.
De surcroît, cette première étape passée, les équipes IT des entreprises devront mettre en place des protocoles permettant de sortir les terminaux isolés par l’IA tout en garantissant la sécurité du réseau. De fait, si une grande entreprise peut se permettre de développer ses équipes informatiques en conséquence, c’est loin d’être le cas pour les PME. A moins, bien sûr, d’externaliser la gestion de la solution EDR…