EDR ou Endpoint Detection & Response : Définition, concepts clés et usages

La génèse du concept EDR

L’EDR, pour Endpoint Detection and Response, est une notion assez récente puisque utilisée par Gartner pour les premières fois en 2013. Cette solution, comme son nom l’indique, va se focaliser sur les points de terminaison du réseau avec notamment les postes de travail, les téléphones professionnels ou encore les différents serveurs de votre infrastructure. La solution est généralement matérialisée par le déploiement d’un agent et la mise en place d’infrastructures de collecte. La plupart des solutions EDR Endpoint Detection & Response embarquent d’ailleurs une solution EPP Endpoint Protection Platform, ou viendront s’ajouter à l’EPP d’un autre éditeur déjà présent. Après le premier filtrage de l’EPP qui permet de couvrir 80% des menaces, l’EDR va pouvoir détecter les menaces plus complexes, sans signature connue, à signaux faibles, c’est donc un outil puissant face aux attaques zéro-day, ou contre les APT Advanced Persistent Threat. L’EDR va pouvoir agir en mode monitoring, mais peut également proposer des capacités de mise en quarantaine, du sandboxing afin d’apporter des capacités de réponses supplémentaires face aux menaces.

De la solution au centre de compétence EDR

La solution EDR analysant l’ensemble des activités se déroulant sur le point de terminaison, elle remonte une quantité d’informations conséquente. Les éditeurs proposent de manière systématique une interface pour faciliter l’analyse des remontées d’événements, ou peuvent s’interfacer avec d’autres solutions de type SIEM Security Incident Event Management, et ainsi guider les utilisateurs. Mais des moyens humains et des connaissance techniques/sécurité restent nécessaires pour avoir la capacité de les gérer. Plusieurs entreprises, dont les éditeurs de solutions, proposent d’ailleurs leur service managé pour opérer une solution EDR pour un client.

L’XDR, un EDR qui permet une surveillance plus poussée

L’XDR, pour eXtended Detection and Response ou cross-layered Detection and Response, est quant à lui une version plus complète de l’EDR, qui va surveiller également les actions réseaux notamment les mails, le Cloud et ainsi fournir une visibilité et une corrélation plus grandes entre toutes ces infrastructures.

En conclusion, est-ce que l’Endpoint Detection & Response est fait pour votre entreprise ?

Une solution EDR peut permettre de surveiller et protéger de manière efficace le SI d’une entreprise contre des menaces évoluées mais ne reste pas l’outil magique pour un client qui devra prévoir les moyens humains, techniques et/ou financiers pour pouvoir opérer la solution. Un bon EPP bien configuré et bien maîtrisé pour une entreprise qui n’est pas assujettie à des attaques complexes est déjà un bon premier rempart face aux cyber attaques.

Besoin d’aide ?

Nous accompagnons les plus grandes organisations en conseil en cybersécurité durant les phases en amont de cadrage et d’aide au choix de la solution ainsi que pour prendre en charge la mise en œuvre, la tierce maintenance évolutive et la gestion opérationnelle d’un centre de service managé.

Spécialiste dans le domaine de la sécurité du système d’information et de la protection des données, nous proposons une expertise complète en couvrant vos besoins de prévention, de pilotage de la maîtrise des risques et d’audit de sécurité/pentest. Nous vous invitons à consulter la page de l’offre Data protection.

Laisser un commentaire

Autres articles susceptibles de vous intéresser