Le monde de la cybersécurité regorge d’acronymes. De l’AV au EPP en passant par l’EDR et maintenant l’XDR, ces technologies reflètent la réalité du moment : les cybercriminels ne cessent d’intensifier et d’affiner leurs techniques et les défenseurs doivent impérativement adopter une approche de détection et de réponse aux incidents innovante s’ils veulent garder une, voire plusieurs longueurs d’avance.
Ces innovations répondent aux évolutions des menaces. Nous sommes passés d’un monde on-premise au périmètre de réseau gérable, à une infrastructure distribuée alimentée par le cloud – avec une montée en puissance du télétravail et des visioconférences (environ 5 milliards par mois) – qui rend encore plus complexe la sécurité des activités. En outre, comme le confirme la plupart des RSSI, le nombre de cyber-attaques et d’outils offensifs est en augmentation.
Les technologies de sécurité traditionnelles n’ont pas été conçues pour faire face au paysage complexe et en constante évolution des menaces actuelles. On constate, en effet, une importante augmentation des ransomwares, couplée à des violations de données et à des vols de propriété intellectuelle. Face à ces nombreuses alertes, les équipes du SOC sont mises à rude épreuve et la situation est aggravée par un manque de ressources évident….
Une nouvelle approche plus globale de la détection et réponse – qui ne se limite pas aux terminaux traditionnels mais inclut également la surface d’attaque accrue, comme le réseau et le cloud – est nécessaire. L’XDR a été conçu pour répondre à ces problématiques. Mais en quoi consiste exactement cette technologie, comment améliore-t-elle l’efficacité des équipes de sécurité et fait-elle reculer les hackers ?
Qu’est-ce que l’XDR ?
XDR, Extended Detection and Response, est le successeur intelligent de l’EDR, Endpoint Detection and Response. L’EDR, en particulier l’ActiveEDR, a apporté une visibilité et une réponse automatisée aux Endpoints mais le réseau actuel comporte beaucoup d’autres portes d’entrée pour les hackers, comme les mobiles, les dispositifs IoT ou les conteneurs et cloud workload (CWPP).
L’XDR s’étend au-delà du endpoint pour prendre des décisions basées sur des données provenant d’un plus grand nombre de produits et des mesures issues du courrier électronique, du réseau, de l’identité,…
Quels sont les avantages de l’XDR par rapport à l’EDR ?
L’XDR remplace la sécurité en silo et aide les organisations à relever les défis de la cybersécurité grâce à une visibilité et à un contrôle unifiés sur les terminaux, les réseaux et le cloud. Le XDR offre une détection et une réponse aux menaces plus rapide, plus approfondie et plus efficace que l’EDR.
L’XDR donne également une plus grande visibilité sur les menaces et les incidents qui n’auraient pas été traités auparavant et permet ainsi aux équipes de sécurité de remédier à la situation, de réduire tout impact supplémentaire et de minimiser l’impact de l’attaque.
Une attaque standard de ransomware s’introduit en général dans le réseau puis attaque le terminal via une messagerie. Le fait d’analyser chacun de ces éléments de manière indépendante désavantage les organisations. Le système XDR intègre la sécurité pour permettre d’autoriser, de bloquer, de supprimer l’accès, et plus encore, par le biais de règles personnalisées déterminées par l’utilisateur ou d’une logique intégrée au moteur.
Cette visibilité globale présente plusieurs avantages, notamment :
- une capacité accrue à détecter les attaques furtives
- un temps d’arrêt réduit
- une accélération de l’atténuation.
De plus, grâce à l’IA et à l’automatisation, l’XDR réduit la charge de travail des équipes de sécurité. Elle peut détecter de manière proactive et rapide des menaces sophistiquées, augmentant ainsi la productivité de l’équipe de sécurité ou du SOC et permet à l’organisation d’accroître considérablement son retour sur investissement.
En quoi l’XDR est-il différent du SIEM ?
Bien que les outils XDR et SIEM (Security Information and Event Management) collectent tous deux des données provenant de sources multiples, ils n’ont rien en commun. Contrairement à une plateforme XDR, les SIEM (comme les outils passifs EDR) n’identifient pas de tendances significatives, et ne fournissent pas de capacités de détection ou de réponse automatisées. En outre, pour être utiles, les SIEM nécessitent de nombreuses enquêtes et analyses manuelles.
Mais si une entreprise a déjà investi dans des outils SIEM, ils ne seront pas forcément inutiles car ils pourront alimenter directement le datalake de la plateforme XDR, exposant toutes les données collectées aux capacités d’IA et de machine learning.
Que faut-il attendre d’une bonne solution XDR ?
La première clé d’une solution XDR efficace est l’intégration. Elle doit se fondre dans le dispositif de sécurité existant, en utilisant des outils natifs avec de riches API. Le moteur doit pouvoir offrir une corrélation croisée, une prévention et une remédiation prête à l’emploi. En outre, il doit permettre aux utilisateurs de créer leurs propres règles personnalisées de détection et de réponse. Cependant, il faut se méfier des solutions qui peuvent n’être que d’anciens outils regroupés. Un XDR doit offrir une plate-forme unique qui permet d’élaborer facilement et rapidement une vue globale de l’entreprise.
Par ailleurs, l’automatisation soutenue par une IA avancée et des algorithmes de machine learning éprouvés est essentielle. Avant de choisir un fournisseur, il est important de savoir s’il a de l’expérience dans le développement de modèles d’IA, ou s’il est principalement connu pour ses technologies traditionnelles mais essaie d’évoluer vers cette nouvelle tendance ?
Enfin, la solution XDR doit être facile à maitriser, à entretenir, à configurer et à mettre à jour. L’un de ses principaux avantages est l’augmentation de la productivité de l’équipe de sécurité notamment grâce à la détection et à la réponse automatisées.
La cybersécurité est souvent assimilée à une course aux armements entre attaquants et défenseurs, mais cette course s’étend désormais au-delà du endpoint. Alors que les entreprises adoptent le travail à distance et l’infrastructure dans le cloud, développant ainsi la surface d’attaque, seule une plateforme intégrée peut fournir la visibilité et les défenses automatisées requises pour tous les actifs. En combinant la protection des terminaux, des réseaux et des applications, le système XDR peut permettre de gagner cette course grâce à une détection, un triage et une réponse améliorés.