Solution EDR : engouement d’un temps ou nouveau bouclier de sécurité à adopter ?

EDR ou Endpoint Detection and Response
avril 2022
Laurent AUZÉLY
L'article vous plait ? Partagez le

Vous en entendez de plus en plus parler et les offres sur le marché commencent à se multiplier. L’EDR apparaît aujourd’hui comme une des solutions les plus performantes en termes de détection de protection et d’analyse en cas de cyber-attaques et représente la couche la plus récente et la plus avancée de protection des postes de travail…  

Un tour d’horizon s’impose pour comprendre l’arrivée de l’EDR 

Le saviez- vous, la crise sanitaire a fait des heureux !? Clairement, ce fut une véritable aubaine pour les cybercriminels. Ce contexte difficile pour les entreprises a engendré de grandes transformations dans les habitudes de travail : explosion du télétravail, investissement sans précédent dans les outils collaboratifs tels que Microsoft 365, accroissement de la mobilité des collaborateurs, accélération de la décentralisation du système d’information… autant de changements plutôt positifs finalement me diriez-vous ! Oui mais… pour la cybercriminalité, c’est l’ouverture des champs des possibles.

Recrudescence de la cybercriminalité : le rapport avec l’EDR

Cybercriminalité, cyber-risque, cyber malveillance, piratage informatique et même cyber-guerre… quel que soit le nom que vous lui donné, son éclat a été certain depuis 2020. Selon l’ANSSI, nous avons connu en France une augmentation de 255% en signalements de ransomwares, un boom offensif lancé sur les organismes publics ou privés.... Les entreprises de services numériques, les collectivités territoriales ainsi que les secteurs de l’éducation et de la santé ont été particulièrement visés.

Cybercriminalité en augmentatio constante

Ce qu’il faut comprendre, les cyber-attaques se sont :

  • multipliées en nombre,
  • diversifiées en technique et
  • intensifiées en dangerosité avec parfois des conséquences dramatiques pour les entreprises, qui ont pour certaines, tout perdu ! 

Une prise de conscience est notable et le sujet est enfin pris très au sérieux par l’ensemble des entreprises françaises.
Terminaux (ordinateur, portable, tablette, smartphone), réseaux, serveurs, protection des données, sensibilisation des utilisateurs… toutes ces questions sont désormais au cœur des préoccupations des dirigeants et décideurs IT et elles concernent toutes les tailles d’entreprise. 

Remise en question de votre système de protection : l’efficacité de l’EPP (« antivirus »)

EDR - Antivirus

Votre directeur des systèmes d’information (DSI) ou votre responsable sécurité du système d’information (RSSI) ont mis en place dans votre entreprise des solutions performantes au niveau du Endpoint pour ainsi être en mesure d’identifier efficacement et rapidement une attaque. On parle alors d’EPP (Endpoint Protection Platform), autrement dit de plateforme de protection des terminaux. 

Protéger ses Endpoints permet de stopper de manière automatique et à moindre coût les attaques malveillantes en masse. On parle alors de malware, spam ou escroquerie en ligne ou encore de ransomware. C’est aujourd’hui une solution antivirale dite traditionnelle qui peut donc être remise en question par les entreprises touchées.

Limitée par sa technologie, qui vise à bloquer ce que l’on connait, elle peut malheureusement s’avérer inefficace pour pallier au 10% des « nouvelles » cyber-attaques de plus en plus variées sur le marché comme vu plus haut. Votre solution EPP ne pourra généralement pas offrir de réponse pertinente à ce type d’incident. 

Parlons peu, parlons bien : Qu’entendons-nous concrètement par EDR ? 

Solution de sécurité pour les points terminaux, l’EDR ou Endpoint Detection and Response est une technologie logicielle de dernière génération qui détecte et agit sur les menaces de sécurité informatique. Émergent actuellement sur le marché de la sécurité informatique, l’EDR  n’est pour autant pas un terme nouveau ou inconnu. Il fut utilisé la première fois en juillet 2013 par Anton Chuvakin, « spécialiste de la sécurité informatique, actuellement directeur de recherche chez Gartner pour l'équipe des professionnels de la sécurité et des stratégies de gestion des risques ». 

Intelligence artificielle, apprentissage automatique, analyse comportementale… les fonctionnalités de votre solution EDR vont compléter votre solution EPP déjà en place pour tous vos équipements numériques. L’EDR peut donc stopper les menaces jugées plus avancées comme l’ingénierie sociale et le phishing, les malwares sans fichier ou encore les vulnérabilités 0-day.

Vous l’aurez compris et c’est important, l’EDR ne se substitue pas à l’EPP, au contraire, il y a une vraie complémentarité des deux et c’est bien ce binôme qui créera une solution de protection pointue et imparable ! La plupart du temps les éditeurs de solutions de sécurité regroupent EDR et EPP dans le même produit.

EDR - Bouclier défensif du système d'information

Véritable barrière protectrice, l’EPP peut correspondre à la première ligne de défense de votre système avec une prévention passive des menaces entrantes, il protège en amont. C’est le bouclier défensif !
L’EDR, quant à lui, est la deuxième ligne de frappe mais qui agit activement en temps réel, capable de prévention proactive. C’est l’arme offensive ! En clair, l’EDR va atténuer l’attaque malveillante impondérable avant qu’elle ne cause des dommages et dégâts importants voir irrécupérables pour votre entreprise en isolant le terminal ou en effectuant des actions prédéfinies. 

Bien que plus efficaces, les EDR nécessitent aussi un suivi plus considérable pour l’équipe informatique. Ainsi, lors des déploiements d’un EDR, le nombre de faux positifs va être important car la solution doit « apprendre » les comportements des applications de votre SI, vous devrez alors déterminer ce qui relève d’une menace réelle et ce qui s’avère le comportement normal d’une application. Par la suite, à l’issue de cette phase de découverte, des actions de remédiation devront être engagées pour garantir la sécurité et sortir les terminaux de leur statut d’isolation. Cette nouvelle charge de travail pour les équipes IT n’est pas toujours « absorbable » dans les PME.

Retenons l’essentiel : Pourquoi équiper son entreprise d’un EDR ? 

Au moment où vous lisez ces mots, savez-vous si un hacker informatique est en action sur votre réseau ? Là, maintenant ? Comment savoir ? Comment en être sûr ? Le rôle et les missions du responsable informatique sont nombreux et il est parfois difficile de surveiller tous les éléments de son système d’information, nous en sommes parfaitement conscients chez Axess. Comment surveiller l’ensemble du réseau 24h/24h, 7j/7 surtout pour une petite entreprise qui n’a pas forcément les compétences ou les outils en interne. 

En tant que décideur IT de votre PME, PMI ou ETI, faites le choix de la tranquillité d’esprit, de la confiance et de la sécurité de votre système d’information. Optez pour une solution EDR externalisée en vous appuyant sur l’expertise d’un opérateur de services de sécurité qui maîtrise les EDR et qui se chargera du déploiement, de la supervision des incidents au quotidien, de l’analyse et de la remédiation en cas d’attaque. 

Le pôle Cloud Computing d’Axess MSP (Managed Service Provider) infogère au quotidien le SI de ses clients PME et ETI, ce qui lui a permis de développer une expertise autour de la sécurité des SI. Axess vous fait maintenant bénéficier de son expertise en vous proposant une palette complète de services de sécurité managée du poste de travail. Axess, partenaire de longue date WithSecure (anciennement F-Secure), s’appuie sur les solutions EDR de cet éditeur européen. 

En tant que Directeur des Opérations du Pôle Cloud Computing d’Axess, Laurent AUZÉLY organise l’activité des équipes services d’Axess. Son rôle : oeuvrer au respect des engagements de disponibilité et d’efficience pris par Axess dans la gestion des SI de ses clients.

Laurent AUZELY - Directeur des Opérations Axess
Laurent AUZÉLY
Directeur des Opérations Cloud Computing