Les terminaux (c’est-à-dire les ordinateurs portables, smartphones et autres appareils connectés que nous utilisons au quotidien) constituent une cible de choix pour les attaquants. Omniprésents et sujets aux vulnérabilités, ils sont aussi difficiles à défendre. En 2017, par exemple, l’attaque WannaCry aurait affecté plus de 230 000 terminaux à l’échelle de la planète. L’EDR (Endpoint Detection and Response) est une catégorie de solutions en plein essor qui vise à fournir des capacités plus poussées que les solutions classiques d’antivirus et d’antimalware. Cet article explique en quoi consiste l’EDR et pourquoi elle est importante ; il décrit le fonctionnement des solutions de sécurité EDR et examine les bonnes pratiques à respecter avec de tels outils.
L’EDR, qu’est-ce que c’est ?
L’EDR (Endpoint Detection and Response) est une catégorie de solutions capable de détecter et contrer des activités suspectes sur les postes de travail, les ordinateurs portables et les appareils mobiles d’une organisation. Utilisé pour la première fois en 2013 par Anton Chuvakin, analyste chez Gartner, ce terme décrit des plateformes émergentes qui permettent d’examiner les activités suspectes de manière plus poussée. L’EDR se distingue également des solutions de sécurité telles que les pare-feu, car elle applique la protection sur les terminaux eux-mêmes, plutôt que sur le périmètre du réseau.
Pourquoi est-ce important ?
Entre les menaces persistantes avancées (APT) et les malwares sans fichier, les organisations sont aujourd’hui confrontées à un éventail de cybermenaces que les produits de sécurité hérités ne savent pas détecter. Désormais, les attaquants savent très bien comment contourner les dispositifs de protection par signature, tels que les logiciels antivirus et les systèmes de détection des intrusions. Chaque terminal connecté au réseau constitue un potentiel vecteur d’attaque pour les cybermenaces. Et avec la généralisation des appareils mobiles et du travail à distance, l’efficacité des défenses périmétriques, comme le pare-feu, s’amenuise.
Les solutions de sécurité EDR associent de vastes quantités de données capturées sur chaque terminal à une analyse contextuelle pour détecter les menaces furtives qui, auparavant, seraient passées inaperçues. La plupart des solutions EDR s’appuient sur la définition de points de référence et sur l’analyse comportementale afin de repérer des activités potentiellement suspectes. Beaucoup offrent également une capacité de réponse en temps réel aux événements.
Contrairement à d’autres solutions, l’intérêt de l’EDR se manifeste le plus souvent pendant l’incident et après. Grâce aux informations hautement détaillées que fournissent les plateformes EDR, les équipes de sécurité peuvent déterminer comment une menace a réussi à échapper aux défenses existantes. Les alertes en temps réel qu’elles fournissent peuvent aider l’organisation à repérer les premiers stades d’une attaque, et à agir pour éviter une fuite de données d’envergure. Si une telle fuite se produit tout de même, les plateformes EDR fournissent des fonctionnalités qui facilitent grandement les investigations et les mesures de remédiation.