23 Mai. 23 Actualités

EDR (détection et réponse des terminaux)

 

Dans un environnement informatique en constante évolution, les organisations doivent se protéger constamment contre des menaces de plus en plus sophistiquées. Les terminaux (ordinateurs, téléphones, …) constituent une cible de choix pour les attaquants, cependant, ils sont difficiles à protéger de façon maximale. Cet article explique en quoi consiste les EDR et pourquoi cet outil est important, notamment pour la protection des terminaux.

 

1. Qu'est-ce qu'un EDR ?

C’est une solution de sécurité proactive qui détecte, analyse et répond aux menaces que peuvent rencontrer les terminaux (ordinateurs, téléphones, …). Contrairement aux autres solutions comme les antivirus, il utilise des technologies plus avancées qui lui permettent notamment : de l’analyse comportementale, analyse des journaux, réponses automatisées, … 

 

2. Comment fonctionne t-il ? Quelles sont ses caractéristiques ?

Pour une efficacité maximale, l’outil repose sur plusieurs points clés :

  • Collecte des données : collecte de façon continue les données transmises par les terminaux (fichiers systèmes, journaux d’évènements, …). Ces données sont analysées par l’EDR afin d’identifier des comportements qui pourraient être anormaux et/ou suspects.
  • Analyse comportementale : utilisation de l’analyse comportementale pour repérer les menaces, les logiciels malveillants, … Ces analyses passent par des algorithmes qui traitent les données remontées par les terminaux, les modifications suspectes dans les paramètres systèmes, des connexions réseau suspectes, …
  • Corrélation des événements : rassemblement des différents événements qu’il a en sa possession afin de relier les différentes activités qui pourraient être suspectes et identifier les schémas d’attaques. C’est-à-dire : croiser les données collectées avec des informations contextuelles. En croisant ces différentes données, l’EDR peut donner une vision plus complète de la situation actuelle.
  • Réponses automatisées : C’est une de ses caractéristiques clés. Lorsqu’une activité suspecte est identifiée, il déclenche des actions (actions pré configurées) pour répondre directement aux menaces. Les actions mises en place peuvent être diverses : isolement d’un terminal, désactivation de certains processus, suppression de fichiers suspects, … Cette caractéristique permet de réduire le temps de réaction face) une menace et donc de réduire les impacts de celle-ci.
  • Investigation : L’outil fournit un service d’investigation pour aider les équipes de sécurité à appréhender l’étendue et l’impact des menaces. Les intervenants en interne peuvent accès aux journaux détaillés, captures d’écrans, registre d’activité, … Cette visibilité que donne l’EDR aux équipes facilite l’analyse post-incident et permet aux sociétés d’analyser les carences de leur système et mettre en place des actions pour les combler.

3. Quelles sont les différences avec un anti-virus ?

Les antivirus sont des logiciels qui servent à protéger les ordinateurs des virus contrairement aux EDR qui sont des solutions qui protègent les outils de tout type d’attaque (pas uniquement des virus).

L’antivirus s’appuie généralement sur la méthode de signature de base de données. C’est-à-dire qu’il s’appuie sur un registre de virus déjà connu pour détecter une infection. Cela signifie que si lors d’une attaque, votre antivirus n’est pas à jour, ou bien que la faille de sécurité n’est pas encore connue, celle-ci ne sera pas détectée.

 

Contrairement à l’antivirus, il fonctionne en analysant les flux de données, les processus, … Si jamais une anomalie est repérée, une alerte est directement lancée par l’EDR.

 
Ce qu’il faut prendre en compte avant de choisir une solution EDR, c’est que la solution nécessite des compétences humaines spécifiques. Effectivement, ce type de solutions peuvent générer des centaines d’alertes par jours. Afin de réellement tirer avantage de cette solution, les organisations doivent analyser ces alertes afin de compléter les analyses du logiciel.
 
En conclusion, l’EDR est une technologie de sécurité avancée qui permet de détecter, d’analyser et de répondre aux potentielles menaces. Grâce à son fonctionnement, l’EDR offre une protection proactive contre les attaques. Que ce soit pour la détection de logiciels malveillants, l’investigation des incidents, la réponse à ceux-ci, … L’EDR se positionne comme un outil essentiel dans la sécurité informatique des organisations.