EDR : Quel rôle dans votre cybersécurité ?

11/10/2024

7 min.

Démocratisé depuis plusieurs années, l’EDR (Endpoint Detection & Response) est en passe de devenir un classique au sein des entreprises. Car ces dernières ont bien compris l’importance de bien sécuriser leurs postes de travail et leurs serveurs.
Les usages numériques en entreprises ont fondamentalement changé. Les évolutions des méthodes de travail ont créé de nouveaux besoins. Télétravail, Cloud, applications… alors que la productivité bénéficie à taux plein de la transformation digitale, ces nouvelles portes d’entrées vers le S.I. créent aussi des vecteurs potentiels de menaces supplémentaires. Il est donc naturel de vouloir surveiller et protéger cette nouvelle surface d’attaque.
Déclinaison directe des solutions antivirales, l’EDR permet de surveiller à 360° les postes de travail et serveurs, les fichiers, communications réseaux, configurations, etc.

Endpoint Detection & Response : points différenciants et limites

L’EDR offre une large couverture de la surface d’attaque. Mais il dispose surtout d’évolutions et de fonctionnalités singulières.

Les évolutions notoires :

Déploiement d’un agent : Une solution EDR peut s’installer sur un nombre d’OS et de machines très variés. Matérialisé par un agent de sécurité qui est actif en permanence, la technologie permets de surveiller toutes les actions effectuées sur l’endpoint concerné.
Ouverture sur l’écosystème : Il existe une pluralité de technologies, privées ou open source. Pour les faire bien communiquer ensemble, il faut qu’elles soient ouvertes à la transmission de données (à l’aide d’API notamment). L’EDR ne déroge pas à la règle en rendant ses données disponibles à l’envoi dans des solutions SIEM, SOAR, etc.
Contextualisation : L’Endpoint Detection & Response apporte une couche de contexte sur chaque alerte de sécurité. Il permet de suivre tout le processus de l’attaque sur le poste concerné, et donc de retracer le parcours de l’attaquant a posteriori.

Les limites de l’EPP/EDR

Même si la surveillance d’un EDR est étendue à une grande partie du S.I., il reste aveugle dans certains cas précis.
Si l’agent n’est pas configurable sur un terminal, il restera dans l’ombre aux yeux de l’EDR. Il pourra néanmoins être supervisé à l’aide d’autres outils, comme le Network Detection & Response (NDR).
Un cas bien concret est celui des machines OT, des équipements IoT, du matériel médical, des imprimantes, etc. qui peuvent bénéficier d’une solution NDR. Ces périphériques traitent de la donnée et sont souvent essentiels au fonctionnement d’une entreprise, notamment dans des secteurs aussi sensibles que ceux de la santé et de l’industrie. Si la machine dispose d’une IP et échange des données réseau, alors le NDR est une solution adéquate pour sa sécurité.

Un EDR pour la réponse à incident

Après avoir évoqué les capacités de détection, abordons plus en détails la lettre « R » contenue dans l’acronyme. La remédiation est un aspect important de cette technologie.
De plus, en cas d’alerte, avérée ou non, il est possible de retracer simplement l’origine de l’attaque.

Remédiation automatique

Selon votre degré de maturité et votre infrastructure, vous pouvez vous appuyer sur des politiques de sécurité déjà pré-faites ou bien les personnaliser. Les règles de détection sont mises à jour régulièrement par les analystes et équipes CTI des éditeurs afin d’inclure les dernières CVE, malwares, etc.
Il est possible d’avoir plus de granularité en définissant des scénarios personnalisés. L’éditeur SENTINELONE par exemple, offre la possibilité au sein de son EDR de créer des « STAR rules ». Ces règles permettent de déployer à grande échelle, des scénarios de traitement d’alertes. Elles sont particulièrement pertinentes lors de la découverte d’une nouvelle méthode d’attaque ou pour trier des faux positifs.
Le tri en amont permet aussi de réduire la charge envoyée dans un SIEM ou un SOAR, et donc de réduire le coût et le travail fourni par les analystes, qui peuvent en conséquence se focaliser sur les alertes avérées.

Investigation simplifiée

En cas de menace avérée, l’EDR permet de retracer tout le parcours de cette dernière : source d’origine, déplacement sur le S.I., action d’un utilisateur, etc.
Ces informations sont utiles pour mieux comprendre le cheminement des attaquants, et donc, renforcer les portes d’entrées qui sont vulnérables.
La journalisation est une recommandation de la CNIL et est également mentionnée dans le Règlement Général sur la Protection des Données (RGPD) dans les articles 5.1 et 24.1. Dans le cas d’une attaque avérée, il faut, dans la mesure du possible, garder toutes les traces de l’attaque. Cela est très utile à l’ANSSI ou une équipe CSIRT afin d’aider la victime d’une cyberattaque à revenir à la normale et restaurer du mieux possible ses données.

Comment gérer ce flux d’informations ?

Une solution Endpoint Detection & Response peut fonctionner en autonomie. Si la configuration est adaptée, elle offre une première de couche de protection. Mais est-ce suffisant ?
Avoir un regard humain est important pour qualifier correctement certaines alertes, surtout quand on sait que le 0% de faux positifs n’existe pas.
Disposer d’une équipe qualifiée et correctement formée a la réputation d’être un luxe que beaucoup entreprises ne peuvent pas s’offrir. Cela reste une réalité dans la mesure où avoir une équipe d’analystes SOC dédiée est un centre de couts conséquent. Au-delà des compétences, il faut tenir compte des technologies de cybersécurité nécessaires et à déployer. Ces solutions évoluant constamment, il est par ailleurs important de prévoir des formations régulières pour que les analystes restent au courant des nouveautés.
Ces problématiques de moyens peuvent être résolues en faisant appel à un prestataire de service qui met à disposition des entreprises un SOC managé.

Orientez-vous vers un SOC managé.

Solution pour les entreprises qui n’ont pas forcément les infrastructures en interne pour construire une équipe d’analystes SOC (Security Operations Center), le SOC managé présente un nombre d’avantages non-négligeables.
En vous appuyant sur une équipe externalisée, la surveillance de toutes vos ressources est assurée en 24/7. Postes de travail, serveurs, réseaux, applications cloud… Les pirates peuvent cibler n’importe quelle porte d’entrée de votre S.I.. Il convient donc de surveiller à 360° toute votre infrastructure informatique.
Bien que l’automatisation soit au cœur du SOC, il est parfois préférable de faire appel à un analyste pour étudier une alerte et établir un diagnostic plus précis. Cette approche personnalisée permet d’être encore plus fin dans la détection et la pertinence des alertes. Par exemple en cas d’activité suspicieuse, vous serez directement alerté par votre prestataire de service afin de clarifier si le comportement est normal ou non.
Dans une démarche d’amélioration continue, les règles de détection sont constamment mises à jour, par l’éditeur ou votre partenaire MSSP. Que vous ayez 10 ou 10 000 assets, vous bénéficiez d’un même niveau de qualité en matière de protection, que toutes les entreprises clientes.

Chez SNS SECURITY, le SOC managé est au centre de nos préoccupations.

Nous avons ajouté notre première offre SOC au catalogue en 2017 avec notre partenaire éditeur SENTINELONE. 7 ans plus tard, nous sommes Platinium Partner de l’éditeur et hautement certifié sur leur technologie. Avec un programme d’accompagnement dédié nommé [S]SENTINEL, nous proposons à nos clients de manager leur EDR en surveillant 24h/24, 7j/7 leur terminaux et les potentielles menaces.
Depuis la création de la BU, notre équipe SOC a bien grandi. Témoin de notre croissance, nous venons de fêter l’arrivée de notre 35ème analyste SOC.
Pour en savoir plus sur notre équipe SOC, découvrez-en davantage sur les chiffres clé, l’évolution et la roadmap 2025 dans notre webinar dédié.

Découvrez comment exploiter un EDR à 100%.

Que vous ayez déjà une solution Endpoint Detection & Response déployée ou êtes en cours d’élaboration d’un projet, découvrez-en davantage sur les étapes à suivre pour exploiter cette technologie à 100% et connaître les avantages à rejoindre l’équipe SOC SNS SECURITY. Revivez notre session webinar inédite où nous étions en compagnie de notre partenaire SENTINELONE. Au programme :