Hacktu Magazine Le magazine de la cybersécurité
Les solutions EDR (détection et réponse aux incidents sur les terminaux) favorisent une visibilité continue et en temps réel sur l’activité des terminaux, et proposent des capacités de réponse automatisées, face au besoin de protection des réseaux de plus en plus complexes dans les entreprises. En effet, elles sont capables de collecter les données d’activité des terminaux connectés au réseau en surveillant les indicateurs de menaces en continu, analyser les données collectées et identifier des modèles de menace. De plus, elles sont dotées de la capacité de prendre des actions de manière autonome quand des éléments menaçants sont identifiés et fournissent des outils d’investigation pour aider à enquêter sur les menaces identifiées et rechercher les activités suspectes.
La forte distribution et la complexité des réseaux d’aujourd’hui élargissent la surface d’attaque des systèmes d’information des entreprises et obligent les équipes de sécurité à trouver un juste équilibre entre restriction et autorisation de connectivité avec les terminaux.
Avec la généralisation du BYOD et le développement de l’IoT, les terminaux, ne se limitent plus exclusivement aux composants réseau et autres appareils de l’entreprise, mais aussi les ordinateurs portables personnels, les appareils mobiles, les tablettes, les technologies de l’Internet les objets connectés, les ressources de cloud computing, les VPN qui permettent l’accès à distance, les intégrations tierces, etc.
Dans une certaine mesure les EDR permettent aux équipes de sécurité de trouver le bon équilibre entre flexibilité, confort d’usage et protection des données du système d’information.
QUELLES SONT LES PRINCIPALES FONCTIONNALITES D’UN EDR ?
- Détection des menaces
L’EDR est capable d’analyser les terminaux en continu, afin d’identifier identifier les menaces. Dans la pratique le terminal dispose d’un antivirus et d’autres mesures de sécurité implémentées conformément à la politique de sécurité. Mais le rôle de l’EDR consistera à rajouter une couche de sécurité supplémentaire en essayant de détecter les menaces qui sont passés les premières lignes de sécurité implémentées (antivirus par exemple). Cette association permet de renforcer la protection des terminaux contre les menaces avancées.
- Blocage et confinement comportementaux
Tout comportement inhabituel sur le terminal est consigné et marqué, même s’il ne correspond pas à aucun schéma de menace connu. Lorsqu’il identifie un comportement malveillant suspecté, il peut bloquer les processus ou fichiers affectés, les mettre en quarantaine et, si nécessaire, contenir l’ensemble du réseau en l’isolant du réseau.
- Surveillance et alerte
L’EDR surveille en permanence les terminaux et alerte les équipes de sécurité lorsqu’il découvre une activité malveillante. Il fournit des informations d’investigation approfondies à partir du point de terminaison pour aider les analystes de sécurité à enquêter sur une alerte. Si les analystes confirment un incident de sécurité, EDR leur donne un accès direct au terminal pour mener à bien leur enquête et prendre des mesures immédiates pour contenir la menace.
- Listes blanches d’applications et de navigateurs
L’EDR peut être configuré pour bloquer les applications ou sites Web malveillants connus et empêcher le terminal de les utiliser. À l’inverse, les administrateurs peuvent ajouter des applications sûres à la liste blanche s’ils constatent que ces applications génèrent un grand nombre d’alertes faussement positives.
- Réponse automatisée aux menaces
Une capacité importante d’un EDR est de répondre automatiquement aux menaces sur un terminal. Ceci est important car les attaques ne se produisent pas toujours pendant les heures légales de travail, et même si elles se produisent, il faut du temps aux équipes de sécurité pour identifier et enquêter sur une alerte. Pendant ce temps, EDR peut agir pour contenir immédiatement une menace.
La mise en place d’EDR apporte incontestablement une couche de sécurité cruciale pour la protection des terminaux. Cependant, cela implique une parfaite organisation de la sécurité de l’information tant sur les aspects de politiques, de maitrise des risques et développement de la culture globale de la sécurité numérique au sein de l’entreprise. En effet, la configuration des règles et paramètres de comportement de l’EDR doivent être alignés de manière minutieuse avec le contexte, la culture et les enjeux de l’entreprises. Une mauvaise maitrise des risques peut avoir un impact considérable sur les performances des EDR.
Par ailleurs, la mise en place d’EDR peut créer chez l’utilisateur le sentiment d’être déchargé de l’obligation de veiller plus individuellement sur la sécurité des terminaux. Aussi de trop nombreuses alertes déclenchées par des « faux » comportements dangereux, peut biaiser la perception des équipes de sécurité.
En somme, il s’avère important de garder l’humain au cœur du système en réaffirmant le rôle capital de l’utilisateur final et intégrer l’EDR à des solutions telles que la gestion des correctifs, la protection DNS, les pare-feu et le chiffrement, etc.
