Aux débuts de l’informatique et à partir de 1988 l’antivirus était avantageux pour la protection de votre système informatique. Depuis plusieurs années, il n’est plus suffisant pour protéger votre organisation. En réponse à ce problème, en 2013 la technologie de l’EDR (Endpoint Detection and Response) émerge. Aujourd’hui, que ce soit dans notre vie personnelle ou professionnelle, nous sommes de plus en plus interconnectés via des applications SaaS, le cloud et différents supports numériques : ordinateur portable, téléphone portable, tablette, objets connectés, etc. La création de l’outil XDR depuis 2020 permet de répondre aux nouvelles problématiques de notre époque. Il comprend la menace en analysant tout l’environnement autour de lui : l’imprimante, le téléphone, etc. qui sont liés au réseau (Wifi, câbles, filaires etc.).

Les menaces cyber évoluent continuellement et deviennent de plus en plus sophistiquées :

  • Programmes malveillants
  • Hameçonnage
  • Attaque de l’homme du milieu
  • Attaque par déni de service (DDoS)
  • Injection SQL
  • Faille zero day
  • Exfiltration DNS
  • Etc.

 

Pourquoi mettre en place un XDR ?

 

Cinq raisons pour les RSSI  et DSI d’adopter l’XDR :

  • Posséder une base EDR, NDR, EPP et UEDA solide
  • Maximiser la valeur de vos investissements existants en matière de sécurité
  • Augmenter l’efficacité de votre équipe de sécurité
  • Automatiser la réponse aux incidents pour contenir les attaques plus rapidement
  • Obtenir des résultats mesurables

5 raisons d'adopter l'XDR

La mise en place d’un XDR permet d’améliorer l’efficacité de votre sécurité informatique. Grâce à la technologie XDR (eXtended Detection and Response), le système informatique de votre entreprise bénéficie de la meilleure protection contre les menaces des pirates (ransomware, logiciel malveillant, malwares, cheval de Troie, etc.). Cette solution est adaptée aux environnements numériques actuels qui sont de plus en plus distribués (PC, ordinateur portable, téléphone portable, etc.). Tous vos points de terminaisons (serveurs, postes de travail, machines virtuelles etc.) sont protégés. Ce logiciel permet une extension complète de la visibilité des menaces, de détection des incidents et des capacités de réponse. Il vous permet de détecter en temps réel les cyberattaques.

« XDR est une catégorie de solutions de détection, d’investigation et de réponse aux menaces qui fonctionnent ensemble sur tous les vecteurs de menaces dans l’infrastructure d’une entreprise, y compris le réseau, les terminaux, le cloud et les identités, plutôt que sur un seul aspect de l’infrastructure. Étant directement intégrés dans l’architecture, les outils XDR sont conçus pour fournir des informations sur les menaces et des recommandations qui optimisent le fonctionnement des équipes de sécurité. »

Définition selon Palo Alto

Autrement-dit, c’est un outil qui aide l’équipe SOC (Security operations center) à mieux visualiser les avalanches quotidiennes d’alertes et à avoir un processus d’investigation moins complexes. Il permet de bloquer au plus près et plus tôt la menace (réponse à incident) et détecter des attaques qui n’existent pas encore (gestion des vulnérabilités). Il est aussi capable d’automatiser la gestion des incidents et industrialiser la réponse à la menace (via les API aussi). C’est un gain réel sur l'automatisation de la réponse aux incidents de sécurité.

Les points forts de l’XDR :

  • Une prévention automatique des menaces
  • Une détection efficace et précise
  • Une investigation rapide et simplifiée sur un incident détecté
  • Une réponse intelligente complète (automatique ou manuelle) grâce au machine learning

A savoir : Même si la majorité des cybermenaces sont détectés par le XDR, il est possible que certains signaux faibles lui échappent. Par exemple des menaces internes. C’est pourquoi, nous vous recommandons de coupler l’outil XDR avec le SIEM.

Notre solution pour la mise en place d’un XDR

Palo Alto

Notre équipe SOC utilise le Cortex de Palo Alto. Cette solution intègre les fonctionnalités suivantes :

  • NDR :  fonctionnalités de détection et de réponse sur le réseau
  • EDR : Détection et de réponse sur les terminaux
  • EPP : Protection des terminaux
  • UEBA : Analyse du comportement des utilisateurs et des entités

L’avantage du Cortex XDR est de proposer plusieurs solutions de sécurité dans un seul produit.

Notre offre est constituée d’une console manager XDR, gérée par les équipes SOC de Blue. Nous vous accompagnons pour l’installation du Cortex XDR sur vos machines. De plus, on définit avec vous les politiques de sécurité informatique comme ne pas accepter les clés USB sur les ordinateurs. On peut aussi créer des règles « sur-mesure » pour s’adapter à votre entreprise.

Vous bénéficiez de notre expertise en cybersécurité.

De qui est composée notre équipe SOC ?

  • Analystes de niveau 1 : Triage et traitement de l’incident de sécurité
  • Analystes de niveau 2 : Investigation
  • Analystes de niveau 3 et supérieurs : Chasse aux menaces

A savoir : Dans la vie d’une solution XDR, il y a de l’amélioration continue. Nos équipes vérifient régulièrement les règles de détection de sécurité pour qu’elles restent en adéquation avec la vie de votre entreprise.

Comment fonctionne un XDR ?

L’XDR fonctionne de deux manières :

  • S’il connaît déjà le malware, il le bloque à l’avance.
  • Il bloque la menace lors des actions suspicieuses ou malveillantes du fichier.

Le XDR va détecter la menace en corrélant des données hétérogènes. Par exemple, il peut détecter un comportement anormal de la part d’un utilisateur. Ensuite, il va automatiquement remédier, c’est-à-dire agir pour isoler la menace de manière proactive. Vous avez aussi la possibilité d’agir manuellement depuis la console.

Quelles différences entre l’XDR et l’EDR ?

L’EDR protège les terminaux informatiques :  il analyse les usages des terminaux en surveillant l’exploitation de failles de sécurité et les comportements anormaux. La détection de ces menaces est permise grâce à l’analyse comportementale qui étudie les événements systèmes du terminal afin de détecter des comportements déviants.

L’XDR est l’évolution naturelle de l’EDR (qui est lui-même l’évolution de l’antivirus). Face aux cybermenaces toujours plus ingénieuses, nous avons besoin d’outils plus évolués pour contrer les attaques informatiques.

L’XDR fait passer la détection et la réponse à un niveau supérieur que l’EDR. Il offre une plus grande couverture en incorporant des informations de télémétrie (réseau, mail, applications, cloud, etc.) et d’événements provenant d’un ensemble beaucoup plus large de sources. Il va au-delà des endpoints (points de terminaison) pour inclure des données provenant de capteurs et de sources au sein du réseau. Alors que l’EDR se concentre uniquement sur le terminal, ce qui est trop juste aujourd’hui au vu de l’environnement digital et la multiplication des appareils.

L’XDR va pouvoir détecter les menaces plus complexes. Les outils XDR offrent une plateforme de sécurité unifiée pour détecter les menaces sur les terminaux, serveurs, objets connectés, mails, applications cloud, intégrant des outils de réponse aux incidents. Il collecte davantage de données afin de fournir une image plus complète des menaces et une meilleure visibilité.

Découvrez nos autres solutions pour protéger votre système informatique :

La complexité du réseau ne cesse d’augmenter et le coût des violations des données aussi. C’est pourquoi, Blue vous propose la solution Blue cyber.

Security Operations Centers (SOC)

Au niveau de l’organisation : le SOC (Security Operations Center) C’est notre équipe de supervision du système d’information ayant pour but de détecter les attaques et œuvrer dans leur remédiation.

Security Information Event Management (SIEM)

Un outil complémentaire (et indispensable) à l’XDR : le SIEM (Security Information Event Management. Nous utilisons le QRadar d’IBM) qui est un outil clé du SOC. Il permet de centraliser et corréler les logs afin de générer des alertes de supervision et des rapports mettant en lumière le niveau de sécurité d’une entreprise. 

Nous recommandons le SIEM en complément de l’XDR car celui-ci reste un outil, il se contourne et ce n’est pas sécurisé à 100%. C’est pour cela qu’on le complète avec le SIEM.

Security Orchestration, Automation and Response (SOAR)

Un dernier outil utile pour protéger votre système informatique est le SOAR (Security Orchestration, Automation and Response. Le QRadar SOAR d’IBM est une solution d'orchestration de la sécurité, d'automatisation et de réponse.

 

Contactez-nous par mail
+33 (0)2 30 30 00 00 Afficher le numéro