Play Video

CYBERSÉCURITÉ

Solutions de détection et réponses étendues XDR

Déployez une solution XDR pour protéger votre entreprise : détecter les activités suspectes directement sur vos systèmes d’information. Découvrez les solutions Blue cyber.

NOS RÉFÉRENCES

Aux débuts de l’informatique et à partir de 1988 l’antivirus était avantageux pour la protection de votre système informatique. Depuis plusieurs années, il n’est plus suffisant pour protéger votre organisation. En réponse à ce problème, en 2013 la technologie de l’EDR (Endpoint Detection and Response) émerge. Aujourd’hui, que ce soit dans notre vie personnelle ou professionnelle, nous sommes de plus en plus interconnectés via des applications SaaS, le cloud et différents supports numériques : ordinateur portable, téléphone portable, tablette, objets connectés, etc. La création de l’outil XDR depuis 2020 permet de répondre aux nouvelles problématiques de notre époque. Il comprend la menace en analysant tout l’environnement autour de lui : l’imprimante, le téléphone, etc. qui sont liés au réseau (Wifi, câbles, filaires etc.).

Les menaces cyber évoluent continuellement et deviennent plus sophistiquées :

PROGRAMMES MALVEILLANTS

PROGRAMMES MALVEILLANTS

HAMMEÇONNAGE

HAMMEÇONNAGE

ATTAQUE DE L'HOMME DU MILIEU

ATTAQUE DE L'HOMME DU MILIEU

ATTAQUE PAR DENIS DE SERVICE (DDOS)

ATTAQUE PAR DENIS DE SERVICE (DDoS)

INJECTION SQL

INJECTION SQL

FAILLE ZERO DAY

FAILLE ZERO DAY

EXFILTRATION DNS

EXFILTRATION DNS

ETC.

ETC.

Pourquoi mettre en place un XDR ?

La mise en place d’un XDR permet d’améliorer l’efficacité de votre sécurité informatique. Grâce à la technologie XDR (eXtended Detection and Response), le système informatique de votre entreprise bénéficie de la meilleure protection contre les menaces des pirates (ransomware, logiciel malveillant, malwares, cheval de Troie, etc.). Cette solution est adaptée aux environnements numériques actuels qui sont de plus en plus distribués (PC, ordinateur portable, téléphone portable, etc.). Tous vos points de terminaisons (serveurs, postes de travail, machines virtuelles etc.) sont protégés. Ce logiciel permet une extension complète de la visibilité des menaces, de détection des incidents et des capacités de réponse. Il vous permet de détecter en temps réel les cyberattaques.

Les points forts de l'XDR

« XDR est une catégorie de solutions de détection, d’investigation et de réponse aux menaces qui fonctionnent ensemble sur tous les vecteurs de menaces dans l’infrastructure d’une entreprise, y compris le réseau, les terminaux, le cloud et les identités, plutôt que sur un seul aspect de l’infrastructure. Étant directement intégrés dans l’architecture, les outils XDR sont conçus pour fournir des informations sur les menaces et des recommandations qui optimisent le fonctionnement des équipes de sécurité. »

Définition selon Palo Alto

Autrement-dit, c’est un outil qui aide l’équipe SOC (Security operations center) à mieux visualiser les avalanches quotidiennes d’alertes et à avoir un processus d’investigation moins complexes. Il permet de bloquer au plus près et plus tôt la menace (réponse à incident) et détecter des attaques qui n’existent pas encore (gestion des vulnérabilités). Il est aussi capable d’automatiser la gestion des incidents et industrialiser la réponse à la menace (via les API aussi). C’est un gain réel sur l’automatisation de la réponse aux incidents de sécurité.

Les points forts de l'XDR

  • Une prévention automatique des menaces

  • Une détection efficace et précise

  • Une investigation rapide et simplifiée sur un incident détecté

  • Une réponse intelligente complète (automatique ou manuelle) grâce au machine learning

Pourquoi mettre en place un XDR ?

A savoir : Même si la majorité des cybermenaces sont détectés par le XDR, il est possible que certains signaux faibles lui échappent. Par exemple des menaces internes. C’est pourquoi, nous vous recommandons de coupler l’outil XDR avec le SIEM.

Nos solutions pour la mise en place d’un XDR

Licences XDR

 

Notre équipe SOC utilise le Cortex de Palo Alto, Sentinel One et Carbone Black. Cette solution intègre les fonctionnalités suivantes :

  • EPP = EndPoint Protection = Anti-Virus nouvelle génération
  • EDR = EndPoint Detection And Response = Protection du réseau et réponses aux attaques
  • NDR = Network Detection And Response = Protection du réseau des terminaux et réponses
  • UBA ou UEBA = User Behavior Analytics = Analyse des comportements déviants

L’avantage du Cortex XDR est de proposer plusieurs solutions de sécurité dans un seul produit.

Notre offre est constituée d’une console manager XDR, gérée par les équipes SOC de Blue. Nous vous accompagnons pour l’installation du Cortex XDR sur vos machines. De plus, on définit avec vous les politiques de sécurité informatique comme ne pas accepter les clés USB sur les ordinateurs. On peut aussi créer des règles « sur-mesure » pour s’adapter à votre entreprise.

Vous bénéficiez de notre expertise en cybersécurité.

De qui est composée notre équipe SOC ?

  • Analystes de niveau 1 : Triage et traitement de l’incident de sécurité
  • Analystes de niveau 2 : Investigation
  • Analystes de niveau 3 et supérieurs : Chasse aux menaces

A savoir : Dans la vie d’une solution XDR, il y a de l’amélioration continue. Nos équipes vérifient régulièrement les règles de détection de sécurité pour qu’elles restent en adéquation avec la vie de votre entreprise.

Comment fonctionne un XDR ?

Comment fonctionne un XDR ?

L’XDR fonctionne de deux manières :

  • S’il connaît déjà le malware, il le bloque à l’avance.

  • Il bloque la menace lors des actions suspicieuses ou malveillantes du fichier.

Le XDR va détecter la menace en corrélant des données hétérogènes. Par exemple, il peut détecter un comportement anormal de la part d’un utilisateur. Ensuite, il va automatiquement remédier, c’est-à-dire agir pour isoler la menace de manière proactive. Vous avez aussi la possibilité d’agir manuellement depuis la console.

Quelles différences entre l’antivirus et l’XDR ?

Un antivirus détecte une menace qu’à partir de signature connue. L’XDR détecte les menaces et ses variants grâce à l’analyse comportementale.

Quelles différences entre l’XDR et le SIEM ?

Un XDR va apprendre (Machine learning) une fois l’attaque produite puis alerter d’un comportement anormal (réactif). Le SIEM/SOAR quand à lui détecte, analyse et alerte en amont d’une attaque qui va se produire en y apportant une réponse (Préventif et réactif).

Quelles différences entre l’XDR et l’EDR ?

L’EDR protège les terminaux informatiques : il analyse les usages des terminaux en surveillant l’exploitation de failles de sécurité et les comportements anormaux. La détection de ces menaces est permise grâce à l’analyse comportementale qui étudie les événements systèmes du terminal afin de détecter des comportements déviants.

L’XDR est l’évolution naturelle de l’EDR (qui est lui-même l’évolution de l’antivirus). Face aux cybermenaces toujours plus ingénieuses, nous avons besoin d’outils plus évolués pour contrer les attaques informatiques.

L’XDR fait passer la détection et la réponse à un niveau supérieur que l’EDR. Il offre une plus grande couverture en incorporant des informations de télémétrie (réseau, mail, applications, cloud, etc.) et d’événements provenant d’un ensemble beaucoup plus large de sources. Il va au-delà des endpoints (points de terminaison) pour inclure des données provenant de capteurs et de sources au sein du réseau. Alors que l’EDR se concentre uniquement sur le terminal, ce qui est trop juste aujourd’hui au vu de l’environnement digital et la multiplication des appareils.

L’XDR va pouvoir détecter les menaces plus complexes. Les outils XDR offrent une plateforme de sécurité unifiée pour détecter les menaces sur les terminaux, serveurs, objets connectés, mails, applications cloud, intégrant des outils de réponse aux incidents. Il collecte davantage de données afin de fournir une image plus complète des menaces et une meilleure visibilité.

Play Video

Découvrez nos autres solutions pour protéger votre système informatique

La complexité du réseau ne cesse d’augmenter et le coût des violations des données aussi. C’est pourquoi, Blue vous propose la solution Blue cyber.

Au niveau de l’organisation : le SOC (Security Operations Center) C’est notre équipe de supervision du système d’information ayant pour but de détecter les attaques et œuvrer dans leur remédiation.

Un outil complémentaire (et indispensable) à l’XDR : le SIEM (Security Information Event Management). Nous utilisons le QRadar d’IBM) qui est un outil clé du SOC. Il permet de centraliser et corréler les logs afin de générer des alertes de supervision et des rapports mettant en lumière le niveau de sécurité d’une entreprise.
Nous recommandons le SIEM en complément de l’XDR car celui-ci reste un outil, il se contourne et ce n’est pas sécurisé à 100%. C’est pour cela qu’on le complète avec le SIEM.

Un dernier outil utile pour protéger votre système informatique est le SOAR (Security Orchestration, Automation and Response). Le QRadar SOAR d’IBM est une solution d’orchestration de la sécurité, d’automatisation et de réponse.