Swisscom renforce la sécurité des entreprises avec Managed Endpoint Detection & Response

Un système Endpoint Detection & Response (EDR) est en mesure de le faire. Contrairement aux logiciels antivirus basés sur les signatures, il analyse le comportement des terminaux à la recherche d’anomalies. «Nos clients peuvent suivre toute l’activité en temps réel sur un tableau de bord», ajoute Cyrill Peter. «Les failles de sécurité potentielles de l’ensemble des terminaux deviennent ainsi visibles. Les messages de sécurité sont automatiquement examinés et, si possible, résolus, ce qui permet de soulager l’équipe en charge des opérations de sécurité.»

Un système EDR ne signifie toutefois pas que toutes les attaques seront automatiquement décelées et contrées. L’EDR doit être intégré à d’autres solutions de sécurité, avec un Security Operation Center (SOC), et requiert souvent une évaluation finale des comportements suspects des terminaux par des Security Analysts expérimentés. Grâce à l’EDR, ces derniers peuvent se concentrer sur un petit nombre d’attaques potentielles (alertes présélectionnées) sans devoir évaluer des milliers d’événements et de journaux d’activité. Leur mission en est grandement simplifiée. En cas d’incident avéré, l’EDR permet à l’équipe de sécurité d’obtenir une vue d’ensemble des infrastructures IT surveillées et de réagir aussitôt sur tous les terminaux – par exemple en isolant un terminal infecté par un logiciel malveillant ou en déplaçant les fichiers suspects vers un répertoire de quarantaine.

L’EDR n’est donc pas un système autonome, mais doit être intégré dans les solutions et les processus de sécurité existants. Chez Swisscom, l’EDR peut par exemple être combiné avec SOC as a Service ou CSIRT as a Service. Les clients Swisscom bénéficient ainsi d’une défense efficace contre les attaques sans fichier, telles que les logiciels malveillants et les zero day exploits.