La sécurité IT passe un cap avec Extended Detection and Response (XDR)

Dans ce contexte, les prestataires de sécurité IT ont développé Endpoint Detection and Response (EDR). La solution analyse les terminaux à la recherche de comportements suspects et d’anomalies et peut réagir de manière automatique en cas de soupçon. Par exemple, les fichiers suspects sont mis en quarantaine. La vue reste toutefois limitée aux différents appareils individuellement. Seule une corrélation complexe dans un SIEM (Security Information an Event Management) ou un SOAR (Security Orchestration, Automation and Response), des systèmes eux aussi complexes en soi, garantit une vue d’ensemble.

Mais pour la première fois, l’évolution XDR (Extended Detection and Response) offre un aperçu complet des processus suspects au sein d’une même offre. Elle étend l’approche EDR aux appareils réseau et aux services cloud. «Nous pouvons ainsi suivre les événements tout au long de leur déroulement et identifier les liens entre les différentes étapes», déclare Yannick Schuitemaker, Security Analyst chez Swisscom, pour décrire l’avantage de XDR par rapport à EDR.

Cela simplifie le travail des Security Analysts selon Schuitemaker: «Avant XDR, notre vision globale était limitée, avec les fichiers log d’un proxy par exemple. Aujourd’hui, nous voyons d’emblée toute la communication d’un hacker.» En s’appuyant sur la corrélation d’événements basée sur le machine learning, XDR facilite la recherche en cas d’alerte. Et le produit permet aux experts en sécurité de réagir plus vite et surtout plus tôt. Grâce à la réactivité de XDR, il est par exemple souvent possible de stopper une attaque par ransomware avant une propagation générale sur le réseau de l’entreprise, évitant ainsi le cryptage des données clés de l’entreprise.

XDR propose ainsi une plateforme centrale pour effectuer les analyses et prendre les premières mesures de défense en cas de cyberattaque. Selon le cas, il est même possible de remplacer plusieurs outils dans le Security Operations Center ou même un SIEM complexe. La tâche des Security Analysts est simplifiée, tout comme celle du CFO: il peut réduire les coûts (de licence).

La corrélation automatisée des alertes sur toute l’infrastructure réduit également le nombre d’avis à traiter par les analystes. «Cela nous aide à gérer chaque alerte plus en profondeur et à réduire le risque d’Alert Fatigue», explique Schuitemaker.

Lors de la détection, XDR soulage les experts en sécurité des tâches de routine, et offre l’avantage d’une plateforme cloud: XDR reconnaît d’emblée les attaques connues et tous les utilisateurs disposent de nouveaux modèles de détection. «La détection des attaques est de meilleure qualité, ce qui nous fait gagner du temps», précise Schuitemaker pour décrire les avantages de cette approche. «Nous pouvons utiliser notre expertise pour des cas spécifiques, au lieu de nous occuper de tâches de routine.»

Avec XDR, les (rares) spécialistes en cybersécurité voient leur travail simplifié. Mais ils ne sont pas pour autant remplacés. «En cas de doute, la décision des mesures de réponse revient toujours à l’être humain», explique Schuitemaker. «Car chaque infrastructure est différente.» La réaction humaine est décisive pour agir correctement dans la zone grise des anomalies et pour distinguer les cyberattaques des comportements inhabituels mais volontaires.

Toutefois, Extended Detection and Response étant en capacité de détecter les cyberattaques sur toute l’infrastructure et de déclencher des mesures de défense, les spécialistes s’épargnent beaucoup de travail fastidieux. Cela libère des ressources pour la défense réelle tout en optimisant la protection de défense des entreprises, ou Security Posture.