| Cybersécurité
MDR, EDR-as-a-Service, NDR, XDR : comment choisir la meilleure approche pour votre sécurité informatique ?
Les termes « MDR », « EDR-as-a-Service », « NDR » et « XDR » font référence à des technologies de sécurité informatique qui visent à accompagner les entreprises dans la détection, prévention et réponse aux incidents de sécurité. Comprendre ces outils de sécurité (EDR, NDR, XDR) – qui permettent de superviser tout ou partie d’un Système d’Information (SI) – ou services d’exploitation de ces derniers (EDR-as-a-Service, MDR), est indispensable pour adopter la stratégie de supervision la plus efficace et adaptée à votre environnement numérique.
Depuis les années 90, la protection des Systèmes d’Information (SI) est devenue un enjeu stratégique majeur pour les entreprises et organisations, en raison de l’augmentation des menaces liées au développement d’Internet. Cette évolution a conduit à l’apparition de nouveaux outils de protection, tels que les antivirus, qui ont eux-mêmes évolué pour offrir aux professionnels une protection plus complète de leurs actifs.
Comprendre leurs différences et objectifs
MDR (Managed Detection and Response) : les solutions de sécurité MDR proposent un service géré pour détecter et répondre aux menaces de sécurité, en temps réel. Cette approche utilise souvent une combinaison de technologies, telles que l’analyse comportementale, la surveillance de la sécurité et la réponse automatisée aux incidents, ainsi que des équipes de sécurité expertes qui surveillent en permanence les événements de sécurité et les alertes.
EDR-as-a-Service (Endpoint Detection and Response-as-a-Service) : l’EDR-as-a-Service est une technologie de sécurité qui surveille les endpoints (terminaux de sorties) tels que les ordinateurs portables, serveurs et appareils mobiles pour détecter les menaces. Elle permet également de collecter des données sur les activités des utilisateurs et des machines, ce qui permet de détecter plus rapidement les menaces potentielles.
NDR (Network Detection and Response) : le NDR est une technologie de sécurité qui surveille le trafic réseau pour détecter les menaces. Elle utilise souvent des techniques d’analyse comportementale pour détecter les anomalies dans les modèles de trafic et les comportements de l’utilisateur.
XDR (eXtended Detection and Response) : le XDR est une approche de sécurité plus complète qui intègre plusieurs technologies de sécurité, telles que les MDR, EDR et NDR, pour fournir une vue plus complète des menaces potentielles. L’XDR permet également de consolider les alertes de sécurité provenant de différentes sources pour faciliter la gestion des incidents de sécurité.
Sécurité informatique et détection d'incidents, deux approches complémentaires
Les solutions EDR (Endpoint Detection and Response) surveillent les terminaux, tels que les postes de travail, serveurs, téléphones portables, tablettes, etc. en utilisant des sources d’informations présentes sur ces terminaux – comme par exemple les journaux d’évènements ou les processus s’exécutant sur le poste – pour détecter les comportements suspects. Les solutions EDR sont complexes à configurer et à ajuster en raison du grand nombre de faux positifs qu’elles peuvent générer. Pour cette raison, de nombreuses entreprises proposent des services EDR-as-a-Service pour maintenir une configuration adéquate, en minimisant les faux positifs.
Les solutions NDR (Network Detection and Response) détectent, elles, les flux réseaux inhabituels en se basant sur différents critères – comme le volume, la fréquence, la date ou encore la source des échanges. Elles sont capables de prendre des mesures sur le réseau pour endiguer une éventuelle menace en cas de comportement suspect (mise en quarantaine d’une partie du réseau, coupure de certains types d’échanges, etc.).
Tandis que l’EDR détecte les évènements se déroulant sur un poste, le NDR remonte ceux se produisant entre chaque poste.
MDR et XDR : ensemble pour une sécurité renforcée
Les outils XDR (eXtended Detection and Response) et MDR (Managed Detection and Response) ont émergé pour répondre à la nécessité d’analyser les données provenant de différents outils de sécurité.
Les solutions XDR sont capables d’identifier le schéma d’attaque d’un groupe d’attaquants et de réagir en conséquence en utilisant des sources d’informations externes – comme les terminaux, les échanges entre ceux-ci – pour ajouter davantage de contexte aux événements se produisant sur le SI, grâce à la Cyber Threat Intelligence (CTI).
Les solutions XDR rassemblent donc plusieurs concepts de surveillance en une seule solution, tandis que pour les solutions MDR une notion du service est associée à ces différentes technologies. Offrant alors, aux utilisateurs, une délégation de la gestion complète d’un ou plusieurs outils de sécurité à une équipe d’experts extérieure formée sur ces technologies – et au fait des bonnes pratiques concernant les procédures de gestion des alertes. Le traitement des alertes est ainsi accéléré et les équipes internes se voient soulagées d’une partie de la charge d’analyse.
Michael Leclercq
Responsable Marketing