EDR et XDR : tout ce qu’il faut savoir
Malwares, bases de données piratées, collaborateurs piégés par des campagnes de phishing… Les logiciels EDR et XDR peuvent être la solution. Les entreprises sont toujours plus exposées aux attaques informatiques. Une tendance tristement à la hausse depuis la crise sanitaire et dans un contexte de généralisation du travail hybride.
Pour se prémunir de ces menaces cyber, les entreprises peuvent se doter de logiciels EDR (Endpoint Detection and Response) ou de logiciels XDR (Extended Detection and Response). Il s’agit de solutions qui renforcent la protection des systèmes d’information et font barrage aux pirates informatiques. Petit tour d’horizon.
À quoi sert un EDR ?
Les solutions EDR ont pour objectif de protéger les terminaux des entreprises, les « endpoints », que sont les ordinateurs fixes ou portables, les serveurs ou encore les téléphones mobiles. Bien plus puissant qu’un logiciel antivirus, l’EDR est capable d’analyser l’activité d’un terminal. Mais également d’y détecter des comportements suspects et mettre en place une réponse défensive contre d’éventuelles attaques.
Plus précisément, la technologie EDR :
- Capte en continu les données présentes sur les terminaux
- Analyse et corrèle ces données à l’aide d’algorithmes dans le but de préétablir des comportements considérés comme « normaux » ou « anormaux » sur un terminal
- Émet des alertes en cas de détection de comportements suspects
- Stocke les données issues des incidents de sécurité pour capitaliser sur l’information au long cours et la contextualiser
Les EDR disposent aussi de fonctionnalités capables de bloquer une menace dès lors qu’elle est détectée, grâce à des systèmes de remédiation automatisés. Pour les menaces cyber avec un niveau de criticité avancée, une intervention humaine reste néanmoins nécessaire.
À quoi sert un XDR ?
Les solutions XDR sont une version évoluée des solutions EDR, avec des fonctionnalités de détection qui vont au-delà des terminaux. Les XDR, aussi appelés « plateformes XDR », fournissent en effet des capacités de détection qui couvrent non seulement les terminaux mais également les applications, les environnements Cloud, les objets connectés ou tout autre composant du réseau d’une entreprise.
Plus précisément, la technologie XDR :
- Permet de désiloter les différentes briques d’un même système informatique pour obtenir une vue d’ensemble sur les menaces cyber potentielles
- Détecte les attaques informatiques qui utilisent d’autres points d’entrée que les terminaux
- Priorise les menaces détectées en fonction de leur criticité, grâce à l’analyse de données et l’utilisation de l’intelligence artificielle (IA)
- Automatise la réponse à incident et permet de réaliser des investigations approfondies a posteriori
EDR et XDR : quels sont les points communs et les différences ?
À l’heure où les modes de travail sont de plus en plus digitalisés, les solutions EDR et XDR sont des composantes clés. Ils permettent de déployer une politique de cybersécurité efficace et accroître le niveau de protection des entreprises.
Les technologies EDR et XDR sont en ce sens toutes deux conçues pour :
- Permettre aux entreprises d’anticiper au mieux les menaces cyber
- Fournir une réponse rapide et efficiente en cas d’incident
- Détecter, analyser, corréler toutes les données collectées à des fins d’apprentissage et de capitalisation
À l’inverse, ces solutions diffèrent sur les points suivants :
- L’EDR n’apporte de la visibilité que sur les terminaux d’une entreprise, quand le XDR est capable de couvrir tout le réseau, ce qui permet une anticipation et une détection des attaques nettement plus complètes
- Le XDR apporte une couche d’automatisation supplémentaire à celle de l’EDR, au profit d’un niveau d’investigation des menaces plus performant
EDR et XDR : quelles solutions utiliser ?
Microsoft Defender for Endpoint est une solution EDR intégrée pour le Cloud, qui protège les terminaux et certains équipements réseaux des environnements Windows, Linux, macOS, iOS et Android. Basée sur l’IA, elle offre des fonctionnalités d’analyse et de détection. Mais également de gestion de vulnérabilités et d’investigation automatisée.
Microsoft 365 Defender est une solution XDR. Elle stoppe les attaques cyber et corrige les failles de sécurité de façon automatisée grâce à l’IA. Mais priorise également les incidents et génère des reportings pour optimiser le suivi réalisé par les équipes IT. Son champ d’action se concentre d’abord sur la protection des utilisateurs et son périmètre de couverture s’étend aussi bien aux applications Cloud qu’aux documents, aux outils collaboratifs et aux terminaux de Microsoft 365.
Microsoft Defender for Cloud est une autre solution XDR, destinée quant à elle à renforcer le niveau de sécurité des ressources Cloud, et plus précisément des environnements de travail hybrides et multicloud.