Pas facile de tout comprendre dans l'océan d'acronymes du monde de la cybersécurité quand on n'en vient pas ! En plus d'être nombreux, ils sont très similaires comme ces acronymes à la mode : EDR, NDR, XDR et MDR. En fait, cette similitude n'est pas un hasard, ils ont tous en commun le "DR" qui signifie "Detection and Response".

En effet, ces 4 acronymes ont une base commune importante, leur cible : la détection des menaces de cybersécurité dans les organisations et la réponse à celles-ci (en cas de détection).

Qu'est-ce que la détection et la réponse ?

La détection et la réponse en cybersécurité font référence au processus d'identification et de réponse aux cybermenaces. 

L'objectif principal est de détecter les cyberattaques et autres incidents de sécurité le plus rapidement possible, et de réagir de manière à minimiser l'impact de l'incident.

La détection fait référence au processus d'identification des menaces et des incidents de sécurité potentiels, tels qu'un accès non autorisé à un réseau, une activité suspecte sur un terminal ou un courriel de phishing. 

La réponse désigne les mesures prises après la détection d'une menace ou d'un incident. Il peut s'agir d'isoler et de contenir l'incident, de collecter et de préserver les preuves, et de mettre en œuvre des contre-mesures pour stopper l'attaque et empêcher qu'elle ne se reproduise.

Finalement, ces 4 produits/services ont la même cible. Mais la différence entre eux va reposer sur ces points :

• Les capacités de détection : Quel type de menace détectent-ils ?
• Les capacités de réponse : Quel type d'action de réponse sont-ils capables d'effectuer ?
• Modèle d'intégration : Où et comment sont-ils déployés dans une organisation ?

Nous allons présenter ces 4 solutions et répondre pour chacun d'eux aux points ci-dessus.

EDR (Endpoint Detection and Response)

L'EDR est un logiciel de sécurité qui s'installe sur les terminaux (Endpoints) , c'est-à-dire sur les postes de travail et les serveurs, quels que soient leurs fonctions ou leur système d'exploitation.

Capacités de détection :

L'EDR peut détecter les menaces sur les terminaux, qui représentent un large éventail de menaces pour la sécurité. Il sera la solution la plus adaptée pour détecter l'exécution de logiciels malveillants sur les terminaux, comme les malwares ou les ransomwares.

Capacités de réponse :

Le EDR inclut une variété de capacités de réponse, telles que : 

• L'isolement / le confinement : Isoler un terminal compromis du réseau pour empêcher la propagation de la menace.
• Remédiation : Éliminer la menace du terminal, soit en supprimant les fichiers malveillants, soit en restaurant le terminal dans un état correct.
• Forensic : Collecte et analyse des données du terminal pour rassembler des informations sur l'attaque, telles que les méthodes utilisées, les fichiers impliqués et sur les attaquants eux-mêmes.
• Threat hunting : Recherche active et identification de nouvelles menaces, par l'analyse des données du terminal, du trafic réseau et d'autres logs.

Modèle d'intégration :

L’EDR est déployé sur les terminaux sous forme d'agent, l'agent est installé sur chaque terminal qui communique avec la console centrale de l'EDR pour fournir une visibilité, une surveillance et une gestion des réponses en temps réel. 

Cette console est un serveur que vous pouvez installer sur place ou qui est déjà fourni comme solution SAAS par le fournisseur d'EDR. 

NDR (Network Detection and Response)

Le NDR, est un appareil ou un logiciel de sécurité conçu pour détecter et répondre aux tentatives d'intrusion au niveau du réseau.

Capacités de détection :

Le NDR peut détecter les menaces au niveau du réseau en inspectant et en analysant les flux réseau.

Le NDR sera la solution la plus adaptée pour détecter les activités malveillantes qui ont une empreinte réseau particulière, comme l'exfiltration de données ou les mouvements latéraux (propagation d'intrusions). 

Capacités de réponse :

Tout d'abord, le NDR est un dispositif passif, ce qui signifie qu'il n'a pas la possibilité de couper les flux ou de mener toute autre action de remédiation par lui-même. 

Cependant, le NDR peut interagir avec d'autres solutions de sécurité actives, telles qu'un pare-feu, un proxy ou un EDR pour appliquer des mesures correctives.

C'est pourquoi le NDR doit être déployé dans un environnement où il existe déjà des composants de sécurité actifs pour tirer parti des capacités de remédiation.

En dehors de la remédiation, le NDR donne la possibilité d'effectuer :

• Forensic : Collecte et analyse des données du réseau pour rassembler des informations sur l'attaque, comme une capture du réseau (PCAP).
• Threat hunting (Investigation) : Recherche active et identification de nouvelles menaces, en analysant les données du réseau, le trafic réseau et d'autres logs.

Modèle d'intégration :

L'intégration dépendra de votre architecture informatique :

• Infrastructure on premise : Un dispositif physique doit être installé dans vos datacenter et certains flux doivent être redirigés vers le NDR pour être inspectés. Certains fournisseurs de NDR offrent également la possibilité de l'installer en tant que machine virtuelle, mais des modifications de liaison sur vos datacenter seront obligatoires pour rediriger les bons flux vers le NDR.
• Infrastructure cloud :  L'intégration sur le cloud d'une solution NDR dépendra de votre fournisseur de cloud et de la stratégie d'intégration de l'éditeur de NDR (ce n'est pas toujours possible).
• Infrastructure hybride : Deux étapes d'intégration seront nécessaires, une pour le cloud et l'autre pour le on-premise.

Enfin, une console centrale permettant de gérer et d'exploiter les différentes méthodes NDR doit être déployée sur un serveur ou souscrite en tant que solution SaaS.