Aller au contenu

Endpoint detection and response

Un article de Wikipédia, l'encyclopédie libre.

Endpoint detection and response (EDR) est une technologie logicielle émergente de détection des menaces de sécurité informatique sur les équipements numériques (ordinateurs, serveurs, tablettes, objets connectésetc.)[1]. Les EDR sont une évolution de l'antivirus, de l'IDS et du pare-feu[2]. Le terme « endpoint » désigne communément les serveurs, ordinateurs personnels et téléphones mobiles d'entreprise[3].

Le but d'un EDR est de détecter les attaques potentiellement plus avancées que ce que peuvent détecter les antivirus traditionnels, en optimisant le temps de réponse à incident, en baissant le taux de faux positif, en bloquant les menaces avancées et en protégeant le réseau de menaces multiples agissant simultanément à travers différents vecteurs d'attaques[2].

Caractéristiques

[modifier | modifier le code]

L'EDR cherche à détecter, enregistrer, évaluer et répondre aux activités suspectes qui pourraient résulter de logiciels problématiques ou d'utilisateurs frauduleux. Certaines solutions d'EDR analysent les événements de sécurité directement sur l'équipement numérique, tandis que d'autres les envoient à un serveur central ou sur le cloud pour les analyser[2].

Combiné avec un moteur utilisant de l'intelligence artificielle, le logiciel EDR est très réactif dans la détection et l'arrêt de menaces (malwares, virus, attaques Zero day, menaces persistantes avancées...). L'intelligence artificielle lui permet d'être auto-apprenant et de ne pas devoir se connecter sur internet pour mettre à jour des bases de données[réf. nécessaire].

Le terme est utilisé pour la première fois en par Anton Chuvakin[4] de la société Gartner. Il désigne une catégorie d’outils et de solutions qui mettent l’accent sur la détection d’activités suspectes directement sur les hôtes du système d'information. Initialement dénommée « Endpoint Threat Detection & Response » (ETDR), en 2015 Gartner réduit l’expression en « Endpoint Detection and Response » (EDR)[3].

Gartner estime que le marché des logiciels antivirus traditionnel est obsolète.[réf. nécessaire]

Concepts relatifs : MDR, EPP, XDR et ITDR

[modifier | modifier le code]

Le Managed Detection and Response (ou MDR) est aussi centré sur la détection des menaces et la médiation, mais va plus loin en proposant un service de surveillance humaine en temps réel de l'environnement IT et de resolution des menaces. Souvent le MDR est une combinaison et l'intégration de nombreuses technologies telles que le SIEM, le network traffic analysis (NTA), l'EDR et l'IDS[2].

L'Endpoint Protection Platforms (ou EPP) est une variation de l'EDR plus active comprenant quatre fonctions principales : prédire, prévenir, détecter et répondre[2].

L'Extended Detection and Response (ou XDR) n'est pas vraiment un outil différent mais l’intégration de plusieurs composants variant d'un vendeur à l'autre. L'XDR inclut souvent des éléments d'EDR, de MDR et d'EPP. L'XDR n'est pas seulement focalisé sur l'« endpoint », il inclut souvent des fonctions de NTA, NIDS et NIPS[2].

L'Analyse du comportement des utilisateurs et des entités (ou UEBA en anglais) diffère des capacités de l'EDR en se concentrant sur l'utilisateur plutôt que sur l'« endpoint »[2].

L'Identity threat detection and response (ou ITDR) ajoute une couche de sécurité additionnelle aux systèmes de gestion des identités et des accès (IAM).

Notes et références

[modifier | modifier le code]
  1. (en-US) « What is endpoint detection and response (EDR)? », sur Palo Alto Networks (consulté le )
  2. a b c d e f et g (en) Mike Chapple, James Michael Stewart, Darril Gibson, (ISC)2 CISSP Certified Information Systems Security Professional Official Study Guide, editions Sybex, (ISBN 978-1-119-78623-8), p. 558.
  3. a et b (en) « Election Security Spotlight - Endpoint Detection and Response (EDR) », sur CIS (consulté le ).
  4. (en-US) « Named: Endpoint Threat Detection & Response - Anton Chuvakin », (consulté le )