Comment l'EDR a réussi à maîtriser le risque cyber sur le endpoint

La 10^e édition du baromètre annuel du CESIN montre que si 47 % des responsables cyber des grandes entreprises déclarent avoir déjà subi une attaque significative, la baisse du volume des cyberattaques est manifeste. Celui-ci est passé de 65 à 45 % entre 2019 et 2022. Tous les efforts en termes ressources et de solutions de cybersécurité portent enfin leurs fruits.

IDC 2024 Worldwide Modern Endpoint Security 2023

Parmi les solutions déployées, une fait l'unanimité : l'EDR (détection et réponse au niveau des terminaux). 95 % des RSSI interrogés estiment ces solutions efficaces, une bonne opinion plutôt inédite dans le monde cyber où on retient plus souvent les failles que les succès... L'EDR pallie efficacement les manques de l'EPP (plateforme de protection des terminaux), le fameux antivirus traditionnel, mais ne le remplace pas totalement.

Thierry Defois, directeur des opérations d'Eset France souligne : « Beaucoup d'acteurs préconisent aujourd'hui d'utiliser de l'EDR en faisant fi de la protection EPP. Nous considérons qu'il s'agit d'une très mauvaise approche : EPP et EDR doivent fonctionner de concert : les alertes de l'EPP doivent profiter à l'EDR et vice versa. Il est donc très important de conserver les deux solutions sur chaque poste. »

Blandine Delaporte, Sales Engineer Director, South EMEA de SentinelOne ajoute : « L'EDR est d'une certaine manière devenu une commodité. Nous estimons qu'aujourd'hui 95 % des grandes entreprises françaises sont aujourd'hui équipées et cette approche plateforme est maintenant la clé de notre stratégie. »

1 EDR : une évolution permanente

Si toutes les grandes entreprises sont aujourd'hui équipées, chaque éditeur continue de faire évoluer son EDR et surtout faire converger ces protections endpoint vers cette notion de plateforme. SentinelOne mise ainsi sur l'hyper-automation et la capacité à s'appuyer sur un SOAR (orchestration, automatisation et réponse aux incidents de sécurité) et des playbooks pour protéger à la fois les endpoints, les identités, les ressources Cloud et le tout dans une plateforme unifiée et automatisée. L'IA reste bien évidemment un axe de développement, notamment les IA génératives.

« Nous avons beaucoup investi dans notre IA conversationnelle Purple AI sortie il y a un an », explique Blandine Delaporte. « La première étape consistait à faciliter le travail des analystes en leur permettant de poser des questions en langage naturel. Purple AI s'est peu à peu enrichi, avec la capacité de générer une synthèse de tous les éléments relatifs à une alerte, notamment générer un email résumant la situation. » D'une approche copilote, l'éditeur souhaite aller vers l'autopilote, avec une IA capable de trier automatiquement les alertes et assurer une autoinvestigation. « Purple AI va détecter et bloquer toutes les alertes simples, donc réaliser des remédiations automatiques afin de laisser aux analystes SOC les alertes les plus complexes. »

Grand rival de SentinelOne, CrowdStrike poursuit une stratégie différente : « Certains éditeurs défendent la vision d'un SOC autonome, ce n'est pas celle de CrowdStrike », précise Mikael Le Gall, responsable technique avant-vente de CrowdStrike. « Par contre, nous pensons que l'on peut encore améliorer la productivité des analystes pour aller plus loin en matière de productivité et de profondeur dans les analyses grâce à l'IA. »

L'éditeur texan estime que des progrès sont encore possibles sur le volet de la détection. C'est l'objectif de son projet Signal : « Nous avons repris l'analogie du traitement du signal en électronique : la télémétrie de chaque endpoint produit un signal, l'idée étant de détecter les signaux faibles dans ce signal, des signaux complexe à détecter notamment lors d'attaques de type "cross-domain" qui mêlent attaque sur le endpoint, sur l'identité de l'utilisateur et sur le Cloud afin de rendre les traces plus difficiles à détecter et qu'il soit plus difficile de se représenter une image globale de l'attaque. »

2 Le NDR pour protéger les postes nomades

Le moteur Signal doit faire ressortir les signaux utiles par rapport au bruit ambiant, le but ultime est de reproduire le travail du « threat hunter » qui va faire des requêtes dans la télémétrie afin de trouver des signaux spécifiques. « Notre but est d'automatiser ce mode de recherche, le faire à grande échelle pour l'ensemble des endpoints et toutes les données. Il s'agit de générer non pas des alertes, mais des "leads". À la différence d'une détection qui est un fait avéré, le "lead" est un élément qui doit appeler à la vigilance et qui nécessite d'être creusé. »

Challenger sur ce marché, Fortinet a fait le choix de se positionner en priorité sur le marché des EDR pour l'OT, c'est-à-dire la sécurisation des infrastructures industrielles. « Notre EDR est capable de fonctionner en "air gap" et d'intégrer tous les protocoles qui n'existent aujourd'hui que dans le monde industriel, notamment fonctionner sur des machines Linux très anciennes », résume Philippe Nault, responsable avant-vente de Fortinet. « Cette technologie est issue de l'acquisition de l'éditeur d'EDR enSilo en 2019. Nous l'intégrons dans notre Security Fabric qui regroupe l'ensemble de nos solutions de sécurité hors firewalls, mais basées sur FortiOS. »

Le géant de la cybersécurité travaille sur la simplification de la sécurité des endpoints IT. « Nous avons encore plusieurs agents que nous sommes en train de regrouper afin de faire à la fois de l'EPP, de l'EDR, le SASE, l'agent DLP. C'est un chantier qui va s'étendre sur 2025 et 2026, en commençant par les parties EPP, EDR et l'agent VPN, puis nous ajouterons d'autres fonctionnalités à cet agent. » En outre, Fortinet compte embarquer de l'IA générative dans davantage de ses solutions et simplifier ses interfaces homme/machine grâce au langage naturel. Enfin, l'acquisition de la solution de protection Cloud de Lacework en 2024 va lui permettre d'étendre encore la couverture de sa plateforme avec le CNAPP, en parallèle à l'EDR, au DLP.

Cette détection « cross-domain » pousse naturellement vers le modèle de la plateforme et l'intégration de multiples sources de données. La synergie avec la gestion des identités est évidente, de même qu'avec les outils de sécurité réseau de type NDR. L'un des spécialistes de ces solutions, Darktrace, a entrepris le chemin inverse. Celui-ci propose d'installer des agents sur les postes nomades afin d'enrichir la capture des flux réseaux de son NDR. La solution identifie les les comportements usuels ("patterns of life") et détecte toute déviance dans le comportement d'un poste. Cette approche permet au fournisseur de capter à la fois les flux réseaux décentralisés et les flux endpoints dans une seule plateforme pour faire tourner ses algorithmes de détection sur l'ensemble de ces données. L'inconvénient de cette approche est qu'elle ne traite pas la couche applicative du poste, mais uniquement ses échanges réseaux.

Blandine Delaporte, Sales Engineer Director, South EMEA de SentinelOne

Blandine Delaporte - Sales Engineer Director, South EMEA de SentinelOne

« La priorité pour SentinelOne est d'aller vers cette approche plateforme. C'est aujourd'hui une tendance lourde du marché. Nous venons de la protection endpoint, donc celle-ci a été initiée par l'EDR, mais nous y avons ajouté la brique de sécurité Cloud avec l'acquisition de PingSafe en 2024.

Leur solution CNAPP est aujourd'hui totalement intégrée à notre console, ce qui permet à l'utilisateur de disposer d'alertes unifiées et de faire des corrélations de données. Enfin, un troisième aspect de cette approche plateforme porte sur le volet Next-Gen SIEM. Notre produit est baptisé AI SIEM et son objectif est de tirer profit de la puissance de notre data lake pour faire de l'ingestion de log et réaliser de nouvelles corrélations pour faire de l'alerting. Nous voulons proposer à nos clients une plateforme unifiée sur laquelle ils peuvent gérer tout le SOC. »

Mikael Le Gall, Responsable technique avant-vente de CrowdStrike

Mickael Le Gall - Responsable technique avant-vente de CrowdStrike

« Les grands comptes sont aujourd'hui très largement équipés en EDR et nous intervenons beaucoup en réponse à incident. A cette occasion, nous constatons que l'élément identité est très souvent compromis lors des attaques. Dès lors que le pirate s'appuie sur un compte valide pour mener son attaque, ça devient très compliqué de le détecter.

De même, ceux-ci cherchent à exploiter des outils légitimes, des interfaces PowerShell ou WMI. On associe de plus en plus à l'EDR cet aspect identité et comportemental car les identités et la protection des endpoints sont des éléments qui sont intrinsèquement liés lors d'une attaque. »