EDR : des outils de plus en plus complexes à utiliser

Cybersécurité

Les PME acquièrent des EDR sans avoir les moyens de les manager et d’en exploiter toutes les fonctionnalités, laissant alors aux cybercriminels des failles dans lesquelles ils peuvent aisément s’engouffrer.

Pour faire face à l’explosion et à la virtuosité de la cybercriminalité, les entreprises doivent s’équiper de solutions de plus en plus complexes pour se protéger. Utiliser un EDR, antidote d’aujourd’hui pour lutter contre les cybermenaces, nécessite temps et compétences. S’appuyer sur un prestataire spécialisé permet de l’exploiter de façon optimale.

Avec l’ouverture des SI des entreprises sur le monde extérieur et l’adoption sans cesse croissante du SaaS et du cloud, la cybercriminalité a explosé et est entrée dans l’ère industrielle. Ainsi, depuis quatre ou cinq ans, et encore plus depuis la pandémie, les cyberattaques se sont multipliées. Selon l’ONU, le coût mondial de la cybercriminalité serait de l’ordre de 5 200 milliards $ par an, entre 2020 et 2025.

Face à ce fléau, les entreprises sont contraintes d’ériger toujours plus de remparts pour se protéger. Et si les antivirus et antimalwares ont longtemps été suffisants pour lutter contre les cyberattaques, ils ne répondent plus aujourd’hui aux caractéristiques des nouvelles attaques.
«Aux grands maux les grands remèdes », il faut désormais un antidote nouvelle génération : l’Endpoint Detection and Response ou l’EDR. Placés sur les terminaux (PC ou serveurs), et non sur les réseaux, ces outils analysent les actions des matériels et détectent les anomalies de comportement.

Un EDR oui, mais avec des ressources humaines dédiées

Si sur le papier, l’EDR semble être une technologie probante pour bloquer toute attaque survenant sur les systèmes d’information et sur le piratage de données, la réalité est toute autre. En effet, acquérir la solution ne suffit pas, encore faut-il savoir l’administrer et l’exploiter pour qu’elle soit efficace. C’est là que le bât blesse car la complexité de ce type de solution nécessite des compétences spécifiques qui actuellement manquent à l’appel.

Dans ce marché de pénurie où l’offre et la demande font grimper les prétentions salariales des experts, seuls les grands comptes sont en capacités de s’aligner pour s’offrir ces experts. Résultat, les PME acquièrent des EDR sans avoir les moyens de les manager et d’en exploiter toutes les fonctionnalités, laissant alors aux cybercriminels des failles dans lesquelles ils peuvent aisément s’engouffrer.

S’appuyer sur des prestataires spécialisés

Dans un tel contexte, les PME ont donc tout intérêt à souscrire, une solution en SaaS et à laisser à un prestataire spécialisé, le soin de l’administration et de l’exploitation. Pour répondre à ces nouveaux enjeux, de plus en plus d’intégrateurs développent des offres de services autour de l’EDR.

Mais avant de signer un contrat l’entreprise doit évaluer plusieurs points. Ainsi, elle doit regarder le niveau de service du prestataire en matière de réponse pour éviter toute désillusion. En effet, en signant ce type de contrat l’entreprise pense bien souvent que non seulement son SI est protégé contre toutes les cyberattaques mais aussi, qu’en cas de malveillance, il sera rapidement réparé.

Or, les contrats n’intègrent généralement que la détection du piratage. Mais dans le cas où l’attaque génère des dégâts trop importants, le prestataire n’assure pas la remise en fonctionnement des matériels. Une déception pour le client mais qui se justifie parfaitement au regard de certains préjudices qui nécessitent des jours, voire des semaines de travail pour être réparés. Un prestataire ne peut donc s’engager dans un contrat sur la remise en service d’un système.

Autre point de vigilance : la certification. Toute solution d’EDR requiert non seulement des compétences mais aussi une remise à niveau régulière, les fonctionnalités évoluant sans cesse. Il est donc vivement conseillé de s’appuyer sur des prestataires certifiés car ils sont constamment formés par les éditeurs qu’ils représentent. Troisième point : choisir un prestataire spécialisé sur quelques technologies plutôt que sur un large éventail, car acquérir une expertise sur des technologies toujours plus complexes demande du temps.

À l’heure où les cyberattaques sont devenues un fléau pouvant mettre en danger des systèmes de santé, des États, des entreprises, des collectivités, des gestionnaires de biens publics (eau, énergies, etc..), il est temps que s’installe une réelle communication entre tous ces acteurs afin qu’ils puissent échanger et partager leurs expériences, connaissances et bonnes pratiques de la cyberdéfense.

Pour une cybersécurité efficace il faut avoir un coup d’avance sur ses adversaires !


Auteur
En savoir plus 
Expert cybersécurité
F-Secure
Lionel Doumeng est expert cybersécurité chez F-Secure
En savoir plus 

Livres blancs A la Une