Comment le XDR se déploie sur les SI

Le passage à une détection qui va au-delà du endpoint semble inéluctable, une évolution vers les XDR qui va aussi impacter les SOC.

+19%, +20,7%, +38,4% par an, si tous les analystes ne sont pas d’accord sur la croissance des ventes de XDR dans les années à venir, tous s’accordent à pointer le dynamisme de ce marché.

Les plateformes XDR (« Extended Detection and Response ») ne sont pas qu’une simple évolution des EDR (« Endpoint Detection and Response ») dédiés uniquement à la protection des équipements numériques (« endpoint »).

Il s’agit d’une nouvelle approche qui va bouleverser la façon de gérer la cybersécurité. Certains y voient déjà le remplaçant des SIEM comme socle des centres de sécurité informatique (SOC) modernes.

Bien connu sur le marché comme un éditeur de solutions EPP/EDR, SentinelOne mise sur une certaine continuité entre EDR et XDR pour se positionner sur ce nouveau marché.

Blandine Delaporte, Solution Engineer Director chez SentinelOne — Blandine Delaporte – Solution Engineer Director chez SentinelOne

En février 2021, l’éditeur rachetait Scalyr afin de consolider le backend de son offre XDR : « Nous savions que nous allions devoir absorber de plus en plus de données à l’avenir » résume Blandine Delaporte, Solution Engineer Director chez SentinelOne. « La télémétrie est toujours plus importante au niveau des endpoints, mais nous voulions aussi ouvrir notre écosystème à d’autres éditeurs cyber. Le nouveau backend Cloud native de Singularity XDR nous apporte la capacité de monter à l’échelle et de traiter de gros volumes de données. »

Consolider, protéger et valoriser vos données : RDV au Silicon Day le 30 novembre !

Silicon.fr vous invite pour une matinée d’échanges autour des projets d’analyse de données et de services cloud.
Au programme : des retours d’expérience de migrations d’applications vers le cloud, des interactions avec des bâtisseurs et les intégrateurs de solutions pour consolider, protéger et valoriser vos données numériques.
Venez partager vos réflexions et vos retours d’expérience, rendez-vous le le 30 novembre en matinée, à la maison des Polytechniciens (Paris 7e).

Inscrivez-vous gratuitement ici

Evolution de l’EDR au XDR

Outre les capacités natives de sa plateforme, l’éditeur mise sur une stratégie Open XDR pour étendre son écosystème XDR : « L’idée est d’intégrer au XDR tout l’écosystème cyber de nos clients et proposer un Open XDR. Cette intégration aux solutions tierces est réalisée soit via les solutions disponibles dans la marketplace SentinelOne, à l’image des solutions Okta ou Zscaler. L’autre possibilité est d’opter pour une intégration via API. »

Adrien Vandeweeghe, Directeur France & Bénélux de Trellix. — Adrien Vandeweeghe – Directeur France & Bénélux de Trellix

Cette notion d’ouverture du XDR est clairement en train de s’imposer sur le marché. C’est la stratégie aussi suivie par Trellix, l’éditeur issu de la fusion entre McAfee Enterprise et FireEye.

« Pour un XDR, l’ouverture est essentielle car le client vient avec son existant, avec une multitude de technologies différentes sur ses différents silos » argumente Adrien Vandeweeghe, directeur France & Bénélux de Trellix. « Pour lui apporter une réponse convergée, il faut être capable de gérer d’autres technologies que celles de nos propres solutions. C’est en quoi l’ouverture est essentielle. »

S’interfacer avec les API des principales solutions de sécurité du marché devient un prérequis, par contre pour Trellix la filiation entre EDR et XDR n’est pas une évidence : « Pour moi, un vrai XDR n’est pas un X-EDR ou un X-MDR. C’est avant tout une capacité à rayonner sur les différents silos que ce soit le XDR, le MDR, la Data Protection avec le DLP, le Cloud, la Threat Intelligence. »

Une approche 100 % intégrée reste possible

A cette approche ouverte qui va satisfaire les entreprises adeptes de la meilleure solution (« Best-of-Breed ») et celles qui sont soucieuses de conserver un existant, Bitdefender répond par une approche beaucoup plus intégrée avec un XDR alimentée par les sondes de l’éditeur.

Stéphane Brovadan, Team Leader Sales Engineer France/Suisse/Afrique chez Bitdefender explique ce choix : « Nous maîtrisons à 100 % notre solution GravityZone XDR, nous avons une maîtrise de
l’information collectée à différents endroits de l’infrastructure IT. à cet égard, nous ne sommes pas un Open XDR mais un éditeur XDR. »

L’ingénieur commercial souligne un atout sécuritaire à une telle approche : la protection des flux entre l’XDR et les sondes : « Nous sommes certains que les flux de télémétrie sont certifiés de la source à la destination, de la sonde Bitdefender XDR jusqu’à GravityZone, avec la certitude que ce flux n’est pas corrompu par un attaquant. Il y a de nombreux exemples d’attaques où les flux de données ont été corrompus avant leur arrivée dans le puits de logs, ce qui induit en erreur la corrélation avec les données de Threat Intelligence. »

Pour l’éditeur, l’autre avantage de leur approche est de rester agnostique par rapport à l’infrastructure et les différentes solutions de sécurité déjà déployées.

Il est plus simple pour l’intégrateur de déployer une solution qui s’appuie sur des briques toujours identiques plutôt que de devoir intégrer l’ensemble de l’existant du client à une solution.

Le japonais Trend Micro a opté pour une approche qui cherche à marier ces deux extrêmes.

L’éditeur dispose d’un portefeuille de solution de sécurité très large dont le XDR Trend Vision One tire bien évidemment profit, mais l’éditeur a voulu aller plus loin.

Emmanuel Launay, Sales Manager de l’équipe VME de Trendmicro — Emmanuel Launay – Sales Manager de l’équipe Very Large Entreprise de Trend Micro

« Dès 2019, nous avons apporté la capacité à collecter des données issues de différents capteurs, les Trend Sensors, mais nous avons voulu étendre cette capacité de détection et de réponse aux autres technologies détenues par Trend Micro, à savoir la protection de la messagerie, les boîtiers de sécurité réseau. Ce furent les premières briques de l’XDR en 2019. Depuis, nous avons étendu sa couverture à la protection Cloud, un domaine dans lequel Trend est très investi depuis plus d’une dizaine d’années et sur lequel nous sommes considérés comme l’un des leaders. » explique Emmanuel Launay, Sales Manager de l’équipe VLE (Very Large Entreprise) de Trend Micro :

La solution protège tant des PME que de grands groupes internationaux, comme Johnson&Johnson avec plus de 400 000 postes protégés dans le monde ou CGA-CGM avec plus de 150 000 utilisateurs.

En France, l’initiative Open XDR Platform

En France, l’Open XDR Platform regroupe HarfangLab, Wallix, GateWatcher, Vade, GLIMPS, Pradeo et Sekoia.io pour constituer un écosystème de solutions capables d’échanger des données entre elles.

Georges Bossert, CTO de Sekoia.io — Georges Bossert – CTO de Sekoia.io

Sekoia.io apporte le volet XDR et SOAR, et comme le souligne son CTO, Georges Bossert : « Open XDR Platform est un consortium qui fonctionne très bien. Il s’appuie sur la standardisation et l’interopérabilité avec des éditeurs qui ont intérêt à travailler de concert pour améliorer la détection et la protection des clients. Il y a dans l’écosystème français des éditeurs qui ont une expertise dans la protection réseau, dans la protection endpoint, ou encore la protection des mobiles et qui vont être capables de fédérer et automatiser la détection et la réponse à incident au travers d’Open XDR Platform. »

Sekoia.io veut aller plus loin et travaille sur le projet OXA (pour « Open XDR Architecture ») sous l’égide de l’organisation de standardisation Oasis, pour, d’une certaine manière, transposer Open XDR Platform à l’échelle planétaire.

Lire aussi : Sécurité : CrowdStrike passe à l’offensive avec Falcon XDR