Vous avez un projet ?
Accueil / Le blog du numérique / Endpoint Detection Response (EDR) : votre allié pour une cybersécurité maîtrisée

Endpoint Detection Response (EDR) : votre allié pour une cybersécurité maîtrisée

EDR antivirus
Dans Cybersécurité , le 28 juin 2023

Face à un paysage des cybermenaces en perpétuelle évolution, les entreprises doivent s’adapter et investir dans des solutions de cybersécurité de plus en plus poussées. L’EDR est un outil permettant de sécuriser les terminaux et limiter les compromissions par une analyse en temps réel des comportements suspects. Découvrez comment l’Endpoint Detection Response protège votre SI des intrusions et soigne votre santé numérique.

Sécuriser les Endpoints, un essentiel en cybersécurité

Les Endpoints – également appelés terminaux – sont des dispositifs assimilables à des périphériques qui se connectent au système d’information ou au Cloud d’une entreprise. Ils constituent l’extrémité d’un canal de communication. Dès lors qu’un appareil est connecté au SI d’une structure, il est considéré comme un Endpoint. Les ordinateurs, smartphones, ou plus globalement tous les types d’appareils connectés comme les montres intelligentes et les imprimantes numériques peuvent donc être considérés comme des terminaux s’ils sont reliés à un SI.

Le maillage des différents Endpoints constitue le réseau IT d’une entreprise et abrite inévitablement des données sensibles. Par conséquent, chaque terminal connecté au réseau constitue un vecteur d’attaque potentiel pour un cyberattaquant. En effet, il suffit d’un seul Endpoint compromis pour qu’un hacker puisse s’implanter dans un environnement entier. Il pourra ensuite lancer en toute discrétion d’autres attaques à l’encontre des systèmes et compromettre de nouveaux terminaux.

Preuve en est, selon une étude de Ponemon / Morphisec réalisée en 2020, ce sont près de 68 % des entreprises qui ont subi une ou plusieurs attaques visant directement leurs Endpoints au cours des deux années précédentes. Il est donc indispensable de mettre en place des dispositifs efficaces pour sécuriser l’intégrité des terminaux et éviter les conséquences désastreuses d’une compromission entrainant une attaque par rebond.

 

L’antivirus, insuffisant pour sécuriser les Endpoints

Parmi les différentes solutions existantes pour sécuriser les Endpoints, les entreprises ont tendance à considérer l’antivirus comme une réponse adaptée. Cependant les antivirus ou antimalwares tels que nous les connaissons n’adressent qu’un seul aspect de la protection des terminaux, lorsqu’une approche plurielle et multicouche est indispensable à une cybersécurité pérenne.

En effet, bien qu’elles empêchent les compromissions les plus connues, les solutions antivirus manquent en moyenne 60 % des cyberattaques à l’encontre des Endpoints. Cela s’explique par le fait que les antivirus traditionnels s’appuient sur une base de fichiers connus malveillants, avec laquelle ils comparent la signature des fichiers en cas d’attaque potentielle.

Or les cyber-malfaiteurs passent aujourd’hui aisément cette barrière, notamment s’ils frappent avec une nouvelle souche de virus encore méconnue des éditeurs d’antivirus. Un antivirus seul sera donc inefficace en cas d’attaque zero-day* ou fileless**. Pour permettre aux antivirus de comparer les signatures, un fichier doit nécessairement être déposé par le cyberattaquant. Les attaques fileless ne déposent pas de fichiers et exécutent directement des commandes, permettant de contourner ce point.

Une protection dite « en profondeur » est donc préconisée pour prendre en charge les menaces à l’encontre des Endpoints.

 

Les EDR, une réponse dédiée à la protection des terminaux

Pour protéger efficacement un système d’information des attaques massives et changeantes, l’utilisation d’un Endpoint Detection Response (EDR) est recommandée. Cette technologie peut être assimilée à une solution de cybersécurité qui décèle et répond aux activités malveillantes sur les terminaux. L’EDR se distingue par sa capacité à détecter des cybermenaces particulièrement avancées.

Complémentaire à l’utilisation d’un antivirus, l’EDR se place directement sur les terminaux (ordinateur, smartphone, ou tout objet connecté au SI). Cette technologie est spécifiquement efficace pour lutter contre les menaces persistantes avancées (APT***), qui visent à infiltrer le SI d’une entreprise de manière invisible.

 

Comment fonctionne un EDR ?

L’EDR est continuellement enrichi des données transitant sur le Cloud, limitant ainsi la réussite d’attaques indétectables par un antivirus traditionnel. Dans un système EDR, un agent – ou programme – est posé sur chaque Endpoint. Sa mission est d’effectuer une surveillance continue du terminal qui lui est attribué, pour y détecter les activités malveillantes et y apporter rapidement une réponse adaptée.

En pratique, l’EDR surveille les activités des terminaux (tâches programmées, utilisateurs connectés, applications…) et collecte des données sur l’ensemble des événements susceptibles de constituer un danger. Les données recueillies sont ensuite analysées afin d’identifier d’éventuelles compromissions. En cas d’attaque avérée, l’EDR génère une réponse automatique pour prévenir le service informatique, puis contenir ou supprimer la menace.

 

 

Endpoint Detection Response : quels cas d’usage en entreprise ?

L’EDR pour se protéger du phishing

On entend souvent qu’en cybersécurité, le danger se situe entre la chaise et le clavier. En réalité, les politiques de sensibilisation aux bonnes pratiques cyber diffèrent d’une entreprise à une autre, tout comme le niveau technique des collaborateurs. En 2021, 26% des employés déclaraient avoir déjà cliqué sur un lien de phishing dans un mail. Un chiffre inquiétant, lorsqu’on sait qu’un seul clic malheureux sur un mail de phishing peut compromettre toute une entreprise.

Avec une solution EDR, si un salarié clique sur un mail de phishing ou sur un lien dans ses variantes par sms (smishing), le risque de compromission sera réduit. Le danger sera détecté dès le premier clic sur le lien vérolé, et signalé à la DSI instantanément. L’EDR pourra ensuite isoler l’utilisateur du réseau et ainsi éviter une compromission du SI en cascade.

Grâce à l’EDR, l’impact du facteur humain sur la sécurité de votre système d’information sera donc considérablement réduit.

L’EDR, pour une cybersécurité robuste en télétravail

Ces dernières années ont vu l’apparition de nouveaux usages dans la sphère professionnelle, comme la généralisation du télétravail et du travail hybride. De facto, les entreprises font face à la multiplication des terminaux connectés au SI, et doivent également s’adapter pour que les salariés aient accès aux ressources depuis n’importe quel appareil, peu importe leur position géographique.

Mais ces nouveaux modes de travail loin des bureaux de la DSI multiplient également les risques cyber, que ce soit par le vol d’identifiant, la connexion à un WI-FI public, ou les différentes techniques d’ingénierie sociale****. Cette pluralité d’enjeux nécessite d’ajouter une couche de sécurité supplémentaire pour protéger les terminaux.

Grâce aux indicateurs d’attaques (IoA) et de compromission (IoC) d’une technologie Endpoint Detection Response, les menaces pourront être maîtrisées, stoppées et rapportées au service informatique en quelques minutes. Ainsi, la sécurité des terminaux ne repose pas seulement sur les épaules de vos collaborateurs et l’EDR protège votre SI, peu importe les modes de travail de vos équipes.

 

 

Face à la multiplication des appareils connectés au système informatique des entreprises, la mise en place d’une solution EDR complémentaire à un antivirus est un premier pas essentiel, garant d’une cybersécurité maîtrisée. ESET, Partenaire de Resadia, propose ESET PROTECT Entreprise, une solution XDR (Extended Detection and Response). Plus complet qu’un EDR seul, le XDR ne surveille pas seulement les Endpoints, mais également les mails, les serveurs et le Cloud pour une supervision à 360°.

Découvrir nos solutions de protection des postes

 


Lexique :

* Zero-day : Les attaques « zero-day » sont des cybermenaces nouvellement conçues et qui ne sont pas encore répertoriées par les antivirus.

** Attaques fileless : Une attaque fileless, ou attaque sans fichier est un programme malveillant qui s’exécute sans installer de fichiers. Particulièrement difficiles à détecter, elles s’exécutent dans la mémoire vive de l’appareil attaqué.

*** Advanced Persistent Threat (APT) : Une cyberattaque sophistiquée de longue durée, au cours de laquelle un pirate infiltre une entreprise sur une période prolongée pour voler ses données. Ces attaques sont conçues pour contourner les dispositifs de sécurité établis et échapper à toute détection.

**** Ingénierie sociale : L’ingénierie sociale fait référence aux différentes techniques de manipulation utilisée notamment par les cybercriminels pour inciter les gens à partager des données personnelles ou informations confidentielles.

Restez informés

Découvrir également

Cybersécurité, gestion des accès et des identités
Cybersécurité

Gestion des accès et des identités (IAM) : comment renforcer la cybersécurité de votre entreprise ?

Communications unifiées pour mairie
Communications Unifiées

L’UGAP, Resadia et ALE poursuivent leur collaboration pour offrir des solutions de communication avancées aux collectivités publiques

Datacenter Green
Cloud

Les datacenters écoresponsables : une piste encourageante pour réduire l’empreinte carbone des entreprises