À l’heure d’évaluer leurs besoins en matière de cybersécurité et les options qui s’offrent à elles, de nombreuses entreprises se retrouvent confrontées à la question suivante :
Vaut-il mieux choisir une plateforme de protection des endpoints (EPP) ou une solution de détection et d’intervention sur les postes et serveurs (EDR) ?
En fait, cette question n’a pas lieu d’être, car l’EPP et l’EDR sont deux composantes fondamentales et distinctes de toute stratégie complète de cybersécurité. Bien qu’étroitement liées, ces deux composantes ne peuvent pas se substituer l’une à l’autre et il convient de ne pas en utiliser une au détriment de l’autre.
Cet article examine le lien entre ces deux fonctionnalités critiques de cybersécurité et déconstruit certaines idées reçues que les entreprises peuvent avoir lorsqu’elles analysent le paysage complexe et pléthorique des solutions de sécurité.
Qu’est-ce qu’une plateforme de protection des endpoints (EPP) ?
Une plateforme de protection des endpoints (EPP, Endpoint Protection Platform) est une suite de technologies de sécurité des endpoints (antivirus et solutions de chiffrement des données et de prévention des fuites de données, par exemple) implémentées au niveau d’un endpoint afin de détecter et de prévenir les menaces de sécurité telles que les attaques de logiciels malveillants basées sur des fichiers et d’autres activités malveillantes. Elle permet également de mener des investigations et d’apporter une réponse aux incidents dynamiques de sécurité. Les solutions EPP avancées recourent à diverses techniques de détection, sont principalement gérées dans le cloud et s’appuient sur les données en provenance du cloud.
Les plateformes de protection des endpoints empêchent les compromissions en collectant d’importants volumes de données sur les endpoints et en appliquant les outils les plus performants, notamment l’intelligence artificielle, l’analyse comportementale, la cyberveille et le Threat Hunting humain. Pour être efficaces, elles doivent exploiter ces importants volumes de données afin d’anticiper continuellement la prochaine menace avancée.
FONCTIONNALITÉS CRITIQUES DE LA SÉCURITÉ MODERNE DES ENDPOINTS
Téléchargez cet eBook pour en savoir plus sur les cinq fonctionnalités indispensables d’une approche moderne de la sécurité des endpoints.
TéléchargerQu’est-ce qu’une solution de détection et d’intervention sur les postes et serveurs (EDR) ?
Une solution EDR (EDR, Endpoint Detection and Response), également appelée solution de détection et de réponse aux menaces sur les postes et serveur (EDTR), est une solution de sécurité des endpoints qui surveille en permanence les terminaux et les workloads des utilisateurs finaux afin d’offrir une visibilité complète et continue sur ce qui se trame en temps réel sur les endpoints. Elle permet aux équipes de cybersécurité de détecter et de bloquer rapidement et efficacement les cybermenaces telles que les ransomwares et les logiciels malveillants.
Un outil EDR doit disposer des fonctionnalités suivantes : détection des menaces avancées, investigation et intervention, notamment recherche et investigation des données d’incidents, tri des alertes, validation des activités suspectes, Threat Hunting, et détection et confinement des activités malveillantes.
Dans bien des cas, la solution EDR permet de détecter des menaces qui échappent aux antivirus traditionnels, ainsi que des incidents qui passeraient autrement inaperçus.
EPP et EDR : tableau comparatif
EPP | EDR |
---|---|
Suite de technologies de sécurité des endpoints qui fonctionnent de concert pour prévenir, détecter et neutraliser les menaces de sécurité | Solution unique offrant une visibilité sur l'activité au niveau des endpoints afin d'améliorer les fonctionnalités de détection et d'intervention |
Mécanisme de défense global intégrant la prévention (antivirus de nouvelle génération (NGAV)), la détection (EDR), le Threat Hunting, la cyberveille et la gestion des vulnérabilités | « Filet de sécurité » permettant d'identifier et de bloquer les menaces qui contournent les mesures de prévention |
Élément structurel servant au déploiement et à l'exécution de fonctionnalités de sécurité supplémentaires | Élément déterminant et fonctionnalité critique de la plateforme de sécurité |
Au regard de ces caractéristiques, il apparaît que l’EDR est simplement un composant d’une plateforme de protection des endpoints. En outre, une solution EPP intègre de nombreuses technologies de cybersécurité supplémentaires au-delà de la détection, notamment un antivirus de nouvelle génération (NGAV), le Threat Hunting, la cyberveille et la gestion des vulnérabilités.
Une plateforme avancée ou complète de protection des endpoints intègre une solution EDR afin d’offrir des capacités robustes de détection et d’intervention. L’intégration d’une solution EDR permet à la plateforme de protection des endpoints d’identifier tout incident anormal, mais aussi de mener les investigations nécessaires et de limiter les compromissions détectées. Il peut s’agir d’isoler les endpoints compromis afin de bloquer la progression de la compromission et de permettre la résolution de l’incident.
Trois idées reçues courantes concernant les solutions EPP et EDR
Après avoir examiné le b.a.-ba des solutions EPP et EDR et ce qui les relie, déconstruisons à présent quelques idées préconçues concernant ces deux fonctions de sécurité.
Idée reçue 1 : entre solution EPP et solution EDR, il faut choisir
En vrai : les entreprises n’ont pas à effectuer un choix binaire entre solutions EPP et EDR. En fait, il s’agit de deux fonctionnalités distinctes qui n’ont qu’une valeur limitée lorsqu’elles sont prises isolément. Si l’on dresse une analogie avec une voiture, la solution EPP est la carrosserie et la solution EDR le moteur : l’une ne va pas sans l’autre.
Idée reçue 2 : une solution EPP est une forme passive de prévention
En vrai : l’acronyme anglais « EPP » signifie « Endpoint Protection Platform », et non « Endpoint Passive Prevention ». La prévention est certes une fonctionnalité majeure de la solution EPP, mais elle ne représente qu’une forme de protection parmi d’autres au sein de la plateforme. Outre la prévention, une véritable solution EPP intègre des fonctionnalités de détection, de Threat hunting, de cyberveille et de gestion des vulnérabilités.
Idée reçue 3 : une solution EDR se suffit à elle-même
En vrai : une solution EDR aide les équipes de sécurité à comprendre ce qui se passe sur le réseau au niveau des endpoints, ce qui peut leur permettre d’identifier et de bloquer les attaques. Cependant, pour se prémunir contre les attaques les plus récentes, les entreprises doivent impérativement recourir à un éventail plus large et plus complet de fonctionnalités de protection, y compris celles optimisées par la cyberveille humaine et des technologies complémentaires.
Quels sont les éléments critiques d’une solution EPP complète ?
L’EDR est l’un des éléments de base de toute solution EPP. Les entreprises doivent toutefois intégrer plusieurs autres composants dans leur stratégie de cybersécurité pour se protéger des menaces avancées et des techniques en constante évolution utilisées par les cyberadversaires, à savoir :
- Prévention pour bloquer autant d’éléments malveillants que possible
- Détection pour identifier et neutraliser les cyberattaquants
- Threat Hunting managé pour dépasser le stade de l’automatisation en matière de détection
- Intégration de la cyberveille pour comprendre et anticiper les attaques et les techniques sur lesquelles elles s’appuient
- Gestion des vulnérabilités et hygiène IT pour préparer et renforcer l’environnement contre les cybermenaces et les attaques
Au vu de ce qui précède, toute solution EPP se doit d’offrir un large panel de fonctions de cybersécurité dépassant la simple prévention. En fait, lorsqu’on parle de « prévention », on fait généralement uniquement référence au composant NGAV d’une solution EPP.
De la même façon, l’EDR ne remplit que la fonction de détection au sein de la suite complète des services EPP.
LE COÛT RÉEL D'UNE SOLUTION TRADITIONNELLE DE SÉCURITÉ DES ENDPOINTS
Téléchargez ce livre blanc pour découvrir les points faibles des solutions d’ancienne génération.
TéléchargerQu’attendre d’une solution EDR ?
Pour ne pas se laisser distancer par les cyberadversaires d’aujourd’hui et leurs techniques en constante évolution, les entreprises doivent se doter d’une solution EDR intégrant les fonctionnalités suivantes :
- Enregistrement de toutes les activités pertinentes au niveau des endpoints et des workloads
- Enrichissement des données du réseau, des endpoints et des utilisateurs avec la cyberveille pour fournir le contexte nécessaire et identifier les activités et événements anormaux
- Mise en œuvre de l’automatisation afin de garantir une adaptation rapide et un faible taux de faux positifs
- Détection des activités malveillantes et des attaques réelles (pas les activités inoffensives) sans que les équipes de sécurité ne doivent écrire et optimiser elles-mêmes les règles de détection
Conclusion : une stratégie et une solution complètes de cybersécurité
Les entreprises ne doivent pas commettre l’erreur de choisir entre une plateforme de protection des endpoints et une solution EDR. Elles doivent plutôt voir comment intégrer la solution EDR et les autres solutions de sécurité dans leur plateforme EPP afin de renforcer leur niveau global de sécurité et d’assurer une protection complète dans un paysage des menaces toujours plus préoccupant.
À l’heure d’évaluer les solutions de cybersécurité et leurs fournisseurs, il est donc important de faire appel à un partenaire qui offre une protection totale de bout en bout ainsi qu’une gamme complète de services.
Plateforme de protection des endpoints de CrowdStrike
CrowdStrike redéfinit la sécurité avec sa plateforme cloud native la plus avancée au monde, conçue pour protéger et optimiser les ressources humaines, les processus et les technologies qui soutiennent les entreprises modernes.
Optimisée par l’architecture de sécurité cloud de CrowdStrike, la plateforme CrowdStrike Falcon® s’appuie sur des indicateurs d’attaque en temps réel, la cyberveille, l’évolution des techniques des cybercriminels et des données télémétriques enrichies récoltées à l’échelle de l’entreprise pour assurer une détection ultraprécise, une protection et une correction automatisées, un Threat Hunting de pointe et une observation priorisée des vulnérabilités.
Avec la plateforme cloud CrowdStrike Falcon, les clients bénéficient d’une protection renforcée, de performances supérieures et d’une efficacité immédiate.
PROTECTION DES ENDPOINTS — GUIDE D'ACHAT
Explorez les fonctionnalités indispensables de toute plateforme de protection des endpoints grâce à notre Guide d’achat consacré à la protection des endpoints
Télécharger