Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet

cr  02.01.2017      r+  21.08.2023      r-  20.10.2024      Pierre Pinard.         (Alertes et avis de sécurité au jour le jour)

L'acronyme EDR est utilisé pour : Endpoint Detection and Response.

En français : Détection et réponse sur les points de terminaison.




Les solutions « EDR » :

Une solution « EDR » (« Endpoint detection and response » – « Détection et réponse sur les points de terminaison ») :

  • Détectent les attaques contournant les « NGAV », ce qui permet aux équipes de sécurité de bloquer le cyberadversaire avant qu’il ne puisse se déplacer latéralement dans le réseau. La solution « EDR » peut être comparée à un filet de sécurité qui piège les menaces ayant déjoué la première ligne de défense (le « NGAV »).

  • Collecte des données sur l’attaque, notamment les TTPs (Techniques, Tactiques et Procédures) employées. Le service de sécurité informatique dispose ainsi d’informations contextualisées, concernant notamment l’attribution, le cas échéant, ainsi que des détails sur le cybercriminel et toutes autres informations connues sur l’attaque. La solution NGAV pourra dès lors répondre plus rapidement aux menaces et les neutraliser avec précision afin de limiter les dégâts. Une fois la menace contenue, l’outil EDR aide également le service de sécurité informatique à collecter plus de détails sur le déroulement et la propagation de l’attaque afin de prévenir des attaques similaires à l’avenir.

Solutions NGAV vs solutions EDR

L’une ne va pas sans l’autre.

La terminologie « Next generation antivirus » et l'acronyme « NGAV » apparaissent publiquement dans un écrit de cybereason.com publié le 01.06.2017, mais la démarche intellectuelle des éditeurs de solutions de sécurité et de tentatives de prévenir les élucubrations des concepteurs et éditeurs d'attaques et virus est antérieure.

Les technologies des antivirus pour le grand public utilisent également les approches préventives et curatives des NGAV, mais avec l'obligation de mises à jour en continu, instantanées et homogènes, sans interruption de l'activité.

Les EDR sont complètement autre chose : ils ne s'adressent qu'aux grandes installations informatiques disposant de nombreux points de terminaison, voire de nombreux centres de calcul géographiquement distribués, et d'un service informatique. Les EDR sont des outils d'observation et d'intelligence (compréhension) des manoeuvres tentées pour conduire une attaque qui n'aurait pas été bloquée par l'antivirus de nouvelle génération et lui fournir de nouveaux paramètres (de nouvelles pistes) à bloquer / filtrer ou de fournir ces informations au service informatique de l'entreprise et à l'éditeur du NGAV pour analyse (ou décréter qu'il s'agit d'une manoeuvre inhabituelle, mais légitime) et, toujours, enrichir les bases de connaissances du NGAV.