XDR

XDR ou eXtended Detection and Response désigne une approche holistique de la cybersécurité opérationnelle. Elle se démarque par sa capacité à regrouper et à automatiser sur une plateforme SaaS unifiée l’ensemble des données, analyses et réponses aux menaces cyber, quelle que soit leur origine, leur fournisseur, leur spécialisation. La première promesse du XDR est ainsi de fournir une sécurité opérationnelle rendue beaucoup plus efficace en cassant les silos entre les données ou les équipements, c’est-à-dire de :

Décupler les capacités de détection
Relier de façon intelligente les différentes capacités pour circonscrire et appréhender la menace
Automatiser de façon adéquate les actions de réponse à l’incident, par exemple, au moyen de playbooks.

Comment fonctionne une technologie XDR ?

Une technologie XDR utilise des algorithmes de machine learning pour analyser les données de sécurité provenant de différentes sources, telles que les logs de sécurité, les analyses de trafic réseau et les données de cyber threat intelligence (CTI). Cette analyse permet de détecter les menaces plus rapidement et plus efficacement que les outils de sécurité traditionnels. De plus, cette manière de faire du XDR permet une réponse rapide et efficace aux menaces détectées, ce qui réduit le temps de réponse et minimise les dommages potentiels.

Quelles différences entre XDR, EDR et les autres outils de cybersécurité ?

XDR vs EDR

Comme tout domaine émergent, les idées reçues sur le XDR sont encore nombreuses. Au premier chef, celles qui présentent le XDR comme une version améliorée de l’EDR sont souvent le fait des éditeurs spécialisés en EDR.

Démo live sur l’efficacité opérationnelle de Sekoia.io

Visionnez le replay

Au contraire, l’usage du XDR permet tout simplement d’ouvrir complètement les domaines d’observation et d’intervention à l’ensemble du périmètre informatique et non pas uniquement sur les terminaux, sur les réseaux (Network Detection & Response, Firewalls), ou toute autre solution de type front-end ou experte.

Pour autant, il ne renvoie pas non plus à une accumulation des outils de sécurité (EDR, EPP, AV, FW, NDR), comme nous l’avons déjà expliqué dans un précédent billet. Sa valeur ajoutée réside dans sa capacité à interconnecter chacun de ces équipements de sécurité et à générer avec le concours de la CTI, des alertes contextualisées, un minimum de faux-positifs mais aussi actionner rapidement sur une seule plateforme, les activités de remédiation.

En d’autres termes, une plateforme XDR doit rendre possible une sécurité composable. Pour choisir ses outils de sécurité, les éditeurs devraient proposer mais jamais imposer. C’est pourquoi une bonne solution XDR devrait toujours être ouverte et flexible quant aux sources à interconnecter et aux équipements à piloter. Selon vos besoins, vous pourrez ainsi intégrer vos solutions existantes ou aller vers les alternatives de votre choix.

Quels sont les composants d’une solution XDR ?

Une solution XDR est structurée autour de deux composants à savoir le back-end et le front-end.

Back-end/Front-end

Gartner, dans son guide du marché du XDR, propose de définir la couverture fonctionnelle des solutions XDR en identifiant deux faces. Véritable fondation, le back-end doit irréprochablement fournir toutes les fonctions transversales de la sécurité opérationnelle: renseignement, collecte et traitement d’événements, corrélations inter-canaux, orchestration automatisation, administration, etc… Sur cette fondation peuvent s’intégrer une multitude de solutions expertes ou dédiées à des segments spécifiques du SI, que Gartner appelle collectivement le Front-end: EDR, NDR, CWPP, FW, MTD, etc…

Detection engineering : l’art de la création de règles de détection.

Visionnez le replay

Open XDR contre XDR monolithique

On trouve actuellement sur le marché de nombreuses offres portant l’appellation “XDR”. Hormis celles qui relèvent du discours marketing peu scrupuleux habillant des capacités expertes et prétendent fournir un XDR au prétexte qu’elles disposent d’une API, les offres XDR peuvent se ranger en deux grandes familles.

XDR monolithiques, intégrés ou natifs

D’une part, les solutions monolithiques proposent de remplir la promesse du XDR en intégrant directement la totalité des capacités front-end possibles, au prix de performances médiocres sur celles qui sont le plus éloignées de leur expertise historique. On retrouve souvent cette approche chez les vendeurs d’EDR ou de solutions réseau reconvertis au XDR. Trop souvent, ces solutions enferment leurs clients dans un écosystème fermé.

Open XDR, ou hybrides

D’autre part, les solutions dites open XDR prennent le parti de l’ouverture des interfaces. C’est une approche pragmatique, qui n’est pas toujours aussi intégrée que les XDR monolithiques mais permet en retour de composer une cybersécurité en fonction de l’existant, et de retenir les meilleures solutions sur chaque périmètre. Par exemple, Sekoia.io propose un large catalogue d’intégrations, sans cesse augmenté, couvrant plus de 80% du marché des solutions de cybersécurité, en intégrations de données entrantes comme en interfaces de pilotage des moyens de réponse.

Comment déployer une solution XDR ?

Pour mettre en place une stratégie de sécurité efficace avec XDR, il est important de suivre ces trois étapes :

1. D’abord, définir clairement les objectifs de sécurité de l’entreprise et de déterminer les sources de données à utiliser pour la détection des menaces.

2. Ensuite, mettre en place des processus de réponse aux incidents clairs et efficaces pour minimiser les dommages potentiels.

3. Enfin, procéder à la sélection du fournisseur de votre technologie XDR. Cette dernière étape est importante pour la réussite de votre stratégie de sécurité. Elle doit vous amener à considérer un certain nombre de fonctionnalités clés telles que :

L’analyse comportementale

L’analyse comportementale est une fonctionnalité clé de la plupart des produits XDR. Elle permet de détecter les anomalies dans le comportement des utilisateurs et des systèmes, ce qui peut indiquer une activité malveillante.

La détection des menaces avancées

La détection des menaces avancées est une autre fonctionnalité clé de la plupart des produits XDR. Elle permet de détecter les menaces qui peuvent contourner les outils de sécurité traditionnels.

L’automatisation des réponses aux incidents

L’automatisation des réponses aux incidents permet de répondre rapidement aux menaces détectées. Cette fonctionnalité peut réduire le temps de réponse et minimiser les dommages causés par une attaque.

L’intégration avec d’autres outils de sécurité

Il est important de choisir un produit XDR qui peut être intégré avec d’autres outils de sécurité, tels que les pare-feu et les systèmes de gestion des informations de sécurité.

L’architecture nativement SaaS fournit tous les avantages de ce mode de déploiement: maintien en condition opérationnelle et de sécurité assuré par l’éditeur, déploiement facilité, intégrations fluides par APIs publiques…

Chez Sekoia.io nous avons poussé cela jusqu’au mode de facturation: là où d’autres avaient pris l’habitude de facturer au volume ou au débit de données, nous proposons une facturation au périmètre couvert, pour assurer déterminisme et prédictibilité des budgets.

Si vous souhaitez en savoir plus sur le principe de fonctionnement des différentes composantes de notre plateforme XDR, dites-le-nous ici.

Vous pouvez aussi découvrir d’autres définitions sur des sujets tels que :

Démo live sur l’efficacité opérationnelle de Sekoia.io

Visionnez le replay

Autres termes

Autres termes

EDR(Endpoint Detection and Response)

EDR est l’acronyme de Endpoint Detection and Response. Le terme EDR est apparu pour la première fois en 2013 dans une analyse de la société de conseil Gartner. Analysant le fait que les hackers ciblent prioritairement les postes de travail des salariés, Gartner a introduit le concept de “Endpoint Detection and Response” pour désigner une solution de sécurité permettant de détecter et de remédier aux cybermenaces ciblant les terminaux (ordinateur, serveur).

EPP(Endpoint Protection Platform)

EPP (Endpoint Protection Platform ou plateforme de protection des terminaux en français) est une solution de cybersécurité qui aide les organisations à protéger leurs endpoints (terminaux) tels que les ordinateurs portables, les ordinateurs de bureau, les serveurs et les appareils mobiles.

Échangez avec l’équipe

Vous souhaitez en savoir plus sur nos solutions de protection ?
Vous voulez découvrir nos produits de XDR et de CTI ?
Vous avez un projet de cybersécurité dans votre organisation ?
Prenez rendez-vous et rencontrons-nous !

Contactez-nous

Chat with our team !

Would you like to know more about our solutions ?
Do you want to discover our XDR and CTI products ?
Do you have a cyber security project in your organization ?
Make an appointment and meet us !

Cookie	Durée	Description
__hssrc	session	Ce cookie est réglé par Hubspot. Selon leur documentation, chaque fois que HubSpot change le cookie de session, ce cookie est également défini pour déterminer si le visiteur a redémarré son navigateur. Si ce cookie n’existe pas lorsque HubSpot gère les cookies, il est considéré comme une nouvelle session.
cookielawinfo-checkbox-advertisement	1 an	Le cookie est défini par le consentement du cookie RGPD pour enregistrer le consentement de l’utilisateur pour les cookies dans la catégorie "Publicité".
cookielawinfo-checkbox-analytics	1 an	Ces cookies sont définis par GDPR Cookie Consent WordPress Plugin. Le cookie est utilisé pour mémoriser le consentement de l’utilisateur pour les cookies dans la catégorie "Analytics".
cookielawinfo-checkbox-necessary	1 an	Ce cookie est défini par GDPR Cookie Consent plugin. Les cookies sont utilisés pour stocker le consentement de l’utilisateur pour les cookies dans la catégorie "Nécessaire".
cookielawinfo-checkbox-performance	1 an	Ce cookie est défini par GDPR Cookie Consent plugin. Le cookie est utilisé pour stocker le consentement de l’utilisateur pour les cookies dans la catégorie "Performance".

Cookie	Durée	Description
__hssc	30 minutes	Ce cookie est défini par HubSpot. Le but du cookie est de garder une trace des sessions. Ceci est utilisé pour déterminer si HubSpot doit incrémenter le numéro de session et les horodatages dans le cookie __hstc. Il contient le domaine, viewCount (incréments de chaque page dans une session), et l’horodatage de début de session.
bcookie	2 ans	Ce cookie est défini par linkedIn. L’objectif du cookie est d’activer les fonctionnalités LinkedIn sur la page.
lang	session	Ce cookie est utilisé pour stocker les préférences linguistiques d’un utilisateur pour diffuser du contenu dans cette langue stockée la prochaine fois que l’utilisateur visite le site Web.
lidc	1 jour	Ce cookie est défini par LinkedIn et utilisé pour le routage.
pll_language	1 an	Ce cookie est défini par Polylang plugin pour les sites web WordPress. Le cookie stocke le code de langue de la dernière page consultée.

Cookie	Durée	Description
__hstc	1 an et 24 jours	Ce cookie est défini par Hubspot et est utilisé pour le suivi des visiteurs. Il contient le domaine, utk, l’horodatage initial (première visite), l’horodatage dernier (dernière visite), l’horodatage actuel (cette visite) et le numéro de session (incréments pour chaque session suivante).
_ga	2 ans	Ce cookie est installé par Google Analytics. Le cookie est utilisé pour calculer les données des visiteurs, des sessions, des campagnes et pour suivre l’utilisation du site pour le rapport d’analyse du site. Les cookies stockent les informations de manière anonyme et attribuent un numéro généré aléatoirement pour identifier les visiteurs uniques.
_gat_gtag_UA_152945562_1	1 minute	Ce cookie est défini par Google et est utilisé pour distinguer les utilisateurs.
_gcl_au	3 mois	This cookie is used by Google Analytics to understand user interaction with the website.
_gid	1 jour	Ce cookie est installé par Google Analytics. Le cookie est utilisé pour stocker des informations sur la façon dont les visiteurs utilisent un site Web et aide à créer un rapport analytique sur la façon dont le site Web se comporte. Les données recueillies, y compris le nombre de visiteurs, la source d’où ils viennent, et les pages visitées sous une forme anonyme.
hubspotutk	1 an et 24 jours	Ce cookie est utilisé par HubSpot pour garder une trace des visiteurs du site. Ce cookie est transmis à Hubspot lors de la soumission des formulaires et utilisé lors de la déduplication des contacts.

Cookie	Durée	Description
bscookie	2 ans	Ce cookie est un cookie d’identification de navigateur défini par les boutons de partage LinkedIn et les balises publicitaires.
Inbound Converter	2 ans	Ce script communique à TechTarget les comptes qui, sur la base d'une recherche IP inversée, ont visité le site Web. Les informations transmises sont les suivantes : URL de la page, horodatage de la visite et l'adresse IP.
test_cookie	15 minutes	Ce cookie est défini par doubleclick.net. L’objectif du cookie est de déterminer si le navigateur de l’utilisateur supporte les cookies.

Cookie	Durée	Description
AnalyticsSyncHistory	1 mois	Pas de description
cookielawinfo-checkbox-functional	1 an	Le cookie est défini par le consentement du cookie RGPD pour enregistrer le consentement de l’utilisateur pour les cookies dans la catégorie "Fonctionnel".
cookielawinfo-checkbox-others	1 an	Pas de description.
li_gc	2 ans	Pas de description.
UserMatchHistory	1 mois	Linkedin - Utilisé pour suivre les visiteurs sur plusieurs sites Web, afin de présenter une publicité pertinente en fonction des préférences du visiteur.