Home » XDR

XDR

XDR (eXtended Detection and Response) désigne une approche holistique de la cybersécurité opérationnelle. Elle se démarque par sa capacité à regrouper et à automatiser sur une plateforme SaaS unifiée l’ensemble des données, analyses et réponses aux menaces cyber, quelle que soit leur origine, leur fournisseur, leur spécialisation. La première promesse du XDR est ainsi de fournir une sécurité opérationnelle rendue beaucoup plus efficace en cassant les silos entre les données ou les équipements, c’est-à-dire de :

  • Décupler les capacités de détection 
  • Relier de façon intelligente les différentes capacités pour circonscrire et appréhender la menace
  • Automatiser de façon adéquate les actions de réponse à l’incident, par exemple, au moyen de playbooks.

Quelles différences entre XDR, EDR et les autres outils de cybersécurité ?

XDR vs EDR

Comme tout domaine émergent, les idées reçues sur le XDR sont encore nombreuses. Au premier chef, celles qui présentent le XDR comme une version améliorée de l’EDR sont souvent le fait des éditeurs spécialisés en EDR.

Démo live sur l’efficacité opérationnelle de SEKOIA.IO

Au contraire, l’usage du XDR permet tout simplement d’ouvrir complètement les domaines d’observation et d’intervention à l’ensemble du périmètre informatique et non pas uniquement sur les terminaux, sur les réseaux (Network Detection & Response, Firewalls), ou toute autre solution de type front-end ou experte.

Pour autant, il ne renvoie pas non plus à une accumulation des outils de sécurité (EDR, EPP, AV, FW, NDR), comme nous l’avons déjà expliqué dans un précédent billet. Sa valeur ajoutée réside dans sa capacité à interconnecter chacun de ces équipements de sécurité et à générer avec le concours de la CTI, des alertes contextualisées, un minimum de faux-positifs mais aussi actionner rapidement sur une seule plateforme, les activités de remédiation. En d’autres termes, une plateforme XDR doit rendre possible une sécurité composable.

Back-end/Front-end

Gartner, dans son guide du marché du XDR, propose de définir la couverture fonctionnelle des solutions XDR en identifiant deux faces. Véritable fondation, le back-end doit irréprochablement fournir toutes les fonctions transversales de la sécurité opérationnelle: renseignement, collecte et traitement d’événements, corrélations inter-canaux, orchestration automatisation, administration, etc… Sur cette fondation peuvent s’intégrer une multitude de solutions expertes ou dédiées à des segments spécifiques du SI, que Gartner appelle collectivement le Front-end: EDR, NDR, CWPP, FW, MTD, etc…

XDR front end and XDR back end

Detection engineering : l’art de la création de règles de détection.

XDR ouvert contre XDR monolithique

On trouve actuellement sur le marché de nombreuses offres portant l’appellation “XDR”. Hormis celles qui relèvent du discours marketing peu scrupuleux habillant des capacités expertes et prétendent fournir un XDR au prétexte qu’elles disposent d’une API, les offres XDR peuvent se ranger en deux grandes familles.

XDR monolithiques, intégrés ou natifs

D’une part, les solutions monolithiques proposent de remplir la promesse du XDR en intégrant directement la totalité des capacités front-end possibles, au prix de performances médiocres sur celles qui sont le plus éloignées de leur expertise historique. On retrouve souvent cette approche chez les vendeurs d’EDR ou de solutions réseau reconvertis au XDR. Trop souvent, ces solutions enferment leurs clients dans un écosystème fermé.

XDR ouverts, ou hybrides

D’autre part, les solutions dites open XDR prennent le parti de l’ouverture des interfaces. C’est une approche pragmatique, qui n’est pas toujours aussi intégrée que les XDR monolithiques mais permet en retour de composer une cybersécurité en fonction de l’existant, et de retenir les meilleures solutions sur chaque périmètre. Par exemple, SEKOIA.IO propose un large catalogue d’intégrations, sans cesse augmenté, couvrant plus de 80% du marché des solutions de cybersécurité, en intégrations de données entrantes comme en interfaces de pilotage des moyens de réponse.

L’agilité, la flexibilité et la robustesse du SaaS

Pour choisir ses outils de sécurité, les éditeurs devraient proposer mais jamais imposer. C’est pourquoi une bonne solution XDR devrait toujours être ouverte et flexible quant aux sources à interconnecter et aux équipements à piloter. Selon vos besoins, vous pourrez ainsi intégrer vos solutions existantes ou aller vers les alternatives de votre choix.

L’architecture nativement SaaS fournit tous les avantages de ce mode de déploiement: maintien en condition opérationnelle et de sécurité assuré par l’éditeur, déploiement facilité, intégrations fluides par APIs publiques…

Chez SEKOIA.IO nous avons poussé cela jusqu’au mode de facturation: là où d’autres avaient pris l’habitude de facturer au volume ou au débit de données, nous proposons une facturation au périmètre couvert, pour assurer déterminisme et prédictibilité des budgets.

Si vous souhaitez en savoir plus sur le principe de fonctionnement des différentes composantes de notre plateforme XDR, dites-le-nous ici.

Vous pouvez aussi découvrir d’autres définitions sur des sujets tels que :

Démo live sur l’efficacité opérationnelle de SEKOIA.IO

Autres termes

Autres termes

EDR(Endpoint Detection and Response)

EDR est l’acronyme de Endpoint Detection and Response. Le terme EDR est apparu pour la première fois en 2013 dans une analyse de la société de conseil Gartner. Analysant le fait que les hackers ciblent prioritairement les postes de travail des salariés, Gartner a introduit le concept de “Endpoint Detection and Response” pour désigner une solution de sécurité permettant de détecter et de remédier aux cybermenaces ciblant les terminaux (ordinateur, serveur).

EPP(Endpoint Protection Platform)

EPP (Endpoint Protection Platform ou plateforme de protection des terminaux en français) est une solution de cybersécurité qui aide les organisations à protéger leurs endpoints (terminaux) tels que les ordinateurs portables, les ordinateurs de bureau, les serveurs et les appareils mobiles.

Échangez avec l’équipe

Vous souhaitez en savoir plus sur nos solutions de protection ?
Vous voulez découvrir nos produits de XDR et de CTI ?
Vous avez un projet de cybersécurité dans votre organisation ?
Prenez rendez-vous et rencontrons-nous !

Chat with our team !

Would you like to know more about our solutions ?
Do you want to discover our XDR and CTI products ?
Do you have a cyber security project in your organization ?
Make an appointment and meet us !