Home » XDR

XDR

XDR ou eXtended Detection and Response désigne une approche holistique de la cybersécurité opérationnelle. Elle se démarque par sa capacité à regrouper et à automatiser sur une plateforme SaaS unifiée l’ensemble des données, analyses et réponses aux menaces cyber, quelle que soit leur origine, leur fournisseur, leur spécialisation. La première promesse du XDR est ainsi de fournir une sécurité opérationnelle rendue beaucoup plus efficace en cassant les silos entre les données ou les équipements, c’est-à-dire de :

  • Décupler les capacités de détection 
  • Relier de façon intelligente les différentes capacités pour circonscrire et appréhender la menace
  • Automatiser de façon adéquate les actions de réponse à l’incident, par exemple, au moyen de playbooks.

Comment fonctionne une technologie XDR ?

Une technologie XDR utilise des algorithmes de machine learning pour analyser les données de sécurité provenant de différentes sources, telles que les logs de sécurité, les analyses de trafic réseau et les données de cyber threat intelligence (CTI). Cette analyse permet de détecter les menaces plus rapidement et plus efficacement que les outils de sécurité traditionnels. De plus, cette manière de faire du XDR permet une réponse rapide et efficace aux menaces détectées, ce qui réduit le temps de réponse et minimise les dommages potentiels.

Quelles différences entre XDR, EDR et les autres outils de cybersécurité ?

XDR vs EDR

Comme tout domaine émergent, les idées reçues sur le XDR sont encore nombreuses. Au premier chef, celles qui présentent le XDR comme une version améliorée de l’EDR sont souvent le fait des éditeurs spécialisés en EDR.

Démo live sur l’efficacité opérationnelle de Sekoia.io

Au contraire, l’usage du XDR permet tout simplement d’ouvrir complètement les domaines d’observation et d’intervention à l’ensemble du périmètre informatique et non pas uniquement sur les terminaux, sur les réseaux (Network Detection & Response, Firewalls), ou toute autre solution de type front-end ou experte.

Pour autant, il ne renvoie pas non plus à une accumulation des outils de sécurité (EDR, EPP, AV, FW, NDR), comme nous l’avons déjà expliqué dans un précédent billet. Sa valeur ajoutée réside dans sa capacité à interconnecter chacun de ces équipements de sécurité et à générer avec le concours de la CTI, des alertes contextualisées, un minimum de faux-positifs mais aussi actionner rapidement sur une seule plateforme, les activités de remédiation.

En d’autres termes, une plateforme XDR doit rendre possible une sécurité composable. Pour choisir ses outils de sécurité, les éditeurs devraient proposer mais jamais imposer. C’est pourquoi une bonne solution XDR devrait toujours être ouverte et flexible quant aux sources à interconnecter et aux équipements à piloter. Selon vos besoins, vous pourrez ainsi intégrer vos solutions existantes ou aller vers les alternatives de votre choix.

 

Quels sont les composants d’une solution XDR ?

Une solution XDR est structurée autour de deux composants à savoir le back-end et le front-end.

Back-end/Front-end

Gartner, dans son guide du marché du XDR, propose de définir la couverture fonctionnelle des solutions XDR en identifiant deux faces. Véritable fondation, le back-end doit irréprochablement fournir toutes les fonctions transversales de la sécurité opérationnelle: renseignement, collecte et traitement d’événements, corrélations inter-canaux, orchestration automatisation, administration, etc… Sur cette fondation peuvent s’intégrer une multitude de solutions expertes ou dédiées à des segments spécifiques du SI, que Gartner appelle collectivement le Front-end: EDR, NDR, CWPP, FW, MTD, etc…

XDR front end and XDR back end

Detection engineering : l’art de la création de règles de détection.

Open XDR contre XDR monolithique

On trouve actuellement sur le marché de nombreuses offres portant l’appellation “XDR”. Hormis celles qui relèvent du discours marketing peu scrupuleux habillant des capacités expertes et prétendent fournir un XDR au prétexte qu’elles disposent d’une API, les offres XDR peuvent se ranger en deux grandes familles.

XDR monolithiques, intégrés ou natifs

D’une part, les solutions monolithiques proposent de remplir la promesse du XDR en intégrant directement la totalité des capacités front-end possibles, au prix de performances médiocres sur celles qui sont le plus éloignées de leur expertise historique. On retrouve souvent cette approche chez les vendeurs d’EDR ou de solutions réseau reconvertis au XDR. Trop souvent, ces solutions enferment leurs clients dans un écosystème fermé.

Open XDR, ou hybrides

D’autre part, les solutions dites open XDR prennent le parti de l’ouverture des interfaces. C’est une approche pragmatique, qui n’est pas toujours aussi intégrée que les XDR monolithiques mais permet en retour de composer une cybersécurité en fonction de l’existant, et de retenir les meilleures solutions sur chaque périmètre. Par exemple, Sekoia.io propose un large catalogue d’intégrations, sans cesse augmenté, couvrant plus de 80% du marché des solutions de cybersécurité, en intégrations de données entrantes comme en interfaces de pilotage des moyens de réponse.

Comment déployer une solution XDR ?

Pour mettre en place une stratégie de sécurité efficace avec XDR, il est important de suivre ces trois étapes :

1. D’abord, définir clairement les objectifs de sécurité de l’entreprise et de déterminer les sources de données à utiliser pour la détection des menaces.

2. Ensuite, mettre en place des processus de réponse aux incidents clairs et efficaces pour minimiser les dommages potentiels.

3. Enfin, procéder à la sélection du fournisseur de votre technologie XDR. Cette dernière étape est importante pour la réussite de votre stratégie de sécurité. Elle doit vous amener à considérer un certain nombre de fonctionnalités clés telles que :

  • L’analyse comportementale

L’analyse comportementale est une fonctionnalité clé de la plupart des produits XDR. Elle permet de détecter les anomalies dans le comportement des utilisateurs et des systèmes, ce qui peut indiquer une activité malveillante.

  • La détection des menaces avancées

La détection des menaces avancées est une autre fonctionnalité clé de la plupart des produits XDR. Elle permet de détecter les menaces qui peuvent contourner les outils de sécurité traditionnels.

  • L’automatisation des réponses aux incidents

L’automatisation des réponses aux incidents permet de répondre rapidement aux menaces détectées. Cette fonctionnalité peut réduire le temps de réponse et minimiser les dommages causés par une attaque.

  • L’intégration avec d’autres outils de sécurité

Il est important de choisir un produit XDR qui peut être intégré avec d’autres outils de sécurité, tels que les pare-feu et les systèmes de gestion des informations de sécurité.

L’architecture nativement SaaS fournit tous les avantages de ce mode de déploiement: maintien en condition opérationnelle et de sécurité assuré par l’éditeur, déploiement facilité, intégrations fluides par APIs publiques…

Chez Sekoia.io nous avons poussé cela jusqu’au mode de facturation: là où d’autres avaient pris l’habitude de facturer au volume ou au débit de données, nous proposons une facturation au périmètre couvert, pour assurer déterminisme et prédictibilité des budgets.

Si vous souhaitez en savoir plus sur le principe de fonctionnement des différentes composantes de notre plateforme XDR, dites-le-nous ici.

Vous pouvez aussi découvrir d’autres définitions sur des sujets tels que :

Démo live sur l’efficacité opérationnelle de Sekoia.io

Autres termes

Autres termes

EDR(Endpoint Detection and Response)

EDR est l’acronyme de Endpoint Detection and Response. Le terme EDR est apparu pour la première fois en 2013 dans une analyse de la société de conseil Gartner. Analysant le fait que les hackers ciblent prioritairement les postes de travail des salariés, Gartner a introduit le concept de “Endpoint Detection and Response” pour désigner une solution de sécurité permettant de détecter et de remédier aux cybermenaces ciblant les terminaux (ordinateur, serveur).

EPP(Endpoint Protection Platform)

EPP (Endpoint Protection Platform ou plateforme de protection des terminaux en français) est une solution de cybersécurité qui aide les organisations à protéger leurs endpoints (terminaux) tels que les ordinateurs portables, les ordinateurs de bureau, les serveurs et les appareils mobiles.

Échangez avec l’équipe

Vous souhaitez en savoir plus sur nos solutions de protection ?
Vous voulez découvrir nos produits de XDR et de CTI ?
Vous avez un projet de cybersécurité dans votre organisation ?
Prenez rendez-vous et rencontrons-nous !

Chat with our team !

Would you like to know more about our solutions ?
Do you want to discover our XDR and CTI products ?
Do you have a cyber security project in your organization ?
Make an appointment and meet us !