L’EDR est un outil indispensable pour tout SOC si l’on cherche à avoir une vision du système d’information dans un contexte d’ouverture.

« Exploiter un EDR n’a rien d’anodin. C’est une solution de sécurité qui demande des compétences, une expertise que toutes les entreprises n’ont pas. Individuellement, les éditeurs argumentent que leurs solutions n’ont pas besoin d’administration. Mais la réalité du terrain montre qu’il faut une équipe derrière pour traiter les alertes. C’est la raison pour laquelle les entreprises se tournent vers des prestaires qui vont les gérer. De toute évidence, un EDR nécessite un suivi adapté. »

Nivelles, jeudi 21 septembre, à l’issue de la première édition de la All Cyber School sur le thème de l’EDR. Christophe Hohl, Technical Advisor, Cyber Security Management, et Florian Lefebvre, Techincal Pre-sales, Advens, répondent aux questions de l’auditoire. En particulier celle-ci : « comment s’assurer d’utiliser au mieux cette solution puissante qu’est l’EDR qui remonte un volume important d’informations ? »

En l’espace de deux ans, rappelle Christophe Hohl, l’EDR (Endpoint Detection and Response) s’est imposé dans la boîte à outils du CISO comme une brique essentielle à la protection des endpoints et des serveurs. Alors que le bon vieil antivirus atteint ses limites lorsqu’il faut bloquer une attaque encore jamais répertoriée par les éditeurs, l’EDR et ses algorithmes d’IA prend le relais. C’est globalement l’argument numéro 1 des éditeurs et leurs partenaires pour pousser cette technologie auprès des entreprises, avec un succès certain.

EDR, par-delà la simple gestion de parc

« Néanmoins, un EDR n’est pas un simple agent antivirus que l’on déploie sur un parc, nuance Florian Lefebvre. En dépit des efforts des éditeurs pour proposer des interfaces conviviales et l’aide apportée par les IA pour filtrer les données, manipuler un EDR va au-delà de la simple gestion de parc. »

L’objectif principal de l’EDR est la détection proactive de menaces nouvelles ou inconnues, mais aussi la détection d’infections non identifiées antérieurement et qui s’infiltrent dans l’organisation en passant directement par les points de terminaison et les serveurs.

Et c’est là que se pose une question majeure : comment s’assurer d’utiliser au mieux cette solution puissante qui remonte un volume important d’informations ?

Les nombreux logiciels du marché de l’EDR rivalisent de puissance. Ils génèrent de nombreuses alertes et nécessitent de mettre en place des politiques de sécurité efficaces, notamment pour gérer les faux positifs, estime Florian Lefebvre. « Le volume d’alertes et la philosophie de l’outil, plus proche du SIEM pour endpoints que de l’antivirus, exigent donc un suivi adapté. Celui-ci doit être effectué par des ressources compétentes, formées aux solutions en place et aux bonnes pratiques d’analyse de sécurité. »

La remédiation, c’est pas automatique

« La promesse de remédiation -le R de « Response »- est séduisante, mais n’a rien d’une formule magique. Cette dimension permet bien sûr de gagner en réactivité, mais une prise de décision humaine reste nécessaire au vu des impacts potentiels, enchaîne Christophe Hohl. C’est d’ailleurs pour cette même raison qu’une automatisation complète de la réponse n’est pas souhaitable même si elle reste techniquement possible. »

Pour les deux experts, les fonctionnalités de détection et de protection EDR sont complémentaires aux services SOC (Security Operations Center). En récupérant de la télémétrie sur les machines, l’EDR est en capacité de modéliser finement un comportement ou enchainement d’actions correspondant à un scénario d’attaque. Certaines actions peuvent être gérées automatiquement tandis que d’autres nécessiteront une investigation et une levée de doute notamment dans le cas de faux-positifs. Dans ce dernier cas, il est nécessaire qu’une analyse complémentaire soit réalisée en 24/7.

Intervention humaine, toujours

Pour Florian Lefebvre, « ce type d’action intervient dans les opérations effectuées quotidiennement par des équipes SOC. Ces dernières ont aujourd’hui de plus en plus d’alertes qui leur sont remontées par des solutions EDR. » Certains comportements peuvent être causés par une utilisation légitime matchant avec un scénario de détection d’attaque. Dans ce cas, un cyber-analyste va se pencher sur le sujet en comparant ces éléments avec les fiches d’instructions présentes dans sa base de données. Ces informations peuvent être assimilés à l’ensemble des retours d’expérience du service SOC. L’analyste va également s’appuyer sur des outils de corrélation qui permettent de connaitre plus finement le niveau de menace. Il va pouvoir appliquer le principe de précaution dans l’éventualité où un problème surviendrait la nuit par exemple. Ce dernier peut s’appliquer en confinant certains postes.

« Ces actions, sujettes à interprétation, ne peuvent être réalisées que par intervention humaine », insiste Florian Lefebvre. C’est pour ces raisons que l’utilisation d’une solution EDR ne peut être dissociée aux services opérés par un SOC.

Vision globale

Ce binôme EDR-SOC s’intègre dans une démarche de sécurité opérationnelle qui comprend une phase de résilience de l’entreprise, renchérit Christophe Hohl.

« les remontées d’incidents associés donnent des éléments intéressants concernant les modalités d’attaques qui passent à travers ces équipements, également au niveau de la progression des populations ciblés lors de campagne de ransomware ou de propagation de logiciel malveillant. » 

L’EDR est donc un outil indispensable pour tout SOC si l’on cherche à avoir une vision du système d’information dans un contexte d’ouverture.

Photos : Antoine Similon – Texte : Alain de Fooz