EDR vs MDR : quelles différences pour la cybersécurité ?
Les acronymes sont courants dans le domaine de la cybersécurité et le l’IT en général. Avec l’essor du cloud computing, du travail à distance et surtout l’augmentation exponentielle des cyberattaques, 2 sigles sont particulièrement populaires. Il s’agit de l’EDR pour Endpoint Detection et du MDR pour Managed Detection and Response. Mais les deux termes sont souvent confondus, y compris par les experts en cybersécurité. Découvrez dans cet article les différences entre EDR et MDR afin de faire le meilleur choix pour détecter les menaces et sécuriser votre système informatique.
EDR : la détection des menaces des terminaux
Comme son nom l’indique, l’EDR se concentre principalement sur les endpoint c’est-à-dire les terminaux hôte ou périphériques tels que les ordinateurs, les tablettes, les smartphones, etc. Son objectif est de détecter les menaces qui pèsent sur les équipements informatiques d’une organisation. Pour cela les solutions EDR combinent des fonctionnalités de :
Surveillance automatique et protection des terminaux
Les systèmes EDR sont conçus pour protéger les terminaux en collectant et en agrégeant des données du dispositif à sécuriser pour détecter automatiquement toutes les utilisations anormales ou menaces.
Détection d’anomalies (avec l’apport de l’intelligence artificielle)
Les solutions EDR intègrent des technologies d’intelligence artificielle comme le deep learning ou l’apprentissage automatique pour détecter les menaces. Ces systèmes peuvent ainsi analyser un grand volume de données et en extraire des modèles comportementaux et tendances qui leur permettent ensuite de déceler les anomalies, les éventuelles intrusions ainsi que d’autres problèmes impactant le système informatique.
Grâce à cette analyse comportementale, l’EDR peut aller plus loin que les solutions basées sur les signatures telles que les pare-feu et antivirus. Il peut protéger les équipements informatiques des menaces qui échappent aux systèmes plus traditionnels, notamment les logiciels malveillants sans fichiers, les virus zero-day, ou encore les menaces internes.
Gestion des journaux des périphériques
Les périphériques ou points de terminaison peuvent générer eux-mêmes de nombreuses informations, notamment des logs (fichiers journaux). Les solutions EDR permettent de collecter et analyser automatiquement les données des logs.
Si une attaque ou une anomalie surviennent, les informations recueillies offrent aux équipes de cybersécurité une visibilité totale et un enregistrement complet de ce qui s’est passé sur le périphérique. Cela leur permet d’identifier rapidement les attaques et de déterminer les étapes de correction nécessaires. Dans un second temps, cela leur permet également d’éliminer des vulnérabilités et failles des terminaux.
Les systèmes EDR fonctionnent donc principalement en collectant des données sur les terminaux et en utilisant des analyses comportementales. Lorsque l’anomalie est détectée, l’EDR peut contenir la menace (par exemple en bloquant un utilisateur ou l’accès au réseau). Mais ensuite une alerte est systématiquement remontée pour qu’une intervention humaine ait lieu. C’est à ce niveau que le MDR peut être exploité.
MDR : la gestion des menaces détectées
Le MDR est davantage un service qu’une technologie. Ce système combine la détection des menaces et l’expertise humaine pour y répondre. Les offres des fournisseurs de MDR incluent donc le plus souvent une technologie EDR pour l’identification des menaces sur les terminaux ainsi que les services suivants :
Une surveillance continue du réseau
Les cyberattaques peuvent survenir à tout moment. Les prestataires de MDR utilisent généralement des SOC (Security operation Center) c’est-à-dire un centre de commande permettant aux équipes chargées de la cybersécurité de surveiller, d’analyser et de protéger plus facilement un système informatique.
Ces SOC s’appuient principalement sur 4 outils :
Les SIEM ou outils de gestion des informations et des événements de sécurité qui permettent de corréler les règles avec les volumes de données reçues et ainsi de détecter les menaces.
La surveillance comportementale qui repose comme pour l’EDR sur les technologies d’intelligence artificielle et d’apprentissage automatique.
Les IDS ou systèmes de détection d’intrusion qui donnent la possibilité aux SOC de détecter les attaques dès leurs apparitions. Les IDS fonctionnent en identifiant les schémas d’attaque connus (grâce à des signatures d’intrusion) ;
L’évaluation des vulnérabilités, basées sur des certifications et réglementations, qui permet de valider la conformité du système informatique.
Une chasse aux menaces
Les services MDR vont au-delà de la détection des menaces fournie par les EDR ainsi que les autres outils de cybersécurité. Ils incluent une approche proactive de “chasse aux menaces” dans laquelle des équipes recherchent toutes les failles et intrusions qui n’auraient pas été identifiées par les outils automatiques.
On distingue 2 grands types dans cette chasse aux menaces :
la chasse aux menaces avec indices (lead driven) où les analystes en sécurité utilisent leurs outils pour détecter tout comportement malveillant et suspect puis investiguent dessus ;
la chasse aux menaces sans indices (leadless) où aucune intrusion ou anomalie ne sert de point de départ. Ici l’analyse consiste à réaliser de manière proactive des requêtes au niveau des domaines d’un client pour étudier ses réponses.
Une gestion des systèmes de sécurité
Pour se prémunir des cyberattaques, les entreprises doivent déployer, configurer, maintenir et faire évoluer tout un ensemble de solutions de cybersécurité. Avec le MDR, ces responsabilités sont transférées au fournisseur de service.
Cet argument rend le MDR particulièrement populaire en entreprise. Le cabinet Gartner estime ainsi que d’ici à peine quatre ans, 50 % des organisations utiliseront le MDR. Ce recours massif serait aussi lié :
à la pénurie de talents IT qui fait que 76 % des responsables de la cybersécurité estiment qu’ils ne sont pas en mesure d’utiliser les technologies à leur plein avantage en raison d’un manque d’effectifs.
au nombre croissant d’alertes et d’attaques qui font que les équipes ne peuvent plus toutes les traiter. Selon Gartner, 28 % des alertes seraient ainsi ignorées par manque de temps et de moyen.
MDR vs EDR ne sont donc pas forcément opposables… Les services MDR reposent en grande partie sur la détection automatique des menaces pesant sur terminaux. Le choix doit surtout se faire en fonction des ressources et besoins de l’organisation. Le MDR étant notamment une solution idéale en cas d’absence d’expertise en interne.
Et vous, en tant que professionnel de l’IT, utilisez-vous des systèmes EDR ou avez-vous recours à des services MDR ? N’hésitez pas à nous faire part de vos témoignages sur le forum IT.
Sources et liens utiles :
Commentaire
Connectez-vous ou créez votre compte pour réagir à l’article.