Plus les ar­chi­tec­tures in­for­ma­tiques sont hybrides, avec de multiples terminaux, Clouds et serveurs intégrés, plus le paysage des menaces est dynamique. Dans ce contexte, le XDR (Extended Detection and Response) est une solution de sécurité moderne et per­for­mante, composée de dif­fé­rents outils d’analyse et de sécurité. En tant que concept global, le XDR examine presque tous les niveaux de l’en­vi­ron­ne­ment in­for­ma­tique, effectue des analyses de sécurité en temps réel et optimise des réponses dy­na­miques et hybrides pour des scénarios de menaces en constante évolution.

Qu’est-ce que le XDR ?

Le XDR (Extended Detection and Response en anglais) désigne un nouveau concept de sécurité avec une approche globale pour la prévision, la détection en temps réel et la défense contre les cy­ber­me­naces dy­na­miques. Con­trai­re­ment aux solutions de sécurité courantes comme les pro­grammes antivirus clas­siques, le XDR ne se concentre pas sur des menaces de sécurité pré­dé­fi­nies comme les virus, les attaques de ran­som­ware ou le phishing, mais sur une ar­chi­tec­ture de sécurité flexible composée de dif­fé­rents outils combinés comme l’Endpoint Security, le SIEM (Security In­for­ma­tion & Event Ma­na­ge­ment), les NGAV (Next Ge­ne­ra­tion Antivirus, ou Antivirus de Nouvelle Gé­né­ra­tion) ou encore les Managed Security Services (MSS ou services de sécurité gérés). En règle générale, le XDR est un SaaS (Software-as-a-Service) c’est-à-dire solution de sécurité, composée de dif­fé­rents outils, mise à dis­po­si­tion via un four­nis­seur XDR.

L’objectif du XDR : réagir de manière aussi flexible et rapide que possible aux menaces hé­té­ro­gènes et évo­lu­tives, sur la base du com­por­te­ment et de manière proactive. Pour ce faire, le XDR utilise d’une part des outils de sécurité clas­siques pour la pro­tec­tion contre les ran­som­wares, les spywares et les sca­re­wares avec un focus sur des terminaux et des ap­pli­ca­tions spé­ci­fiques. D’autre part, dif­fé­rentes fonctions d’analyse corrélées, con­tex­tuelles et au­to­ma­ti­sées couvrent l’ensemble de la couche in­for­ma­tique, du courrier élec­tro­nique aux réseaux et aux serveurs en passant par les services de Cloud. L’in­tel­li­gence ar­ti­fi­cielle et le Machine Learning (ou ap­pren­tis­sage au­to­ma­tique) peuvent également être utilisés à cet effet. En fin de compte, il n’est pas possible de donner une réponse globale à la question « qu’est-ce que le XDR ? », car il s’agit d’un ensemble et d’un concept composé de dif­fé­rents outils combinés.

Pourquoi l’Extended Detection and Response est-il important ?

L’idée classique de la cy­ber­sé­cu­rité repose sur la détection et la défense contre les cy­ber­me­naces et cy­be­rat­taques connues, notamment sur la base de sig­na­tures de logiciels mal­veil­lants, de modèles d’attaque ou de failles de sécurité connues. Cependant, les en­vi­ron­ne­ments de travail et les réseaux d’en­tre­prise modernes utilisent des com­bi­nai­sons de plus en plus complexes de terminaux locaux et mobiles, de réseaux, de services et de paysages Cloud composés de Clouds hybrides et de multi-Clouds.

Cela augmente certes la flexi­bi­lité et l’ef­fi­ca­cité des en­tre­prises, mais aussi le nombre de scénarios de menaces, y compris d’attaques zero-day. Pour faire face à des cy­be­rat­taques complexes et continues à plusieurs niveaux de l’ar­chi­tec­ture in­for­ma­tique, voire à des menaces per­sis­tantes avancées (APT), il est essentiel de disposer de solutions de sécurité beaucoup plus per­for­mantes. Comme un seul outil ne suffit plus, de nom­breuses en­tre­prises optent pour le XDR, souvent en SaaS.

Grâce à des com­bi­nai­sons de plusieurs outils con­tex­tuels qui com­mu­ni­quent entre eux, il est possible de détecter et de prédire les menaces en temps réel. Si des attaques se pro­dui­sent, elles sont bloquées et contenues de manière ciblée afin de protéger les données sensibles et les zones du réseau. Le XDR repousse les attaques à l’aide de toutes les solutions de sécurité intégrées de votre en­tre­prise et protège contre le vol de données, le chif­fre­ment de données, les ran­som­wares, les malwares, le contrôle à distance ainsi que l’es­pion­nage et la re­dis­tri­bu­tion de malwares. Au lieu d’avoir à supprimer des logiciels mal­veil­lants, à devoir remplacer son in­fras­truc­ture in­for­ma­tique ou à envoyer des aver­tis­se­ments nuisibles à sa ré­pu­ta­tion aux clients, le XDR détecte et prévient les si­tua­tions d’urgence avant qu’elles ne se pro­dui­sent.

Que peut-on protéger avec le XDR ?

Pour de nombreux experts en sécurité, le XDR est considéré comme une évolution de l’Endpoint Security classique et des pla­te­formes d’Endpoint Pro­tec­tion (EPP). L’Endpoint Security, dans le cadre d’une pla­te­forme unifiée, offre déjà un concept global de pro­tec­tion de tous les terminaux connectés au réseau de l’en­tre­prise, des PC, or­di­na­teurs portables et smart­phones aux serveurs et routeurs. Le XDR va encore plus loin, car il ne se concentre pas seulement sur des domaines partiels comme les terminaux, mais intègre tous les niveaux de l’ar­chi­tec­ture in­for­ma­tique dans la défense contre les dangers et l’analyse des menaces.

Les domaines suivants d’une in­fras­truc­ture in­for­ma­tique sont couverts par la pro­tec­tion offerte par le XDR :

  • Les terminaux locaux et mobiles intégrés tels que les PC, les im­pri­mantes, les scanners, les pho­to­co­pieuses, les or­di­na­teurs portables, les tablettes, les smart­phones, etc.
  • Les com­po­sants réseau tels que les serveurs, les routeurs, les modems ou les com­mu­ta­teurs
  • Les services et stockages Cloud
  • Les systèmes de bases de données et services de mes­sa­ge­rie
  • Les serveurs physiques et virtuels.

Comme le XDR est un concept de sécurité in­tel­li­gent et flexible, il est possible d’inclure dans la zone de pro­tec­tion XDR tout niveau et toute interface qui fait partie de votre réseau d’en­tre­prise ou qui com­mu­nique avec votre réseau.

Compute Engine
La solution IaaS idéale pour gérer vos charges de travail
  • vCPU aux coûts avan­ta­geux et cœurs dédiés per­for­mants
  • Sans en­ga­ge­ment pour plus de flexi­bi­lité
  • As­sis­tance par des experts 24h/24 et 7j/7 incluse

Comment fonc­tionne le XDR (Extended Detection and Response) ?

Comme pour les solutions d’Endpoint Security, le XDR harmonise les outils utilisés et présente les résultats d’analyse, les rapports et les alertes dans une console de gestion ad­mi­nis­tra­tive centrale. L’idée n’est pas seulement de se défendre de manière ponc­tuelle et limitée contre des menaces in­di­vi­duelles actuelles, mais d’analyser les données d’attaque en fonction du contexte. Ainsi, vous apprenez à l’échelle du système et de manière durable des si­tua­tions de danger, vous re­con­nais­sez les attaques aiguës et complexes et vous pouvez même prévoir les scénarios d’attaque futurs.

Pour mener à bien ces tâches, une solution XDR doit disposer des ca­rac­té­ris­tiques et fonctions suivantes :

Fonction Ca­rac­té­ris­tiques
Endpoint Security (EDR : Endpoint Detection and Response) Sur­veil­lance de tous les terminaux (locaux et mobiles) connectés au réseau ou com­mu­ni­quant avec celui-ci
Création de bases de données de menaces et d’in­di­ca­teurs de com­pro­mis­sion (IOC) per­son­na­li­sés
Com­bi­nai­son d’une pro­tec­tion antivirus/malware classique et d’une pro­tec­tion antivirus de nouvelle gé­né­ra­tion (NGAV : Next-Ge­ne­ra­tion Antivirus)
Contrôle des ap­pli­ca­tions et des accès géré ad­mi­nis­tra­ti­ve­ment (NAC : Network Access Control)
Té­lé­mé­trie XDR basée sur les actions et axée sur les menaces Sur­veil­lance et analyse inter-systèmes et à l’échelle du réseau des données provenant des terminaux, des services Cloud, des pare-feux, des serveurs et plus encore
Grâce à des schémas pré­dé­fi­nis et des modèles de détection précis en fonction des données, il est possible de regrouper les incidents, de les corréler et d’au­to­ma­ti­ser la réaction et la défense en temps réel
Réactions au­to­ma­ti­sées et pré­dé­fi­nies aux scénarios de menaces tels que la mise en qua­ran­taine et le con­fi­ne­ment des ap­pli­ca­tions, le retrait des terminaux ou le blocage des IP et des domaines
Flux de travail intégrés, playbooks et best practices L’in­té­gra­tion de best practices et de flux de travail efficaces en cas d’attaque permet de réduire con­si­dé­ra­ble­ment le temps de réaction et de bloquer les menaces à un stade précoce
IA et Machine Learning Les fonctions d’analyse et les scénarios de défense basés sur l’IA et l’ap­pren­tis­sage au­to­ma­tique détectent et empêchent les menaces cachées ou récentes grâce à l’ac­cu­mu­la­tion con­tex­tuelle d’incidents de sécurité et de données d’analyse
Mises à jour et mises à niveau au­to­ma­tiques Grâce aux mises à jour au­to­ma­tiques de tous les outils de sécurité intégrés, la stratégie XDR reste toujours à la pointe de la menace

Aperçu d’autres solutions XDR

Voici d’autres outils qui peuvent être intégrés dans un concept de sécurité XDR :

  • La Data Loss Pre­ven­tion (DLP) : la pré­ven­tion contre la perte des données protège les données contre l’ex­fil­tra­tion grâce à la formation anti-phishing des employés et à l’uti­li­sa­tion correcte des ap­pli­ca­tions anti-malware.
  • Le filtrage des URL : n’autorise que le trafic avec des URL au­to­ri­sées.
  • Le chif­fre­ment des points de ter­mi­nai­son : permet de chiffrer les données sensibles de l’en­tre­prise ou des terminaux connectés et requiert une clé de dé­chif­fre­ment.
  • L’isolation du na­vi­ga­teur : les sessions de na­vi­ga­teur ne sont au­to­ri­sées que dans des en­vi­ron­ne­ments isolés afin de limiter lo­ca­le­ment les té­lé­char­ge­ments mal­veil­lants aux sessions.
  • La pro­tec­tion contre les menaces internes : des mesures telles qu’un Zero-Trust Network Access (ZTNA) per­met­tent d’iden­ti­fier im­mé­dia­te­ment les activités suspectes des uti­li­sa­teurs au sein du réseau.
  • La sécurité du Cloud : dans les en­vi­ron­ne­ments Cloud composés de terminaux, de logiciels clients ou d’ap­pli­ca­tions Cloud, les en­tre­prises peuvent être protégées et les activités suspectes sur­veil­lées par des pare-feux Cloud et des outils de filtrage Web-Cloud.
  • Le sand­boxing : permet d’isoler les zones critiques du réseau et du système d’ex­ploi­ta­tion et de les protéger de manière fiable contre les cy­ber­me­naces.
  • La pas­se­relle de mes­sa­ge­rie : les pas­se­relles de mes­sa­ge­rie sé­cu­ri­sées (SEG) analysent et sur­veil­lent le trafic de mes­sa­ge­rie entrant et sortant pour détecter les risques tels que les pièces jointes et les liens suspects.

Tous les avantages du XDR (Extended Detection and Response)

Le XDR ne fait pas qu’un, mais plusieurs pas en avant lorsqu’il s’agit de cy­ber­sé­cu­rité in­tel­li­gente et proactive. En choi­sis­sant un XDR en solution SaaS, vous bé­né­fi­ciez des avantages suivants :

Pro­tec­tion globale des données et des systèmes com­mer­ciaux, des clients et de l’en­tre­prise

Con­trai­re­ment aux solutions clas­siques de pro­tec­tion du réseau, des systèmes et des terminaux, le XDR réunit de multiples outils de sécurité dans une solution hé­té­ro­gène de services combinés. Ainsi, au lieu d’une analyse et d’une défense limitées contre les menaces par des produits gérés sé­pa­ré­ment, on utilise une interface uti­li­sa­teur claire, gérée de manière cen­tra­li­sée, qui met en cor­ré­la­tion dif­fé­rentes données col­lec­tées et les évalue en fonction du contexte. Grâce à des flux de travail et des réactions au­to­ma­ti­sés, il est possible de re­cons­ti­tuer les voies d’attaque et de repousser, d’isoler ou d’endiguer les menaces ra­pi­de­ment et ef­fi­ca­ce­ment. Il en résulte un contrôle et une trans­pa­rence accrus ainsi qu’une sécurité globale pour votre en­tre­prise.

Analyses rapides avec peu de données pour une défense orientée vers l’action

Grâce aux meil­leures pratiques intégrées, aux scénarios de défense pré­dé­fi­nis et aux bases de données actuelles sur les menaces, la cy­ber­sé­cu­rité peut être mise en œuvre avec un volume de données très réduit. Les anomalies non dan­ge­reuses ou les alertes non suspectes sont au­to­ma­ti­que­ment éliminées et les menaces sérieuses sont classées par ordre de priorité. Des analyses basées sur l’IA et le Machine Learning assurent en outre une analyse rapide et auto-ap­pre­nante en temps réel, qui détecte même les menaces cachées, so­phis­ti­quées ou à plusieurs niveaux.

Gain de temps et d’argent

L’uti­li­sa­tion unifiée de multiples outils de sécurité permet de réduire con­si­dé­ra­ble­ment la charge ad­mi­nis­tra­tive liée aux analyses manuelles ef­fec­tuées par des outils de sécurité distincts. L’analyse et la réaction au­to­ma­ti­sées réduisent non seulement la charge de travail, mais réduisent également le temps de réaction aux menaces aiguës, car les solutions de sécurité réa­gis­sent avant que les acteurs humains ne prennent cons­cience des incidents.

Le XDR offre une pla­te­forme intégrée avec des analyses et des éva­lua­tions efficaces de données système complexes, ce qui réduit les coûts d’in­ves­ti­ga­tion. Plus important encore : dans les en­vi­ron­ne­ments matériels et logiciels complexes, la sécurité élevée et sans faille permet d’éviter des mesures coûteuses et pé­na­li­santes sur le plan financier, telles que le nettoyage complet du système ou la réi­ni­tia­li­sa­tion des terminaux infectés, ainsi qu’un préjudice d’image dû au vol de données.

EDR vs XDR : quelle dif­fé­rence ?

EDR (Endpoint Detection and Response) XDR (Extended Reaction and Response)
Sur­veil­lance, analyse et défense au­to­ma­ti­sées contre les cy­ber­me­naces au niveau des terminaux (idéa­le­ment sur la base d’une Endpoint Pro­tec­tion Platform (EPP)) Fusion et cor­ré­la­tion des données d’analyse provenant de dif­fé­rents niveaux du réseau, y compris au niveau des terminaux, sur un tableau de bord central ; détection et contre-attaque de manière proactive des incidents de sécurité simples à complexes
Aller au menu principal