Entreprises et professionnels
Protégez votre entreprise des cybercriminels.
Commencez l'essai gratuitLa protection évolutive des points terminaison (EDR, ou Endpoint Detection and Response), également connue sous le nom de Endpoint Threat Detection and Response (ETDR), est un terme générique qui désigne une solution logicielle qui surveille en permanence les terminaux. Cela inclut les ordinateurs de bureau et portables des utilisateurs finaux, les serveurs, les appareils mobiles et les appareils de l'Internet des objets (IoT), afin de collecter et d'analyser les données relatives aux menaces, et d'alerter les équipes de sécurité en cas de violation en temps réel.
Le terme EDR étant très large, les fonctionnalités et capacités spécifiques des solutions EDR varient considérablement d'un fournisseur à l'autre et même d'une implémentation à l'autre. En général, les outils de protection évolutive des points de terminaison appartiennent à l'une des trois catégories suivantes :
Les solutions EDR regroupent les données télémétriques des terminaux, notamment les journaux, les détails des fichiers, les processus en cours, les moniteurs de performances et les données de configuration, et les analysent afin de détecter des modèles de menaces potentielles.
Les systèmes EDR les plus élémentaires sont de simples outils d'alerte. Ils collectent, analysent et affichent des données que le personnel humain peut consulter et sur lesquelles il peut agir. Les données sont enregistrées dans une base de données centrale et peuvent généralement être intégrées dans une solution SIEM.
Les systèmes EDR les plus avancés comprennent des fonctionnalités telles que :
Les systèmes EDR sont de plus en plus populaires compte tenu de l'explosion des terminaux connectés aux réseaux des entreprises, notamment les ordinateurs de bureau et portables, ainsi que les téléphones et les appareils IoT. Les acteurs malveillants considèrent ces appareils comme des « cibles faciles » par lesquelles ils peuvent infiltrer les réseaux, et utilisent des méthodes d'attaque et des malwares de plus en plus sophistiqués pour les attaquer.
Les outils de protection évolutive des points de terminaison sont parfois confondus avec les solutions antivirus. De nombreux systèmes EDR sont intégrés à un logiciel antivirus ou exploitent les données de la base de données d'une solution antivirus.
Cependant, les logiciels antivirus protègent uniquement les terminaux contre les types de malwares connus, qui sont répertoriés dans la base de données du produit. À l'inverse, l'EDR s'appuie sur des analyses intelligentes pour détecter les menaces nouvelles et émergentes, y compris les menaces que les logiciels antivirus ne peuvent pas détecter, comme les malwares sans fichier, les attaques qui s'appuient sur des identifiants volés, les menaces persistantes avancées (APT) et les malwares si récents qu'ils ne sont pas encore répertoriés dans une base de données antivirus.
Les solutions antivirus fournissent uniquement des informations de base aux utilisateurs, comme le nombre et le type de menaces bloquées par le logiciel au cours d'une période donnée. Les systèmes EDR archivent des données contextuelles supplémentaires très précieuses sur les attaques, telles que des informations sur l'acteur malveillant, et mettent en évidence des tendances historiques que les entreprises peuvent utiliser pour éclairer leur stratégie de sécurité.
En plus de détecter les menaces qui échapperaient autrement aux solutions antivirus et autres outils de sécurité, les systèmes EDR accélèrent la réponse aux incidents, contribuent aux efforts d'atténuation, fournissent aux équipes de sécurité une visibilité complète sur le comportement des terminaux dans l'environnement de données et permettent de lutter de manière proactive contre les menaces.
Pour que le déploiement EDR soit réussi, il est essentiel que le personnel de sécurité joue un rôle actif dans la sécurité des terminaux. En plus de surveiller les alertes EDR, les entreprises doivent mettre en place une stratégie de gestion des correctifs solide pour maintenir les terminaux à jour. Les mises à jour logicielles comprennent souvent d'importants correctifs de sécurité, et le fait de ne pas les appliquer en temps voulu peut gravement compromettre la sécurité des terminaux.
Les mauvaises configurations du cloud sont un autre problème courant qui peut dégrader la sécurité des terminaux. La visibilité que les solutions EDR apportent sur les configurations des terminaux aide les équipes informatiques et de sécurité à prévenir les mauvaises configurations dans le cloud, au même titre qu'un environnement cloud correctement entretenu renforce la sécurité des terminaux.