EDR/XDR et NextGen SOC : le meilleur de la cybersécurité pour votre SI

Des menaces de plus en plus complexes

Si le nombre de cyberattaque par rançongiciel a légèrement diminué (831 intrusions avérées en 2022 contre 1082 en 2021 selon le dernier panorama des cybermenaces, le ransomware est aujourd’hui l’activité cybercriminelle la plus lucrative..

On assiste à une véritable surenchère : attaques ciblées visant les hôpitaux et mairies, à des tentatives de double extorsion, à du Ransomware as a Service (RaaS), à des attaques visant la supply chain, etc. Face à un environnement digital de plus en plus complexe, les ETI et grands groupes doivent revoir leur sûreté en mettant en place des solutions de sécurité de dernière génération, pérennes et évolutives.

Les outils de protection traditionnels sont dépassés

De nombreuses entreprises ont déjà commencé à prendre la mesure du phénomène en intégrant des briques de protection traditionnelles. Antivirus et pare-feu font partie des contre-mesures des solutions EPP (Endpoint Protection Platform) capables, sur un poste donné, de stopper des menaces par phishing, failles zero day, attaques réseau, etc.

Cependant, ces outils ne sont pas toujours en mesure d’analyser précisément ce qui se passe sur l’ensemble du système d’information (SI) à un instant T, ni de détecter de nouveaux types de menaces laissant peu de traces. Si bien que, à ce jour, ces outils s’avèrent inaptes à réagir promptement face à des attaques ciblées. Résultat, ils n’arrivent plus à protéger efficacement l’organisation.

EDR/XDR : des solutions de sécurité multi-terminaux

Face au développement du travail hybride et à la multiplication du nombre de terminaux (ordinateurs portables, smartphones, tablettes…) en possession des collaborateurs, les points d’entrée vers les réseaux de l’entreprise explosent.

Le nombre d'équipements à protéger et les flux de données à surveiller nécessitent une nouvelle approche de la cybersécurité. Des briques de protection de nouvelle génération ont vu le jour, dont l’EDR (Endpoint Detection & Response). Il s’agit d’une évolution des solutions EPP.

L’EDR est un module complémentaire à l’antivirus. Il est déployé sur l’ensemble des terminaux fixes (postes de travail, serveurs) et mobiles, et intègre des capacités d’analyse comportementale des processus avec une vue sur l’ensemble du parc. Il effectue des investigations en temps réel et contre les attaques plus efficacement qu’un antivirus, dont la base de signatures n’est mise à jour que périodiquement. Grâce à lui, l’entreprise bénéficie d’une bien meilleure détection.

De plus, l’EDR partage les informations avec les autres briques de sécurité du SI. Il est un élément incontournable de la mise en place d’une politique de sécurité vertueuse visant à identifier, protéger, détecter, remédier et récupérer les données.

L’XDR (eXtended Detection & Response) est une évolution de la solution EDR. Il a pour but d’augmenter les capacités de détection et enrichir les données remontées par ce dernier. Il ne se limite pas aux postes de travail, mobiles et serveurs, mais prend aussi en compte des événements remontés par d’autres éléments de sécurité (pare-feu, messageries, applications Clouds, éléments du réseau…). L’XDR couvre ainsi un périmètre plus étendu des ressources de l’entreprise.

NextGen Soc : le service SOC de nouvelle génération

Le SOC (Security Operation Center) est historiquement la tour de contrôle du SI de l’entreprise. Son rôle consiste à détecter, alerter et fournir un rapport détaillé de tout incident de sécurité afin d’aiguiller la réaction à l’incident. Il doit ensuite passer la main à une autre équipe, chargée de répondre à l’incident. Permettant une approche de sécurité informatique totalement sur mesure, le SOC est assez complexe à installer et à maintenir dans le temps et représente un coût non négligeable, même pour les structures importantes.

Le SOC traditionnel n’est plus toujours en mesure de répondre totalement aux menaces diffuses et souterraines. Moins de 10 % des alertes seraient examinées par les équipes de sécurité². De plus, sans automatisation ni remédiation et avec un taux de faux positifs de 40 % à 50 %, son efficacité pose question par rapport à son budget de fonctionnement.

Le SOC selon SFR Business

SFR Business déploie une nouvelle génération de SOC pour répondre aux enjeux de sécurité des ETI et grands groupes.

La solution repose sur un service managé basé sur un orchestrateur de sécurité (SOAR - Security Orchestration, Automation and Response) venant se positionner entre le SI à protéger, les éléments de sécurité et les équipes de sécurité SFR Business.

L’offre de services flexibles clé en main NextGen SOC est composée de modules de sécurité plus ou moins avancés.

Le prérequis est de déployer une première plateforme de protection endpoint (EPP), puis d’évoluer vers une brique EDR ou XDR assurant une couverture étendue à l’entreprise. Celle-ci peut alors rehausser son niveau de sécurité global en recourant à l’outil et aux équipes NextGen SOC, qui lui confèrent des services de détection et de protection supplémentaires.

NextGen SOC est doté d’un dashboard qui assure une visibilité totale des événements du SI 24/7. La communication des incidents (tentatives d’intrusion, exfiltration de données, injection de malwares…) s’effectue en quasi-temps réel par SMS, e-mail, etc.

L’un des principaux atouts de l’offre NextGen SOC est sa capacité à effectuer de l’inter-remédiation et inter-enrichissement. En cas de cyberattaque, la solution est capable de se connecter sur des assets de l’entreprise afin de procéder à une recherche contextualisée (annuaire, proxy web, messagerie…). Pour la gestion des incidents, qui s’effectue en coordination avec les équipes de sécurité de l’entreprise, la solution permet également de déclencher des actions quasi immédiates sur des points clés du système d’information pour y bloquer par exemple un flux ou un compte utilisateurs compromis.

Le NextGen SOC prend ainsi le pas sur le SOC traditionnel à travers de nouveaux outils, tout en permettant d’exploiter toutes les capacités de détection et réaction des EDR/XDR. Il fédère des éléments qui s’appuient sur l’IA, l’apprentissage automatique et la Threat Intelligence pour optimiser la gestion des alertes. Ses capacités d’automatisation et de remédiation font tomber les faux positifs entre 5 % et 12 % et permettent de gagner de précieuses minutes en cas d’incident. De plus, ses playbooks sont personnalisables pour les besoins organisationnels, fonctionnels ou risques de l’entreprise.

En conclusion, avec la montée de nouvelles menaces diffuses, la protection du SI de l’entreprise se complexifie, et le SOC traditionnel n’apporte plus l’efficacité suffisante pour relever ce défi. De nouvelles briques de sécurité (EDR, XDR, et SOC de nouvelle génération) viennent simplifier, automatiser et accélérer la détection et remédiation de ces nouvelles menaces.

La solution NextGen SOC de SFR Business renforce efficacement la supervision et la sécurité de votre système d’information 24/7.