Cette approche a donné naissance à une toute nouvelle catégorie d’outils capables de détecter les menaces et de les stopper sur tous les terminaux, contribuant ainsi à redynamiser un marché de la cybersécurité saturé. De nombreuses solutions - axées sur la visibilité et allant de la prévention à la détection des menaces - ont alors été créées et baptisées « EDR » (pour Endpoint Detection and Response) par l’analyste de Gartner, Anton Chuvakin.

Avec cette révolution, les problèmes inhérents à l’EDR ont fait leur apparition. Les entreprises ont recruté davantage pour constituer des équipes ultra-qualifiées à même de gérer ces solutions qui analysent un énorme volume de données. Néanmoins, malgré les investissements technologiques réalisés et le succès rencontré par les capacités EDR, tous les mois ou presque, une nouvelle violation de données a fait la une de l’actualité.

Autre problème critique, le temps écoulé entre l’infection et la détection de la menace. Même dix secondes sont suffisantes pour que les cybercriminels puissent exécuter leur code, lancer leur attaque puis disparaître. Quand les solutions ne sont pas détectées en temps réel, il est souvent trop tard.

Si les campagnes de phishing via des documents frauduleux ou les techniques de mouvements latéraux (tels qu’EternalBlue) ont rendu l’EDR indispensable, le délai nécessaire pour détecter une menace demeure un vrai problème. Les délais de réponse trop longs multiplient les atteintes à la protection des données. Les entreprises spécialisées en cybersécurité ont tenté de résoudre ce problème de plusieurs manières :

1. En créant un chatbot-traqueur

L’une des stratégies possibles est d’amener l’analyste SOC (Security Operations Center), qui aura suivi une formation professionnelle, à dialoguer avec un chatbot. Mais recourir à un chatbot pour comprendre plus précisément les desiratas se révèle souvent plus délicat que d’écrire une simple requête SQL, surtout pour un traqueur de menaces expérimenté.

2. En s’appuyant sur un SOC sur mesure

Si l’entreprise est équipée d’un centre opérationnel de sécurité (SOC), elle a tous les atouts en main ! Grâce à lui, la sécurité de l’entreprise n’aura plus de secret et il sera plus simple d’agir. Au lieu de tenter laborieusement de reconstituer les pièces du puzzle, les analystes SOC pourront travailler à partir de données déjà contextualisées, permettant de construire le scénario d’une attaque. Ainsi, ils pourront se consacrer à d’autres actions.

3. En fournissant un service à la pointe de la technologie

La détection et la riposte s’opèrent en temps réel. Si les entreprises utilisent une intelligence artificielle embarquée capable de détecter les failles de sécurité en temps réel et de prendre instantanément les mesures nécessaires pour les neutraliser. Elles seront alors à même de supprimer les délais de détection, tant redoutés, et d’améliorer leur gestion globale de l’EDR.

Les prochaines étapes…

L’EDR actuel, qui requiert une connexion cloud, sera toujours en retard dans la protection des terminaux. Si la solution retenue n’est pas embarquée sur l’appareil, il y aura inévitablement un temps de latence avant la détection de la menace. Alors que les entreprises jouent au chat et à la souris avec les cybercriminels, la technologie EDR doit s’adapter pour répondre plus rapidement aux menaces, les stopper et ainsi soutenir des équipes de sécurité informatique surchargées.

Dans ce contexte, l’IA est devenue le nouvel allié de la cybersécurité et l’avenir de l’EDR. Cette technologie combinée à l’IA devrait, en effet, permettre aux équipes de sécurité de comprendre rapidement la chronologie et l’origine des menaces sans avoir recours à des ressources cloud.

L’EDR révolutionnera la sécurité des organisations - quelles que soient leurs ressources (analystes SOC chevronnés ou équipe de sécurité néophyte) - et leur donnera la possibilité de remédier automatiquement aux menaces et de se défendre contre les attaques les plus sophistiquées. Une solution autonome a les capacités de se défendre, que les terminaux soient connectés au cloud ou non. Un avantage non négligeable face aux cybercriminels !