NDR et EDR : le duo de sécurité souvent sous-estimé

septembre 2024 par Philippe Alcoy, spécialiste de la sécurité chez NETSCOUT

Selon un rapport récent, le marché des solutions de détection et de réponse réseau (NDR), estimé à 2,42 milliards de dollars en 2023, pourrait atteindre 6,44 milliards d’ici 2030 et devient de plus en plus rentable pour les entreprises. De plus, l’intégration du NDR avec les solutions Endpoint Detection and Response (EDR) offre une vue complète de l’activité des terminaux et renforce ainsi la sécurité.

Pour Philippe Alcoy, spécialiste sécurité chez NETSCOUT, il est toutefois important d’en comprendre le fonctionnement et les différences pour une utilisation optimisée, particulièrement suite à la panne mondiale, survenue le 19 juillet 2024, causée par une mise à jour défectueuse d’un logiciel EDR.

« Le NDR et l’EDR suscitent plusieurs questions fréquentes concernant leur rôle et leurs différences en cybersécurité. Au sein des solutions XDR (Extended Detection and Response), le NDR et l’EDR jouent des rôles essentiels et complémentaires en fournissant des données critiques pour une protection renforcée.

D’une part, l’EDR surveille les terminaux pour atténuer les attaques via un agent logiciel, détectant menaces et activités suspectes. Contrairement aux systèmes de gestion des informations et des événements de sécurité (SIEM), qui combinent des données de diverses sources IT pour détecter les menaces, le NDR se concentre sur la surveillance du trafic réseau pour identifier les menaces et vulnérabilités. Bien souvent sous-estimé, il est pourtant crucial car il offre une visibilité sur le réseau, un domaine où les cyberattaquants ne peuvent pas se cacher. Contrairement aux données EDR qui peuvent être manipulées par des cybercriminels, les données réseau sont en effet beaucoup plus difficiles à modifier, ce qui en fait une source fiable. En complément de l’EDR, le NDR surveille les données sur le réseau lui-même et examine les interactions entre les différents terminaux, comblant ainsi les lacunes de visibilité.

Par ailleurs, pour faire face à l’évolution rapide des cybermenaces et leur niveau croissant de sophistication, les entreprises doivent déployer une combinaison de solutions de sécurité réseau, y compris les solutions EDR et NDR, afin de minimiser les angles morts ou zones d’ombre. Se fier à une seule solution expose à des vulnérabilités supplémentaires, permettant aux attaquants de se cacher plus longtemps dans l’écosystème, augmentant ainsi leurs chances de succès. Dans ce contexte, l’EDR surveille les dispositifs pour détecter les menaces qui les ont infiltrés, nécessitant un déploiement sur chaque terminal individuel. Cela peut être fastidieux, laissant des lacunes si certains terminaux sont manqués, comme les équipements réseau, les imprimantes, IoTs, portables et tablettes ainsi que les systèmes de contrôle industriel. Ainsi, bien que la visibilité sur chaque appareil soit essentielle, les cybercriminels se professionnalisent et sont aujourd’hui capables de détecter la présence de logiciels anti-malwares et de masquer leurs méfaits, rendant la détection des violations plus difficile.

Pour remédier à cela, le NDR adopte une approche unique de la détection des menaces réseau. Les plateformes NDR avancées peuvent découvrir quelles connexions se produisent à l’intérieur et hors du réseau, aidant à identifier les serveurs compromis et les lieux où ils tentent d’exfiltrer des données. Le NDR peut être déployé dans n’importe quel environnement, y compris les clouds publics tels qu’AWS, Azure et Google Cloud, augmentant ainsi la sécurité du réseau distribué d’une entreprise. Une visibilité continue du trafic réseau permet une détection des menaces et des capacités de réponse en temps réel, aidant à identifier et éliminer les adversaires plus rapidement. Certaines solutions NDR utilisent également des données par paquets, exploitant la forme de données la plus pure sur le réseau pour obtenir des informations plus rapides et détaillées sur les menaces potentielles, et facilitant la collecte de preuves digitales (digital forensics).

In fine, le NDR et l’EDR créent une approche de cybersécurité synergique, travaillant ensemble pour minimiser les lacunes de visibilité et offrir une vue holistique du réseau et des dispositifs connectés. Cela permet de créer une défense en couches contre les cybermenaces sophistiquées, chaque solution étant adaptée aux besoins de l’organisation et de son environnement réseau pour mieux répondre aux exigences de l’entreprise. En d’autres termes, ils se complètent et leur alliance offre une protection renforcée. »