Qu’est-ce qu’un EDR ?

10 novembre 2020

Un EDR est l’acronyme de endpoint detection and response.

Utilisé la première fois en 2013 par un analyste de la société Gartner, le terme EDR désigne un logiciel permettant de détecter les menaces présentes sur un poste de travail ou sur un serveur.

Quelle est la différence entre un antivirus et un EDR ?

Beaucoup plus évolué qu’un antivirus traditionnel, l’EDR s’appuie sur des algorithmes d’intelligence artificielle lui donnant la faculté d’être auto-apprenant et ainsi d’évoluer.

Lorsque l’antivirus est réactif, l’EDR quant à lui, est proactif.

Comment fonctionne un antivirus ?

Un antivirus déclenche sa phase d’analyse au moment de la détonation d’un logiciel malveillant comme un malware ou un ransomware.

Le plus souvent, l’antivirus utilise un registre contenant des souches connues de virus. Sorte de dictionnaire de logiciels malveillants, l’antivirus va chercher une correspondance entre l’empreinte informatique du fichier suspect et les malwares connus dans le registre.

Malheureusement c’est ici que l’antivirus devient obsolète puisque si le malware analysé est inconnu des registres, il sera classé comme fichier légitime.

Ainsi, du fait de l’évolution des cyberattaques, Symantec, l’un des leaders mondiaux dans la conception d’antivirus, annonçait en 2014 que l’efficacité des antivirus était descendue à 49%.

Comment appréhender les attaques inconnues et les APT ?

Depuis quelques années, de nouvelles attaques ont émergé.

Appelées attaques zero-day, ces attaques utilisent des failles de sécurité inconnues des éditeurs, il n’existe donc aucun correctif disponible au moment de l’attaque.

Pire, une menace persistante avancée (APT pour Advanced Persistent Threat en anglais) est le plus souvent dormante. Très difficile à détecter, cette menace patiente et analyse les données transitant sur la machine infectée.

Pour répondre à ces menaces et en analysant les comportements des services et fichiers présents sur la machine, l’EDR a la capacité d’endiguer la menace proactivement de manière automatisée.

L’EDR est une extension de l’ingénieur système

Les dernières solutions d’EDR, comme la solution Intercept X de l’éditeur Sophos, permettent d’aller beaucoup plus loin dans l’analyse.

Véritable extension de l’ingénieur système, cet outil permet de formuler des requêtes sur un ensemble périodique de données d’une durée de 90 jours.

Ainsi, le professionnel a la capacité de répondre à des questions concrètes comme :

  • Pourquoi cette machine a des lenteurs ? Dois-je la redémarrer ?
  • Ai-je des processus inconnus qui tournent actuellement sur les postes de travail de l’entreprise ?
  • Avons-nous appliqué correctement les mises à jour des systèmes d’exploitation ?
  • Des fichiers ou clés de registres ont-ils été modifiés récemment ?
  • L’ensemble des connexions établies avec mon parc machine sont-elles légitimes ?

EDR (Endpoint Detection and Response)

Bénéficiez de l’expertise de centaines de professionnels à travers le monde

La société interceptX se nourrit des analyses SophosLab, qui est le laboratoire d’analyse des cyber menaces de Sophos.

Ainsi, cet EDR est mis à jour constamment et enrichit ses modèles d’analyses comportementales.

Le temps de détection et d’analyse d’une menace zero-day est ainsi réduite.

Source photo de couverture : Freepik.com

Sébastien GEST

Sébastien GEST

Sébastien Gest, expert en cybersécurité, décrypte les dernières menaces et les tendances du cyberespace.