Endpoint detection and response

Endpoint detection and response (EDR) désigne une technologie logicielle émergente de détection des menaces de sécurité informatique sur les équipements numériques (ordinateurs, serveurs, tablettes, objets connectés, etc.)^[1]. Les EDR sont une evolution de l'antivirus traditionnel, de l'IDS et du firewall^[2].

L'EDR cherche a détecter, enregistrer, évaluer et répondre aux activités suspicieuses qui pourraient résulter de logiciels problématiques ou d'utilisateurs frauduleux. Certaines solutions d'EDR analysent les événements de sécurité sur le device, tandis que d'autres les envoient a un serveur central ou sur le cloud pour les analyser^[2].

Histoire

Le terme est utilisé pour la première fois en juillet 2013 par Anton Chuvakin^[3] de la société Gartner. Il désigne une catégorie d’outils et de solutions qui mettent l’accent sur la détection d’activités suspectes directement sur les hôtes du système d'information. Initialement dénommée « Endpoint Threat Detection & Response » (ETDR), en 2015 Gartner réduit l’expression en « Endpoint Detection and Response » (EDR). Le terme « endpoint » désigne communément les serveurs, ordinateurs personnels et telephones mobiles d'entreprise^[4].

Gartner estime que le marché des logiciels antivirus traditionnel est obsolète.^{[réf. nécessaire]}

Combiné avec un moteur basé sur de l'intelligence artificielle, le logiciel EDR est très réactif dans la détection et l'arrêt de menaces (Malwares, virus, attaques zero Day, menaces persistantes avancées, ...). L'intelligence artificielle lui permet d'être auto-apprenant et de ne pas devoir se connecter sur internet pour mettre à jour des bases de données.^{[réf. nécessaire]}

Concepts relatifs a l'EDR

Le Managed Detection and Response (ou MDR) est aussi centré sur la détection des menaces et la médiation, mais va plus loin en proposant un service de surveillance humaine en temps réel de l'environnement IT et de resolution des menaces. Souvent le MDR est une combinaison et l'intégration de nombreuses technologies telles que le SIEM, le network traffic analysis (NTA), l'EDR et l'IDS^[2].

L'Endpoint Protection Platforms (ou EPP) est une variation de l'EDR plus active comprenant quatre fonctions principales : prédire, prévenir, détecter et répondre^[2].

L'Extended Detection and Response (ou XDR) n'est pas vraiment un outil different mais l’intégration de plusieurs composants variant d'un vendeur a l'autre. L'XDR inclut souvent des elements d'EDR, de MDR et d'EPP. L'XDR n'est pas seulement focalise sur l'« endpoint », il inclut souvent des fonctions de NTA, NIDS et NIPS^[2].

Références

↑ (en-US) « What is endpoint detection and response (EDR)? », sur Palo Alto Networks (consulté le 11 mai 2023)
↑ ^{a b c d et e} (en) Mike Chapple, James Michael Stewart, Darril Gibson, (ISC)2 CISSP Certified Information Systems Security Professional Official Study Guide, editions Sybex, 2021 (ISBN 978-1-119-78623-8), p. 558
↑ (en-US) « Named: Endpoint Threat Detection & Response - Anton Chuvakin », 26 juillet 2013 (consulté le 7 juillet 2016)
↑ (en) « Election Security Spotlight - Endpoint Detection and Response (EDR) », sur CIS (consulté le 11 mai 2023)

Voir aussi

[1] (en-US) « What is endpoint detection and response (EDR)? », sur Palo Alto Networks (consulté le 11 mai 2023)

[:0-2] {a b c d et e} (en) Mike Chapple, James Michael Stewart, Darril Gibson, (ISC)2 CISSP Certified Information Systems Security Professional Official Study Guide, editions Sybex, 2021 (ISBN 978-1-119-78623-8), p. 558

[3] (en-US) « Named: Endpoint Threat Detection & Response - Anton Chuvakin », 26 juillet 2013 (consulté le 7 juillet 2016)

[4] (en) « Election Security Spotlight - Endpoint Detection and Response (EDR) », sur CIS (consulté le 11 mai 2023)

[1]

[2]

[3]

[4]