Aller au contenu
Avanet
Pourquoi la détection et la réponse des terminaux (EDR) ?

Pourquoi la détection et la réponse des terminaux (EDR) ?

17. JUIN 2019

Sophos propose une variante plus chère avec l’ajout “EDR” pour Intercept X Advanced, ainsi que pour Intercept X Advanced for Server. Comme on nous demande très souvent lors des consultations d’achat ce que signifie exactement cet “EDR” et si le surcoût en vaut la peine, je voudrais dans cet article détailler le champ fonctionnel de l’EDR et son utilité.

La fonctionnalité EDR, en complément d’Intercept X Advanced, est disponible depuis longtemps pour les postes de travail. Depuis le 9 mai, le produit est également disponible pour les serveurs.

Ce que l’EDR peut vous apporter

Expliqué plus simplement, avec Intercept X Advanced avec EDR, vous pouvez approfondir deux points essentiels : que s’est-il passé exactement après une attaque et existe-t-il un risque que quelque chose d’autre puisse se produire prochainement ?

1. Que s’est-il passé ?

Pour savoir ce qui s’est passé après une attaque, vous n’avez pas forcément besoin de payer le supplément pour EDR à première vue. Sophos vous propose depuis longtemps la fonction Analyse des causes profondes (RCA), qui est incluse dans le périmètre fonctionnel d’Intercept X. Les possibilités d’analyse d’une attaque sont cependant considérablement étendues par une mise à niveau vers Intercept X Advanced avec EDR.

Avec EDR, vous pouvez découvrir,

  • ce qui s’est réellement passé après une attaque
  • si une menace s’est propagée
  • quelles connaissances les SophosLabs ont collectées auprès de tous les clients Sophos sur un programme spécifique
  • s’il existe encore des malwares dormants dans votre entreprise
  • si vous pouvez rassurer votre chef sur le fait qu’aucune donnée n’a été volée

Avec EDR, vous avez accès à des méthodes d’intelligence artificielle pour faire analyser un processus ou des fichiers encore plus précisément par l’apprentissage automatique. Vous pouvez également isoler temporairement l’ordinateur concerné pendant une analyse afin de vous donner suffisamment de temps.

2. Quelque chose d’autre va-t-il se passer ?

Une tactique courante des attaquants est de placer un petit programme quelque part sur votre ordinateur qui, dans un premier temps, ne fait rien de mal et ne semble donc pas suspect. Grâce à ce comportement inoffensif, certains mécanismes de sécurité peuvent être contournés dans un premier temps. Cependant, à un moment donné, ce programme se réveillera et causera des dommages.

Grâce aux capacités de recherche étendues d’Intercept X Advanced avec EDR, il est possible de rechercher de telles “menaces dormantes” dans toute l’entreprise. Souvent, de tels programmes se sont déjà propagés à de nombreux systèmes et se cachent derrière de faux noms de fichiers. Sophos propose avec EDR la fonction utile de rechercher tous les appareils de l’entreprise en fonction de valeurs de hachage. Cela permet de savoir très rapidement sur quels appareils de l’entreprise un programme a déjà été détecté et avec qui il a communiqué. De cette manière, vous pouvez par exemple détecter des serveurs de commande et de contrôle ou identifier des serveurs vers lesquels des données ont pu être exfiltrées.

Quelle est la valeur ajoutée de l’EDR ?

Lorsqu’une attaque a lieu dans une entreprise, on se fie en premier lieu aux mécanismes de protection de Sophos Intercept X Advanced. Ensuite, il convient d’examiner de plus près les données collectées de l’attaque et de déterminer si des données ont été volées ou si la menace s’est par exemple propagée à d’autres systèmes. Cela nécessiterait normalement une horde de légistes qui ne feraient rien d’autre toute la journée que de parcourir les journaux pour en tirer des conclusions. Sophos, en revanche, s’appuie sur des méthodes d’intelligence artificielle pour sa solution EDR. Les processus du réseau sont donc analysés par l’apprentissage automatique et l’aide de SophosLabs et non plus par des humains. Cela signifie que ce travail peut désormais être effectué théoriquement par une personne qui n’a pas besoin d’être un expert en criminalistique informatique. 😎

Ai-je besoin de l’EDR ou non ?

La réponse à la question de savoir si vous devez payer le supplément pour EDR dépend de deux facteurs :

Facteur 1 : Intérêt

Faites-vous partie de ceux qui se contentent d’un message d’Intercept X Advanced dans le journal après une attaque, indiquant que le danger a été maîtrisé et que toutes les données ont été nettoyées ? Dans ce cas, vous n’avez probablement pas besoin d’EDR.

Cependant, aimeriez-vous examiner l’attaque de plus près et analyser le processus plus précisément ? Souhaitez-vous savoir s’il existe d’autres programmes malveillants sur les ordinateurs ou les serveurs de l’entreprise qui ne se sont pas encore manifestés ? Alors je dirais que vous devriez envisager le surcoût de l’EDR.

Facteur 2 : Exigences de conformité

Les outils EDR sont nécessaires au plus tard lorsqu’une entreprise doit prouver après une attaque qu’aucune donnée n’a été volée. Nous parlons ici d’exigences de conformité qui doivent être garanties dans certains domaines, tels que le PCI (Payment Card Industry) ou les soins de santé. Le RGPD (Règlement général sur la protection des données) entre également dans ce domaine, qui stipule que les données dignes de confiance doivent être protégées conformément à l’état de l’art.

Une telle loi rend naturellement une entreprise vulnérable. Au lieu d’exiger une rançon pour le déchiffrement des données de l’entreprise, comme lors d’une attaque de ransomware, les entreprises peuvent désormais être extorquées pour des sommes encore plus importantes en raison d’une violation du RGPD ou des exigences de conformité.

Les fonctions EDR de Sophos vous aident à respecter les exigences de conformité et, en cas d’urgence, à prouver si des données ont été perdues ou non. Si vous estimez qu’un tel outil est utile pour votre entreprise, alors l’investissement dans Sophos Intercept X Advanced avec EDR ne serait certainement pas déplacé ici.

Tester Sophos Intercept X Advanced avec EDR

Si vous n’avez pas encore de compte Sophos Central, vous pouvez en créer un sur le site web de Sophos et tester gratuitement pendant 30 jours toutes les fonctions, y compris “Sophos Intercept X Advanced avec EDR” pour les ordinateurs et les serveurs.

Si vous avez déjà un compte Sophos Central et que la période d’essai de 30 jours est expirée, vous pouvez commander une licence pour “Sophos Intercept X Advanced avec EDR” dans notre boutique :

David

David

David est responsable des contenus, de la structure et de la mise en oeuvre numerique chez Avanet. Il veille a rendre les sujets techniques complexes clairs, precis et optimises pour la recherche.