_
Nous sommes équipés d’une multitude d’outils : qu’est-ce qu’un NDR va nous apporter de plus ?
“EDR, SIEM, pare-feu: nous sommes déjà suffisamment équipés, merci, d’autant que nous migrons vers de l’XDR!”
Ce genre de réflexion est fréquente dans le domaine de la cybersécurité. Les organisations disposent aujourd’hui d’une variété d’outils pour protéger leur système d’information. Mais cette abondance de solutions peut parfois semer le doute sur leur utilité respective et sur les choix à faire pour garantir une défense véritablement robuste.
Il est donc essentiel de faire un point sur ce sujet et de comprendre pourquoi le NDR pourrait bien être la pièce manquante de votre stratégie de sécurité.
La jungle des outils de cybersécurité
Bien que vos outils actuels soient performants, ils ont chacun leurs avantages et leurs limites. Un firewall avec IPS (Intrusion Prevention System) bloque les menaces externes connues mais il reste aveugle face aux attaques internes et celles sans signature.
L’IDS (Intrusion Detection System), lui, détecte les activités suspectes, mais il a tendance à inonder les équipes de sécurité de faux positifs et ne prend pas de mesures automatiques.
L’XDR (Extended Detection and Response) intègre les données de divers systèmes de sécurité pour améliorer la visibilité et la réponse aux menaces. Toutefois, son efficacité dépend fortement des sources de données intégrées.
Le SIEM (Security Information and Event Management) centralise les logs et les événements de sécurité pour une analyse approfondie mais nécessitent une gestion intensive.
Enfin, l’EDR (Endpoint Detection and Response), souvent vu comme la ligne de défense ultime pour les endpoints, est lui aussi soumis à des limites. Tous les endpoints ne peuvent pas en être équipés, notamment dans le cas de dispositifs anciens, non compatibles ou restreints par des politiques d’entreprise. De plus, les attaquants deviennent de plus en plus habiles et réussissent à le contourner en exploitant des failles dans les systèmes ou en utilisant des techniques sophistiquées pour échapper à la détection.
Le NDR : une pièce maîtresse dans l’écosystème de sécurité…
C’est au milieu de cette jungle d’outils que le NDR (Network Detection and Response) trouve naturellement sa place.
Il se distingue par sa capacité à analyser le trafic réseau en temps réel, détectant les comportements anormaux et les menaces souvent ignorées par d’autres solutions. C’est le révélateur des angles morts.
Contrairement à la protection périmétrique offerte par les antivirus, firewalls ou EDR, qui surveillent principalement les accès extérieurs, le NDR apporte une protection interne en analysant tout ce qui se passe au cœur du réseau.
En utilisant des techniques d’analyse comportementale et d’apprentissage automatique (IA), le NDR est en mesure d’identifier des menaces sophistiquées aussi bien courtes que persistantes sur la durée, y compris celles sans signature connue. Bien conçue, l’utilisation de l’IA dans le NDR permet une réduction drastique des faux positifs en analysant et corrélant un énorme volume de données pour distinguer les fausses alertes des vraies, simplifiant le travail quotidien des analystes de sécurité.
…Qui vient en complément des outils de défense traditionnels
Le NDR, bien qu’efficace pour surveiller et analyser le trafic réseau en temps réel, ne peut à lui seul, offrir une protection complète contre les menaces cybernétiques. En effet, les attaques locales échappent à la surveillance du NDR, comme l’élévation de privilèges, la persistance des menaces, l’installation d’outils malveillants ou encore les attaques via des périphériques USB. Ces attaques sont repérées par un EDR, conçu spécifiquement pour surveiller les endpoints.
Cependant, à un moment donné, l’attaquant passe par le réseau (command & control, phases de découverte du réseau, mouvement latéral, exfiltration de données, …), et c’est là que le NDR devient indispensable. En analysant le trafic réseau brut, le NDR détecte ces mouvements furtifs, empêchant l’attaquant de passer entre les mailles du filet. Cela est crucial, car il ne faut en moyenne que cinq heures à un cyber malveillant pour s’introduire dans l’environnement d’une entreprise et commencer à agir. Sans la visibilité qu’offre le NDR sur le réseau, ces déplacements latéraux pourraient rester invisibles, rendant la défense inefficace.
Le SIEM vient compléter cette approche en corrélant les informations fournies par l’EDR et le NDR. Il permet ainsi de reconstruire le fil des événements, d’analyser en profondeur l’incident, et de réagir rapidement. Ensemble, l’EDR, le NDR, et le SIEM forment une triade de visibilité essentielle recommandée par Gartner, offrant une défense renforcée et une vue globale des activités suspectes. Cette synergie permet de détecter, analyser et répondre aux incidents de manière plus efficace, renforçant ainsi la sécurité globale de l’organisation.
L’approche innovante du NDR Custocy
Notre NDR s’appuie sur des recherches faites en collaboration avec le LAAS du CNRS pour intégrer des modèles d’IA capables de détecter automatiquement les menaces sur le réseau informatique des entreprises.
A la différence d’autres solutions NDR, nos IA sont capables d’analyser le comportement d’un réseau sur plusieurs échelles de temps et ainsi de détecter non seulement des échanges courts qui seraient malicieux mais également des campagnes d’attaques persistantes sur la durée. Et en combinant ces IA à des sources de Threat Intelligence, le NDR Custocy est en mesure de détecter différents types d’attaques, tout en réduisant drastiquement le nombre de faux positifs pour permettre à l’analyste de se concentrer sur l’essentiel.
Mais au-delà de la détection, notre NDR va aussi permettre d’assurer une bonne hygiène de votre réseau. En effet, il n’est pas simple pour les entreprises de maîtriser parfaitement leur infrastructure. Assets inconnus, applications non recommandées, vulnérabilités, shadow IT, etc, sont souvent des choses que notre NDR découvre une fois en place, la fameuse partie immergée de l’iceberg. Se prémunir des cyberattaques, c’est donc aussi avant tout s’assurer de n’avoir aucune faille dans son système d’information pouvant être exploiter par les cybercriminels.
Conclusion
Même si votre système d’information actuel vous semble robuste avec les outils traditionnels du marché, le NDR n’est pas une simple option, c’est une nécessité.
Le réseau est le centre névralgique de toute infrastructure informatique. Dans un monde interconnecté, il est crucial d’avoir une visibilité complète sur ce qui s’y passe. D’autant qu’à un moment donné, l’attaquant passera par le réseau, que ce soit pour se déplacer latéralement, exfiltrer des données ou compromettre d’autres systèmes. Aussi, sans cette visibilité, vous risquez de laisser passer des menaces et ainsi compromettre la sécurité de votre organisation. Mettre en place une approche multicouche est donc primordiale pour vous assurer une défense optimale, d’autant plus lorsque les menaces évoluent constamment et que les attaquants ont trouvé en l’IA une arme redoutable pour atteindre leur objectif final.
Un outil de plus n’est donc peut-être pas un outil de trop !😉