Bâtir une stratégie de défense résiliente avec l'EDR et le MDR

Ransomwares, phishing, cheval de Troie… les entreprises sont confrontées à une menace permanente, hyper active et professionnalisée. Dans ce contexte, les antivirus traditionnels ne couvrent plus toute la surface d’attaque et doivent être renforcés par des modules complémentaires.

Côté ressource, une équipe de sécurité se défend généralement du lundi au vendredi, de 9h à 17h. Les attaquants disposent ainsi d’une grande marge de manœuvre potentielle qu’ils peuvent exploiter, parfois sur des fuseaux horaires différents, lorsque la garde est baissée.

La situation est d’autant plus tendue que la pandémie a dispersé les équipes entre le bureau et leur domicile et que les plateformes de collaboration en mode SaaS sont devenus la norme pour de nombreuses entreprises. « Ces nouveaux outils et usages sont de nouvelles portes d’entrée dans l’entreprise », explique Benoit Grunemwald. Par conséquent, les entreprises recherchent des solutions et de services pour contrer de manière proactive les menaces émergentes, détecter et réagir plus rapidement et surtout mettre fin aux incidents. C’est là qu’interviennent l’EDR (Endpoint Detection and Response) et le MDR (Managed Detection and Response) : Une solution et une offre de service complémentaires venant répondre à des besoins différents et qui adaptent la détection, l’analyse et les contre-mesures aux capacités humaines et matérielles des entreprises. L’EDR repose ainsi sur des agents ou des capteurs installés sur les points finaux. « De quoi détecter, au-delà des logiciels, des comportements malveillants, explique Benoit Grunemwald, si un pirate usurpe un compte utilisateur pour réaliser une action malveillante au sein du SI de l’entreprise, l’équipe informatique est alertée et si l’action n’est pas légitime, les accès sont bloqués. Tout l’intérêt de l’EDR est d’agir en temps réel et de réduire le temps de réaction en cas d’attaque. »

L’EDR nécessite un minium de supervision, c’est pour cela qu’il a besoin d’être géré par une équipe: le service MDR s’appuie sur les capteurs déployés pour recueillir et analyser les données du client et réagir en cas d’intrusion ou comportement malveillant..

Le risque zéro n’existe pas

En cybersécurité, les risques existent toujours. La différence se joue sur la réactivité des entreprises en cas d’attaque. Aussi, le modèle Mitre & Attack permet de cartographier de façon simple les dimensions tactiques et techniques de modes opératoires adverses afin de traduire la donnée capitalisée en donnée actionnable. ATT&CK (Adversary Tactics, Techniques and Common Knowledge) est un projet qui se base sur les cyberattaques déjà connues afin de répertorier :

• Les tactiques et techniques d’attaque.
• Les groupes d’attaquants, par exemple : APT28, PittyTiger ou Stealth Falcon.
• Les logiciels utilisés par les attaquants, par exemple : Mimikatz, Colbalt Strike, etc.

Ce modèle distingue également 12 étapes successives identifiées et vont de la tentative, à l’exploitation et à posteriori. Aussi, « plus tôt l’entreprise détecte une intrusion, plus elle pourra repartir vite, affirme Benoit Grunemwald. Cela passe par des outils et services, tels que EDR et MDR, capables d’aider à la détection des menaces et à la prise de décision ». Ce type de service offre en effet une surveillance 24 heures sur 24 et 7 jours sur 7. De quoi soulager l’entreprise dans la gestion des menaces.

Sandbox cloud, la couche de sécurité supplémentaire

Parce qu’on n’est jamais trop prudent, des solutions telles que Sandbox Cloud, bac à sable en français, permettent de créer un environnement temporaire et isolé pour exécuter un programme ou ouvrir un fichier. « Grâce à sandbox box cloud, on élimine les risques d'infection des postes de travail et serveurs», argumente Benoit Grunemwald. Ces solutions sont également utiles pour contrer les cybercriminels qui souhaitent tester leurs programmes malveillants au fur et à mesure de leur développement. Totalement complémentaire des solutions MDR et EDR, la Sandbox Cloud détecte de nouveaux types de menaces jamais vues auparavant en moins de cinq minutes et améliore la protection de l’ensemble des utilisateurs du SI.