EDR vs NDR vs XDR vs MDR
Si vous êtes dans le domaine des TI ou de la cybersécurité, vous aurez sûrement remarqué l’apparition de nouvelles terminologies en cybersécurité. Buzzword? Effet Marketing? Ou tout simplement de nouvelles technologies qui sont arrivées sur le marché?
Dans cet article de blog nous allons démystifier ces terminologies.
EDR (Endpoint Detection and Response)
Tout comme l’antivirus, le EDR est une technologie de protection d’ordinateur. La différence fondamentale avec l’antivirus est que le EDR peut détecter les outils malicieux, mais aussi d’autres types d’activités qui ont lieu sur un ordinateur. Une tentative de connexion à un site web malicieux ou bien un mouvement latéral malicieux dans le réseau en sont des exemples. Le EDR a été conçu pour détecter et répondre automatiquement à ces activités qu’un antivirus traditionnel ne peut pas détecter lui-même.
Le EDR va aussi collecter et fournir des informations nécessaires pour faire des investigations (analyse forensique) en cas d’activité malicieuse identifiée. Comme on le voit, le EDR va donc au-delà des actions que prend un antivirus traditionnel.
Il existe plusieurs fournisseurs de solutions EDR sur le marché, mais il faut savoir que leurs fonctionnalités ne sont pas forcément les mêmes. Certains EDR vont aussi avoir des fonctionnalités d’antivirus tandis que d’autres sont conçus pour détecter ce que l’antivirus classique ne peut pas détecter.
NDR (Network Detection and Response)
Les NDR sont des technologies qui permettent de protéger votre périmètre réseau contre les cyberattaques qui vous ciblent. Ils peuvent être sous forme de boitier physique ou virtuel et fonctionnent en capturant et analysant tout le trafic qui entre et sort de votre réseau. Un NDR va découvrir tout seul l’ensemble des ordinateurs de votre parc informatique et va surveiller les activités entrantes et sortantes de ces ordinateurs afin d’identifier les attaques qui les ciblent ainsi que les tentatives d’exfiltration de données par exemple.
L’une des caractéristiques des NDR est l’utilisation de l’IA dans la détection des cyberattaques.
Les NDR sont donc des systèmes de détection d’intrusions (IDS/IPS) évolués.
Pour faire simple, considérez NDR = IDS/IPS.
XDR Extended Detection and Response
Un XDR fait référence à une technologie qui permet de centraliser les alertes de sécurité venant de plusieurs outils de sécurité existants dans votre réseau (antivirus, EDR, NDR/IDS/IPS, etc.). Les alertes seront ensuite correlées et analysées par le XDR pour détecter des attaques plus complexes.
Vous n’êtes pas obligé d’acheter un outil étiqueté XDR. Un outil existant dans votre réseau peut jouer ce rôle.
Chez Streamscan nous utilisons notre technologie NDR appelée CDS comme un XDR. Pour cela, nous collectons les alertes des autres outils de sécurité du réseau via des API et nous les injectons dans notre CDS qui analyse ensuite toutes ces données. Facile!
MDR (Managed Detection and Response)
Le MDR fait référence à une surveillance proactive de la cybersécurité des réseaux informatiques. Dans une équipe MDR vous avez divers profils de personnes qui travaillent ensemble pour vous protéger contre les cyberattaques : spécialistes en détection d’intrusions, chasseurs en cybermenaces, spécialistes en analyse de code malicieux, etc.
Un service MDR utilise une ou des technologies de cybersécurité. Certains MDR utilisent uniquement des EDR, d’autres du NDR uniquement. Une autre catégorie utilise un mix de technologies. Vous l’aurez remarqué, les offres MDR sont différentes. Assurez-vous de choisir celui qui répond à votre besoin.
Noter aussi que le MDR est une évolution naturelle de l’approche traditionnelle de la gestion de la cybersécurité appelée SOC (Security Operation Center). Le SOC est passif et les analystes SOC n’interviennent que lorsqu’une alerte est levée. Or, souvent lorsqu’une alerte est générée, il est déjà tard. Le MDR est donc beaucoup plus adapté à la gestion actuelle de la sécurité des réseaux.
Découvrez comment Streamscan peut vous aider
Streamscan est un éditeur de technologies de cybersécurité NDR et EDR. Nous offrons aussi un service de monitoring MDR 24/7 afin d’aider les organisations à se mettre à l'abri des cyberattaques.
Parlez à l'un de nos experts ou appelez-nous au +1 877 208-9040.