N’oublions pas l’objectif principal et fondamental de la cybersécurité qui est de réduire le risque de cyberattaques. Pour ce faire de nouvelles méthodes ou de nouveaux outils voient le jour, au moins chaque mois.
Cybersécurité : SIEM, SOC, EPP, EDR, NDR, MDR… quelles différences ? Une récente enquête menée par Splunk, une entreprise américaine spécialisée dans la conception de logiciels de recherche, indique que les entreprises ont aujourd’hui tendance à investir une part importante de leur capital dans la cybersécurité.
À mesure que les cyberattaques deviennent plus complexes, plus fréquentes et plus couteuses aussi, il s’avère donc que les entreprises accordent de plus en plus la priorité aux capacités de détection et de réponse aux menaces cyber.
SIEM, SOC, EPP, EDR, NDR ou encore MDR, les solutions de cybersécurité sont aujourd’hui très présentes sur le marché et semblent permettre de contrer toutes les attaques.
Mais qu’en est-il vraiment ? Ou plutôt, laquelle parmi ces nombreuses solutions sera la plus appropriée à votre entreprise ? Pour le savoir, vous devez d’abord comprendre ce que sont vraiment le SIEM, le SOC, l’EPP, l’EDR, le NDR ou encore le MDR.
Chaque cas, de cybersécurité est différent, mais néanmoins il existe plusieurs types d’outils pour faire face à ce fléau moderne que l’on dénomme cybersécurité, et qui sera sans le moindre doute, l’un des pires problèmes qu’auront à affronter les DSI et les Hommes de Sécurité, dans les 5 prochaines années.
Les approches diffèrent, et cela peut aller de la formation de son personnel, à la mise en œuvre de pratiques, ou d’outils très pointus et très spécialisés, il ne semble pas y avoir une seule solution, mais plus des solutions, qui toutes vont dépendre du contexte à sécuriser, dans l’article qui suit, nous en avons relevé quelques unes parmi les plus importantes, mais il y en a d’autres.
Il est évident qu’il existe trop de termes pour définir, les incidents qui peuvent se produire, chaque solution présente des avantages et des inconvénients, mais les menaces ne cessent d’évoluer, et les nouvelles attaques impliquent non seulement les terminaux, mais aussi toutes les couches de l’environnement informatique (incluant le e-mails et le cloud, nous sommes loin de Wanacry en 2017, qui fit tant de dégats) ; Cybersécurité : SIEM, SOC, EPP, EDR, NDR, MDR… quelles différences ; La réponse tout de suite, dans l’article qui suit.
SIEM : Gestion des informations de sécurité et des événements
Sommaire
- 1 SIEM : Gestion des informations de sécurité et des événements
- 2 SOC : Centre des opérations de sécurité
- 3 EPP : Outil de détection sur les terminaux basés sur des signatures connues
- 4 EDR : Outil axé sur la détection et l’investigation des machines physiques et virtuelles
- 5 NDR : Pour une surveillance continue du réseau d’une entreprise
- 6 MDR : pour de la Détection et Réponse Managées
Les technologies SIEM, en français « Gestion des événements de sécurité », regroupent les données des journaux de votre réseau informatique, les alertes de sécurité et tous les événements qui surviennent dans une plateforme centralisée pour fournir une analyse en temps réel pour la surveillance de la sécurité.
Pour assurer une surveillance plus ou moins complète d’un réseau informatique, les solutions SIEM collètent des données au niveau des périphériques réseau (le concentrateur ou hub réseau, le commutateur, le routeur réseau, la passerelle, le répéteur, le point d’accès…), des serveurs (web, proxy, messagerie, FTP…), des dispositifs de sécurité réseau (pare-feux, antivirus, filtrage de contenu, EDR…) ainsi qu’au niveau des applications sur le réseau.
Les données collectées sont ensuite analysées et corrélées, permettant à la solution SIEM de détecter automatiquement les menaces avec des règles préréglées pour réduire la fatigue liée aux alertes et de mener des enquêtes pour identifier les éventuelles intrusions.
Autres articles :
- Cybersécurité : qu’est-ce que la sécurité informatique
- différence entre EDR et MDR, comment les distinguer.
- services de Détection et de Réponse Gérées, MDR
SOC : Centre des opérations de sécurité
Le SOC n’est pas un outil, mais plutôt un emplacement centralisé en local depuis lequel une équipe d’opérations de sécurité (SecOps) surveille, analyse et répond en permanence aux incidents de sécurité qui menacent l’entreprise. Pour y parvenir, le SOC utilise divers dispositifs de cybersécurité, dont fait partie les solutions EDR, XDR et aussi SIEM que nous avons vues plus haut.
Les fonctions d’un centre des opérations de sécurité incluent la surveillance proactive des intrusions, des menaces et des vulnérabilités, la réponse aux incidents et récupération, les activités de remédiation ou encore s’assurer que la sécurité du réseau soit conforme aux normes de sécurité externes telles que l’ISO 27001, le NIST Cybersecurity Framework (CSF) ou encore le RGPD.
Un SOC est généralement constitué de 5 à 8 experts en sécurité internes. À cause de son coût de mise en place très élevé, seules les grandes entreprises en possèdent, contrairement à des outils comme les SIEM, qui sont accessibles à toutes les entreprises, même les PME.
EPP : Outil de détection sur les terminaux basés sur des signatures connues
Une plateforme Endpoint Protection Plateform (EPP), en français plateforme de protection des terminaux, est une solution de sécurité conçue pour détecter et bloquer les menaces au niveau de l’appareil auquel elle est intégrée. Elle inclut quelques dispositifs intrinsèquement préventifs tels qu’un antivirus, un anti-malware, le cryptage des données, les pare-feu personnels, un système de prévention des intrusions (IPS), un outil de prévention des pertes de données (DLP)…
Peu appréciées des experts en cybersécurité, les solutions EPP n’offriraient que peu de plus-value par rapport à l’antivirus. Ce seraient aussi des solutions de détection facilement contournables par les attaquants.
EDR : Outil axé sur la détection et l’investigation des machines physiques et virtuelles
Les outils EDR sont des systèmes de cybersécurité qui installent des agents au niveau des terminaux et des machines virtuelles pour les surveiller. Pour cela, ils combinent des éléments d’antivirus de nouvelle génération avec des outils supplémentaires pour la détection et l’alerte des anomalies et des intrusions en temps réel. Appuyés par des technologies modernes et performantes telles que l’intelligence artificielle et l’apprentissage automatique, les outils EDR sont capables d’exécuter des analyses approfondies de données rendant possible la détection des intrusions les plus sophistiquées et aussi l’exécution d’actions de corrections adaptées, le tout de manière totalement automatique.
En comparaison avec les outils EPP, les outils EDR disposent de fonctions de blocage automatique des menaces. Ils peuvent aussi isoler les machines infectées. Enfin, ils sont aussi plus aptes à détecter les attaques les plus élaborées.
NDR : Pour une surveillance continue du réseau d’une entreprise
Une solution de Détection et Réponse du Réseau, en anglais Network Detection and Response ou NDR est une solution de cybersécurité assurant une surveillance continue du réseau d’une entreprise pour détecter les intrusions, les menaces et les comportements inhabituels. Les solutions NDR fonctionnent grâce à des outils et techniques non basés sur signatures, ce qui les rendent aptes à détecter les menaces connues et aussi inconnues qui traversent votre réseau.
Le problème avec les outils de cybersécurité basés sur les signatures est qu’ils ne peuvent pas détecter de nouvelles attaques à moins que des signatures aient été préalablement écrites pour reconnaître les attaques sur le réseau.
Il est important de noter que les systèmes NDR gèrent assez mal les alertes. Voilà pourquoi, les experts en cybersécurité conseillent toujours aux organisations d’avoir un outil d’EDR et/ou de SIEM avant d’acquérir un NDR.
MDR : pour de la Détection et Réponse Managées
MDR est l’acronyme de « Managed Detection and Response », ce qui signifie « Détection et Réponse Managées » en français. MDR n’est pas un outil ou une technologie, mais plutôt un service fournit par une entreprise de cybersécurité qui mobilisent technologies modernes de cybersécurité et experts en cybersécurité pour la surveillance, la détection et la neutralisation à distance des menaces présentes au niveau des réseaux de leurs clients, qui sont généralement des entreprises pour information.
Les fonctionnalités essentielles d’une solution MDR incluent la surveillance des menaces, vulnérabilités et intrusions grâce à des outils de détection, la chasse aux menaces, mais aussi la mobilisation et la mise à disposition experts en cybersécurité aux clients, la priorisation managée pour passer au crible les gros volumes d’alertes et traiter en priorité les plus importantes, l’investigation qui consiste pour des experts du service MDR à déterminer si les menaces détectées ne sont pas de faux positifs et enfin la correction des menaces détectées. Le tout est réalisé à distance !
Auteur Antonio Rodriguez Mota Editeur et Directeur de Clever Technologies