C'est quoi l'EDR ?
À l'intérieur de votre parc informatique, chaque terminal connecté représente un potentiel vecteur d'attaque et chaque connexion constitue un point d'entrée vers votre système d'information et vos données sensibles. Les technologies antivirus connaissent des limites face aux cyberattaques avancées. Des limites que peuvent combler les solutions EDR (Endpoint Detection and Response).
Ces solutions EDR interviennent pour renforcer la sécurité des terminaux avec une surveillance en temps réel, une détection intelligence des intrusions et leur remédiation rapide, ainsi qu'une amélioration continue de la protection.
Surveillance en temps réel des terminaux
La technologie EDR se base sur une collecte des données qui transitent sur les terminaux, des connexions réseau aux différents processus, en passant par les fichiers ouverts, le chargement des pilotes, l'utilisation de la mémoire et du disque, ou encore l'accès à la base de données centrale. Par la suite, toutes ces données sont transmises à un moteur d'analyse EDR, qui va détecter les comportements suspects et anormaux. À la clé, une visibilité en temps réel et complète sur toutes les activités des terminaux, pour une identification rapide d'activités malveillantes.
Détection intelligente et remédiation rapide
Les technologies EDR font appel à l'analyse comportementale pour reconnaître ces comportements suspects et anormaux. La phase d’analyse des données centralisées est clé, car elle corrobore des informations pour en déduire des schémas d'attaque, y compris les cyberattaques de type Zero-Day. En cas de détection d'une cyber-menace ou de tentative d'intrusion, l’EDR préconise des mesures de remédiation comme l'arrêt d’un processus en cours, le blocage d'une exécution, la mise en quarantaine d'un fichier, ou encore l'isolation de terminaux infectés... Les administrateurs et analystes sécurité pourront alors investiguer à partir des résultats d’analyses et appliquer les choix de remédiation les plus appropriés.
Amélioration continue de la protection
Face à l’évolution constante des modes opératoires, la solution EDR aide la compréhension et l'apprentissage des équipes Sécurité. Grâce aux données collectées et analysées lors des phases d'investigation, elles sont mieux armées pour lutter contre les cyberattaques futures. La réponse à incident permet alors notamment de mieux comprendre les actions passées, par exemple en visualisant les liens de causalité d’une chaîne d’attaque, et d'améliorer de manière continue la protection apportée par la solution EDR.
Stormshield Endpoint Security Evolution, votre solution EDR certifiée
Avec la solution Stormshield Endpoint Security Evolution (SES), augmentez le niveau de protection de vos postes de travail avec une solution EDR proactive. Basée sur une technologie d’analyse sans signature, la solution SES détecte les attaques et cyber-menaces, et y répond de manière appropriée. Notre solution EDR de confiance a obtenu la certification de sécurité de premier niveau (CSPN), délivrée par l'ANSSI pour la catégorie Détection d'intrusions.
Découvrez une solution EDR de protection des terminaux et serveurs de nouvelle génération. Et avec ses fonctionnalités de Cyber Threat Intelligence et de Threat Hunting, bénéficiez d’une capacité de détection avancée des cyberattaques les plus sophistiquées.
FAQ : Comment fonctionne un EDR ? Pour détecter les cyberattaques sophistiquées, l’EDR repère les comportements suspects et anormaux grâce à des indices de compromission (IoC - Indicators of Compromise). Il ne s’agit pas toujours d’événements exceptionnels, il peut s’agir d’actions banales comme le fait d’ouvrir une connexion sur un serveur externe. Une fois ces comportements suspects identifiés, la solution EDR préconise des mesures de remédiation rapide et permet une investigation ultérieure à partir des résultats d’analyses.
FAQ : EDR ou XDR ? Il est indispensable pour les outils de protection des terminaux d’intégrer une capacité de détection et réponse à incident. En complément de l'EDR informatique, la plateforme XDR (eXtended Detection and Response) entend rassembler l’ensemble des actifs informatiques internes et externes (réseau, annuaires, ressources cloud, firewalls, etc.) dans le but de fournir une vision d’ensemble des événements du système d’information.