La détection et la réponse étendues (XDR) peuvent être très utiles pour les équipes des centres de sécurité des opérations (SOC) qui sont débordées et manquent de ressources. En intégrant la corrélation automatique des données provenant de multiples éléments des infrastructures de sécurité, l’XDR améliore la visibilité et réduit considérablement la charge de travail pour une organisation.
Être RSSI aujourd’hui, c’est tout sauf une sinécure. Le métier est plus que jamais sous le feu des projecteurs, car des attaques très audacieuses font régulièrement la Une des journaux. Mais d’un autre côté, ces professionnels doivent sans cesse batailler pour obtenir les investissements nécessaires non seulement pour protéger efficacement leur entreprise mais aussi pour attirer et retenir des collaborateurs qualifiés, qui sont une denrée rare.
Les RSSI intelligents évaluent les technologies et services sous-jacents qu’ils utilisent et se posent les bonnes questions : Suivent-ils vraiment l’évolution constante des menaces ? Leurs processus sont-ils automatisés pour gagner du temps et de l’argent ? Existe-t-il de nouvelles approches à envisager ?
C’est sans doute au cours de cette réflexion que la plupart d’entre eux auront découvert les solutions XDR. Ces produits viennent d’entrer sur le marché. Il n’est donc pas étonnant que les débats restent ouverts quant à leurs capacités, leur utilisation et même leur définition. Essayons d’y voir plus clair.
L’XDR, qu’est-ce que c’est ?
Un acronyme de plus dans notre jargon ? Oui, mais pas seulement. Celui-ci mérite qu’on s’y arrête car il désigne une solution de détection et de réponse plus globale.
Née de l’EDR (détection et réponse sur les endpoints), l’XDR va encore plus loin et propose une plateforme unifiée de détection des incidents et de réponse. L’objectif principal est de réduire la complexité des opérations de sécurité en combinant les détections utiles sur les endpoints avec des données télémétriques provenant de sources autres que les endpoints (visibilité sur le réseau, sécurité des e-mails, identité, gestion des accès, sécurité du cloud, etc.)
L’XDR optimise la détection des menaces, les recherches et la chasse aux menaces en temps réel. C’est une solution MDR unifiée, comme son nom l’indique (XDR = extended MDR, détection et réponse infogérées étendues). Un SOC complet capable de compiler et de corréler des données provenant de multiples sources est un rempart efficace contre les adversaires. Les opérations de sécurité à partir d’une source unique, associées aux renseignements pertinents sur les menaces, permettent une approche plus globale des opérations de cybersécurité modernes. Les équipes de sécurité peuvent ainsi identifier plus efficacement les menaces inconnues et les contrer, avant même qu’elles ne perturbent les opérations des entreprises, afin de limiter au minimum les répercussions.
Réduire la charge de travail et optimiser la chasse aux menaces
Un grand nombre de centres d’opérations de cybersécurité manquent cruellement de ressources. L’XDR peut les soulager en automatisant les tâches chronophages et administratives. Ainsi, au lieu d’éplucher à longueur de journée d’interminables registres, le personnel qualifié peut mettre à profit son expertise de la cybersécurité pour contrôler et éliminer les menaces.
De plus, la promesse d’un travail plus utile et de fonctions plus intéressantes, donnant accès aux derniers outils de sécurité permettant de surveiller et de gérer les menaces sur l’ensemble de la pile, est un argument de poids pour attirer et retenir les meilleurs professionnels de la sécurité.
Enfin et surtout, l’XDR facilite la prise de décisions plus éclairées en matière de cybersécurité en améliorant l’efficacité des opérations et en fournissant une vue d’ensemble cohérente de l’activité sur les endpoints, le réseau et les applications, pour éliminer les menaces avant qu’elles ne dégénèrent en incidents.
Un marché immature
Le marché de l’XDR est encore immature, et les fournisseurs qui proposent des solutions de ce type sont rares. Certains se vantent de disposer d’une liste complète de fonctionnalités, mais ce n’est pas toujours vrai.
Ce manque de transparence sur le marché conduit les RSSI à se demander, à juste titre, si l’XDR est la meilleure solution pour répondre aux besoins actuels, ou si elle risque de créer une trop forte dépendance vis-à-vis d’un même fournisseur. Les développeurs désireux de commercialiser une solution XDR doivent déterminer s’ils sont réellement en mesure de mettre au point toutes les composantes d’un écosystème XDR.
Par exemple, disposent-ils de la meilleure technologie possible pour intégrer plusieurs outils de détection tout en générant des alertes exhaustives pour les équipes de sécurité ? Pour pallier ces lacunes, des fournisseurs de technologies pourraient être amenés à s’associer pour créer une solution XDR plus large.
L’XDR est une grande avancée. De très nombreuses organisations n’ont pas encore opté pour cette solution, mais elle offre de véritables avantages en matière de réduction de la complexité des opérations de sécurité et de visibilité des événements.
Les RSSI cherchent comment limiter les risques, et l’XDR leur simplifie grandement la tâche en laissant au personnel qualifié le temps de se concentrer sur ce qui compte le plus : la recherche et l’élimination des menaces. Alors qu’il est de plus en plus difficile de recruter des spécialistes de la cybersécurité, ce sont peut-être ces fonctions qui permettent à une entreprise de faire la différence et d’attirer les meilleurs candidats.