Skip to main content

Éléments clés d’une détection et réponse efficace des points d'extrémité

Les employés de Bell testent le meilleur système EDR pour protéger leurs appareils contre la fraude à la sécurité

Par Cameron Hunter, gestionnaire de produit technique principal, services avancés des centres de gestion de la sécurité

Par Cameron Hunter, gestionnaire de produit technique principal, services avancés des centres de gestion de la sécurité Les acteurs malveillants imaginent sans cesse de nouveaux moyens de s’introduire dans les systèmes des entreprises : des logiciels malveillants et rançongiciels avancés aux nouvelles tactiques axées sur l’intelligence artificielle (IA) qui permettent de lancer des attaques en un clic. Si votre pare-feu ou vos mesures de sécurité de messagerie échouent, la dernière ligne de défense est la solution de détection et réponse des points d'extrémité (EDR – « endpoint detection and response ») qui s’exécute sur l’appareil de l’employé ciblé par l’attaquant. Il est donc essentiel de choisir la bonne solution EDR et le bon fournisseur de solutions EDR. 

Que devez-vous rechercher lorsque vous investissez dans une solution EDR pour votre entreprise? Dans ce blogue, je vais présenter cinq éléments clés de la solution et quatre qualités importantes à rechercher chez un fournisseur de solutions EDR. 

 

Qu’est-ce qu’une solution EDR? 

Chaque appareil connecté à votre réseau d’entreprise, qu’il soit un ordinateur, un ordinateur portable, un téléphone intelligent, une tablette, un capteur, un serveur ou tout autre type d’appareil est un terminal. Pour un pirate informatique, chaque terminal est une porte d’entrée potentielle dans votre réseau. 

Les solutions EDR constituent une mesure clé pour éviter que cela se produise. Exécutées sur des appareils connectés, elles assurent une surveillance en continu afin de détecter les logiciels malveillants et les activités suspectes en fonction des renseignements les plus récents sur les menaces et de l’analytique des comportements. Cela les rend efficaces contre bon nombre des tactiques que les pirates informatiques utilisent, y compris les scripts malveillants, les pièces jointes de courriel infectées et les données d’authentification volées. Les solutions EDR modernes utilisent également l’intelligence artificielle pour accélérer la détection, l’enquête et la résolution des menaces. 

Les solutions EDR font souvent partie d’une offre plus large de détection et de réponse étendue, connue sous le nom de XDR (« extended detection and response »). En plus de la solution EDR, une plateforme XDR comprend également la protection de la messagerie et la défense du réseau. 

 

Ce qu’il faut rechercher dans une solution EDR 

Avec plusieurs solutions EDR sur le marché, il peut être difficile de savoir laquelle identifiera et empêchera efficacement les tentatives d’intrusion sur les appareils de vos employés. Voici cinq éléments à rechercher : 

  1. Prise en charge d’une grande variété d’appareils et de systèmes d’exploitation
    Il est fort probable que les appareils connectés utilisés dans l’ensemble de votre entreprise comprennent plus que des ordinateurs de bureau et des ordinateurs portables fonctionnant sous Windows. Assurez-vous que la solution EDR dans laquelle vous investissez est compatible avec un large éventail d’appareils (y compris les machines virtuelles et les sources en nuage) ainsi qu’avec plusieurs systèmes d’exploitation comme macOS, Linux et Unix. 

  2. Sources de renseignements sur les menaces de haute qualité
    La qualité d’une solution EDR dépend des renseignements sur les menaces qui lui sont transmis. Privilégiez les solutions des fournisseurs qui s’engagent à garantir que leurs sources de renseignements sur les menaces sont exhaustives, fiables et à jour. Ils doivent faire vérifier leurs sources par des experts externes, publier régulièrement des renseignements sur les menaces actuelles et avoir fait leurs preuves en matière de détection précoce des menaces émergentes grâce à une évaluation minutieuse des tendances et de l’activité des pirates informatiques.

  3. Réponses automatisées aux comportements suspects
    Au cours d’une journée, une solution EDR peut signaler de nombreux cas de comportements suspects. Certains d’entre eux sont clairement malveillants. Une solution capable d’apporter une réponse automatique (par exemple, mettre le fichier en quarantaine) peut alors permettre aux analystes de se concentrer sur des événements plus complexes ou ambigus qui nécessitent une plus grande attention. 

  4. IA comportementale pour l’analyse et la réponse
    La détection basée sur la signature est depuis longtemps la norme en matière de solution EDR, mais cette approche connaît des limites, car elle ne peut agir que sur des menaces déjà connues. La détection basée sur la signature, complétée par l’IA comportementale, permet de surmonter ces limites en établissant un point de référence des activités habituelles d’un utilisateur et en le comparant à ce qu’il fait en temps réel. Par exemple, si un employé qui n’utilise habituellement que la messagerie et un logiciel de traitement de texte ouvre soudainement l’éditeur de registre, une solution EDR améliorée par l’IA peut détecter ce comportement inhabituel et apporter une réponse en conséquence.

  5. Interopérabilité avec d’autres services et technologies de sécurité
    Une solution EDR qui s’intègre à votre gestion des informations et des événements de sécurité (GIES), à l’orchestration, à l’automatisation et à la réponse en matière de sécurité (SOAR) et à d’autres solutions peut apporter une vue d’ensemble du système et de l’activité des menaces. Cette intégration simplifie les opérations et accélère la réponse aux événements anormaux. 

 

Ce qu’il faut rechercher chez un fournisseur de solutions EDR 

La force d’une solution EDR ne repose pas seulement sur sa technologie. L’équipe qui en est responsable est tout aussi importante. Pour cette raison, recherchez ces quatre qualités chez un fournisseur de solutions EDR : 

  1. Soutien en tout temps
    Les attaques ne se limitent pas aux heures d’ouverture d’une entreprise. En effet, de nombreuses attaques se produisent en dehors des heures d’ouverture. Les attaquants agissent dans des fuseaux horaires différents ou choisissent délibérément de frapper en dehors des heures d’ouverture, lorsqu’ils s’attendent à ce que le niveau de sécurité soit faible. C’est pourquoi il est essentiel de vous assurer que votre fournisseur peut apporter un soutien EDR en tout temps.

  2. Examen et amélioration continus de la technologie et des processus
    Les menaces évoluent constamment. Les solutions (et leurs fournisseurs) doivent évoluer pour garder une longueur d’avance sur les pirates informatiques. Le bon fournisseur s’efforcera constamment d’accélérer les temps de réponse et de s’adapter aux nouvelles menaces. Par exemple, il aura recours à l’IA pour générer des cas d’utilisation ou des guides de stratégie en fonction de l’activité d’attaque de ses clients.

  3. Réglages appropriés
    Un fournisseur ne doit jamais vous donner une solution et vous laisser vous débrouiller tout seul. Pour être efficace, une solution EDR doit être configurée en fonction de votre environnement technologique, de vos politiques de sécurité et de vos contrôles de sécurité actuels. Cela facilite l’automatisation, minimise l’impact sur vos systèmes principaux et réduit les faux positifs. Le bon fournisseur commencera par une évaluation complète de votre environnement avant de configurer les solutions.

  4. Recherche proactive des menaces
    Même si une menace n’a pas encore été détectée, il est possible qu’elle ait réussi à contourner vos systèmes de défense par le passé. Certains fournisseurs rechercheront des preuves antérieures de menaces nouvellement détectées afin de s’assurer qu’aucune trace ne subsiste sur l’un de vos points d'extrémité

 

Sécurisez vos points d'extrémité grâce à la détection et à la réponse aux menaces gérées de Bell  

Toutes les solutions EDR et tous les fournisseurs de solutions EDR ne sont pas les mêmes. En privilégiant les qualités qui favorisent une performance et une adaptabilité optimales, vous pouvez trouver une solution EDR qui vous aidera à protéger votre entreprise face à l’évolution constante des menaces au Canada.  

Protégez votre entreprise contre les attaques les plus sophistiquées grâce à la détection et à la réponse aux menaces gérées de Bell. Nous combinons l’expérience concrète de nos centres de gestion de la sécurité nationaux, ouverts en tout temps, à la technologie XDR de pointe de SentinelOne et à l’expertise de classe mondiale de Mandiant en matière de recherche des menaces et de réponse en cas d’incident. Un gestionnaire de Bell spécialisé en livraison de la sécurité sera là pour vous apporter du soutien et répondre à toutes vos questions, et l’intégration à l’environnement de réponse unifiée de sécurité de Bell (ERUSB) nous donnera une meilleure visibilité sur votre réseau pour une détection et une réponse aux menaces plus rapides. 

Communiquez avec nous dès aujourd’hui pour en savoir plus sur la façon dont la détection et la réponse aux menaces gérées de Bell peuvent assurer la sécurité de votre entreprise.