10 elements a prendre en compte lors de l'acquisition d'une solution EDR

Le marché des solutions EDR (Endpoint Detection and Response) a connu ces dernières années une croissance soutenue et, d’après les experts du secteur, cette tendance devrait se poursuivre. Selon les projections de Gartner, d’ici la fin 2025, plus de 60 % des entreprises auront remplacé leurs anciens produits antivirus par des solutions combinées EPP et EDR[1].

Le succès de ces solutions holistiques de protection des endpoints revêt plusieurs explications. D’une part, les attaques deviennent de plus en plus fréquentes, et de plus en plus sophistiquées. D’autre part, les solutions EDR elles-mêmes deviennent de plus en plus accessibles : elles ne sont plus réservées aux seules grandes entreprises. De nombreux fournisseurs de cybersécurité proposent en effet aujourd’hui des combinaisons EDR (Endpoint Detection & Response) et EPP (Endpoint Protection Platform) à des prix abordables.

Pour connaître les principales fonctionnalités EDR et les raisons qui mènent les entreprises à acquérir ce type de solutions, consultez notre article intitulé “7 raisons pour lesquelles vous avez besoin d’une solution EDR“.

Nous allons vous présenter ici 10 éléments à prendre en compte lors de l’acquisition d’une solution EDR. Vous saurez ainsi quelles questions poser aux différents fournisseurs que vous envisagez. Cet article vous sera utile si vous souhaitez acquérir une solution EDR, si vous procédez à un renouvellement, ou encore si vous menez à un exercice de benchmarking.

1. Intégration à d'autres plateformes de sécurité

Assurez-vous que la solution EDR que vous envisagez est compatible avec vos systèmes de sécurité actuels. Vous optimiserez ainsi la charge de travail de votre équipe de cybersécurité. Pour fonctionner efficacement, les outils EDR doivent assurer une intégration avec d’autres systèmes de sécurité chargés de suivre, gérer et exécuter des actions visant à neutraliser les attaques.

Une solution proposant une intégration API est sans doute la meilleure option, surtout si vous utilisez déjà un SIEM pour la gestion des événements de sécurité : vous pourrez ainsi utiliser sans difficulté votre solution EDR pour alimenter en données vos systèmes existants.

2. Agent vs sans agent

L’agent EDR correspond au composant logiciel de la solution, installé sur chaque endpoint. Ce composant n’est pas strictement indispensable puisqu’une solution EDR peut être installée de manière passive sur le réseau.

Les solutions EDR sans agent ont l’avantage d’être rapides à déployer. Elles peuvent être utilisées pour monitorer les endpoints sur lesquels il est impossible ou difficile d’installer un agent. Toutefois, ces solutions présentent certaines limites. Sans agent installé sur l’endpoint, la réponse n’est pas aussi robuste et la collecte de données reste limitée. Un agent installé sur chaque endpoint permet de capturer beaucoup plus de données sur l’activité utilisateur, et d’intervenir beaucoup plus efficacement en cas de piratage du endpoint.

3. Prise en charge du système d’exploitation

Si un endpoint possède un système d’exploitation incompatible avec votre solution EDR, alors il sera impossible d’installer un agent sur celui-ci. Il est donc conseillé de choisir une solution compatible avec plusieurs systèmes d’exploitation.

Malheureusement, pour presque toutes les solutions EDR, il existera des systèmes d’exploitation non pris en charge. Si certains endpoints de votre réseau utilisent un système d’exploitation non pris en charge par le fournisseur EDR que vous avez choisi, une solution sans agent peut constituer une option adéquate.

4. Appareils non pris en charge

De la même manière que certains systèmes d’exploitation ne seront pas compatibles par votre solution EDR, certains appareils ne le seront pas non plus. La plupart des smartphones, même sous iOS et Android, ne sont généralement pas pris en charge par les outils EDR. Le problème se pose également avec les équipements connectés (IoT). Là encore, prenez le temps de demander aux fournisseurs de faire le point sur les appareils non-compatibles.

5. Prise en charge du cloud

Vous devez savoir si la solution EDR que vous envisagez prend en charge les environnements cloud, et dans quelle mesure. Même si de nombreux outils EDR sont eux-mêmes basés sur le cloud, ils ne soient pas toujours opérationnels en environnements cloud.

Dans les grandes entreprises, 60 % du marché EDR est assuré via le cloud (Gartner Innovation Insight for Cloud Endpoint Protection Platforms, avril 2019). Pour autant, ces solutions ne protègent pas nécessairement tous les autres systèmes cloud : l’EDR est souvent difficile à installer sur le cloud et il est fréquent qu’une protection supplémentaire soit nécessaire pour des applications cloud spécifiques.

6. Mises à jour du système

Les cybermenaces évoluent sans cesse. Pour pirater les systèmes de sécurité, les hackers innovent sans cesse avec de nouvelles tactiques, techniques et procédures (TTP). Tout système EDR n’étant pas régulièrement mis à jour peut donc lui-même se retrouver vulnérable face aux cybermenaces avancées. Pour faire face efficacement aux attaques, vous avez besoin d’une solution EDR recevant fréquemment des mises à jour concernant les indicateurs de compromission (IoC).

Pensez également à évaluer le temps devant être consacré à la gestion et à l’installation de ces mises à jour, et étudiez les pistes d’automatisation.

7. Évolutivité

82% des entreprises souhaiteraient disposer d’une solution tout-en-un, capable de répondre à l’ensemble de leurs besoins en cybersécurité/réseau (étude de marché F-Secure 2020 B2B). Même si cela n’est peut-être pas réaliste à l’heure actuelle, demandez à votre fournisseur si votre système EDR est conçu pour pouvoir intégrer à l’avenir de nouveaux composants et de nouvelles fonctionnalités.

Pensez également à anticiper d’éventuelles augmentations de votre trafic réseau, en cas de croissance de votre entreprise ou d’augmentation du nombre d’appareils distants.

8. Impact sur les performances des endpoints

Si un agent doit être installé, veillez à vous renseigner sur les performances devant être dédiées à son fonctionnement. Devrez-vous investir dans des endpoints plus performants pour assurer un fonctionnement normal ?

Une solution EDR utilise normalement environ 1% des capacités du processeur. Au-delà, la solution est probablement mal optimisée. L’utilisation de la mémoire, quant à elle, peut varier selon le poids de l’agent, mais elle ne doit pas dépasser 50 Mo. Votre fournisseur doit être en mesure de vous présenter les données de performances pour des systèmes similaires aux vôtres.

9. Modèles personnalisés de détection des menaces

En fonction du niveau d’expertise dont vous disposez en interne, vous pouvez concevoir votre propre modèle de détection des menaces, ou tout du moins adapter un modèle de détection prédéfini. Certains fournisseurs de solutions EDR vous diront que les modèles prédéfinis sont optimisés pour obtenir les meilleures performances, mais chaque entreprise est différente et il n’existe pas d’algorithme de machine learning adapté à toutes les situations.

10. Support fournisseur

Qu’arrivera-t-il si votre solution EDR est elle-même piratée ? Le fournisseur vous facturera-t-il des services de réponse aux incidents ? Voilà un exemple typique de conflit d’intérêts. Vous devez donc avoir confiance en votre fournisseur.

Assurez-vous d’identifier à l’avance le niveau de support qui vous est proposé et le niveau d’expertise de votre gestionnaire de compte. Si vous faites appel à un fournisseur de services managés, celui-ci sera souvent bien placé pour évaluer avec vous les niveaux de support proposé par les différents fournisseurs… même s’il gardera à l’esprit les incitatives dont il peut bénéficier en cas de transaction. Encore une fois, la confiance entre toutes les parties joue un rôle-clé.

Nous espérons que cet article a pu vous aider à identifier la solution EDR la plus adaptée à vos besoins. Quelle que soit la solution que vous choisirez, assurez-vous qu’elle réponde aux exigences spécifiques de votre entreprise.

Si vous souhaitez en savoir plus sur notre solution EDR, n'hésitez pas à télécharger notre fiche produit. Si vous souhaitez la tester en conditions réelles, demandez un essai gratuit de 30 jours.

F-Secure Elements Endpoint Detection and Response

Surveillez l'état de sécurité de votre environnement informatique, détectez rapidement les attaques ciblées et répondez efficacement grâce à l'automatisation ainsi qu'à une visibilité contextuelle.

Reference

[1] Gartner, Competitive Landscape: Endpoint Protection Platforms, 18 Feb 2021.