Méthodologie

Métriques clés pour évaluer les performances d’un EDR

Vous souhaitez évaluer les performances d'un EDR, mais vous ne savez pas exactement ce qu'il faut mesurer ? Voici une sélection d’indicateurs permettant d’estimer la pertinence d'un outil pour détecter et répondre aux menaces cyber, ainsi que les besoins auxquels il peut répondre.
4 min

Vous pouvez prendre en compte tout ou partie de ces indicateurs en fonction de vos priorités, des prérequis et du contexte de votre organisation. Vous pouvez les challenger avec l’éditeur de l’EDR, ou votre prestataire si la solution est gérée par un MSSP.  

En effet, la capacité d’un EDR à faciliter le travail des experts, sans les surcharger d’alertes et en leur fournissant des données pertinentes, est un point que vous pouvez tester pendant la phase de POC avec les équipes de l’éditeur ou votre MSSP 

Le paramétrage de l’EDR entre également en ligne de compte : il peut être configuré pour être plus ou moins sensible, avec des règles plus ou moins drastiques selon le type de menaces contre lesquelles votre organisation doit se protéger.  
Ainsi, pour répondre pleinement à vos attentes, un EDR doit toujours être correctement configuré en fonction de vos besoins – par des équipes internes ou un partenaire.  

Taux de faux positifs  

Quel est le pourcentage d’alertes sur des événements ou des indicateurs non malveillants ? Que fait la solution pour le minimiser, comment fonctionnent les listes blanches, et est-il possible d’ajouter des règles de détection personnalisées dans l’EDR ?  

Cette métrique est intimement liée à votre contexte. Les faux positifs peuvent être induits par les règles de détection, et ils peuvent être optimisés grâce aux listes blanches (dans le cas où vous faites appel à un MSSP, il peut gérer ces whitelists au cours de la phase de déploiement initiale).  
Gardez également à l’esprit qu’une alerte peut se déclencher sans qu’il y ait de problème de sécurité, mais en la corrélant avec d’autres événements, elle peut fournir des informations sur un problème réel.  

Taux de faux négatifs  

La solution passe-t-elle potentiellement à côté de certaines menaces, et de quel type ? Que fait le fournisseur pour améliorer ce point ?  
 
Il est préférable d’être plus rapide pour permettre une réactivité optimale, car le temps est essentiel pour répondre à un incident – sachant que dans certains cas, il peut y avoir une latence due au mode de détection, que ce soit via un bac à sable, dans le nuage ou même en utilisant un moteur de corrélation.  

Temps moyen de détection (Mean Time to Detect – MTTD)  

Quel est le délai pour que l’EDR détecte un événement de sécurité ? La détection se fait-elle via une sandbox ou dans le Cloud, ou directement dans l’agent au plus proche de la menace ?  

Le temps est crucial pour répondre à un incident – tout en sachant que dans certains cas, il peut y avoir une latence due au mode de détection, que ce soit via une sandbox, ou en utilisant un moteur de corrélation. 

Temps moyen d’investigation (Mean Time to Investigate – MTTI)  

Combien de temps faut-il aux analystes, en interne ou chez un partenaire, pour investiguer après une alerte : collecte d’informations, analyse des données, évaluation de la criticité… ? Dans quelle mesure la solution est-elle ouverte à l’interfaçage avec d’autres solutions de monitoring et de gestion des incidents (ITSM, SIEM…) ?  

Il s’agit d’une mesure que vous pouvez simuler ou approximer sur la base des données disponibles et du temps nécessaire pour les traiter, en fonction de vos ressources ou de la performance de votre SOC interne ; si un partenaire exploite la solution, ce délai peut être défini contractuellement.  

Temps moyen de réponse/remédiation (Mean Time to Respond/Remediate – MTTR)  

Combien de temps faut-il à l’EDR pour réagir, contenir et éradiquer la menace ? Qu’est-ce qui peut être automatisé ? Comment cela permet-il d’optimiser le processus de récupération ? Quelle est la durée de conservation des données ? Si un MSSP exploite la solution, quels sont les termes du SLA prévu dans le contrat ? 

Disponibilité du service Temps de fonctionnement (Service Availability Up Time) 

A quel point la solution est-elle résiliente ? Que prévoit le contrat en termes de disponibilité ? Comment la solution et les moteurs de détection peuvent-ils continuer à fonctionner même lorsque le réseau est en panne, lorsque les agents ne peuvent plus communiquer avec le manager ?  

Notez que plus il y a d’opérations gérées par l’agent, meilleure est la disponibilité en toutes circonstances. 

Et au-delà des chiffres, quels sont les critères à évaluer pour vous assurer
qu’un EDR va vous permettre d’atteindre les objectifs de votre stratégie cyber ?