Méthodologie

Cybersécurité : choisir un EDR, les points à évaluer

Comment choisir la solution adaptée à votre organisation pour protéger vos endpoints contre les menaces ? Quels sont les critères à évaluer pour vous assurer qu’un EDR va permettre d'atteindre les objectifs de votre stratégie cyber ?
9 min

Voici une sélection de sujets à creuser pour valider la pertinence d’une solution par rapport à votre feuille de route. 

Evidemment, avant de passer au choix de l’outil, vous devez avoir préalablement défini vos besoins, vos objectifs, le périmètre... car un EDR s’intègre dans une stratégie globale. Pour préciser ces différents éléments, voici un guide des questions à se poser en amont. 
 

Capacités de détection des menaces 

Un EDR doit vous permettre de détecter les menaces qui visent votre organisation : logiciels malveillants qu’ils soient connus ou non des bases de malwares, tentatives d’intrusion dans le SI (par exemple pour de l’espionnage) et menaces persistantes avancées (APT), vol de données... En somme, toutes les techniques d’attaque, des plus basiques aux plus sophistiquées. 

Pour une protection optimale, la solution doit être en mesure d’identifier aussi bien des binaires que des comportements, pouvoir être enrichie de règles de détection pour suivre l’évolution de la menace, et apprendre automatiquement à détecter les menaces inconnues. 

Des systèmes d’évaluation des capacités de détection font office de référence sur le marché, et offrent des points de repère utiles pour s’y retrouver parmi les différentes solutions de sécurité, tels que le MITRE. 

Capacités d’analyse et de contextualisation des menaces 

Un EDR a, avant tout, vocation à faciliter le travail des équipes de sécurité. Les informations collectées par la solution doivent donc être contextualisées, précises et exploitables.  

Aussi, pour une meilleure efficacité lors d’une investigation (levée de doute ou réponse à incident), la pertinence des données et leur mode de restitution sont des avantages majeurs pour les analystes. Quelques exemples de ce qui facilite le travail d’analyse : 

  • affichage de la règle à l’origine de l’alerte pour une compréhension réelle de la méthode de détection ; 
  • facilité de navigation dans les arbres de processus (process tree) pour remonter toute la chaîne et suivre les déplacements effectués par l’attaquant ; 
  • possibilité d’agrégation des données de télémétrie (injection de code, résolutions DNS, connexions réseau...) pour regrouper l'ensemble des évènements afin de favoriser leur analyse ; 
  • accès à la timeline de l’activité poste par poste ; 
  • possibilité de collecter des traces forensiques complémentaires...

Fonctionnalités d’automatisation 

De manière générale, l’automatisation est cruciale pour gagner du temps. Cependant, il faut pouvoir la mettre en place de façon intelligente. 

Ainsi, il convient de vérifier quelles actions de remédiation peuvent être automatisées, avec quel niveau de granularité, quelle flexibilité, et quel niveau de personnalisation 

Voici quelques exemples de questions à soulever en matière d’automatisation, relatives à des usages concrets pour les analystes :  

  • Quid des options de création de groupe d’agents, et de la possibilité d’y appliquer des politiques de sécurité à la volée ?  
  • Quid de la gestion des faux positifs, et notamment de la possibilité d’automatiser la gestion de whitelists ?  
  • L’automatisation de certaines actions de remédiation est-elle possible avant que l’analyste ne prenne le relais (lancement de jobs pour isoler des postes, connexion avec des outils de gestion de playbooks...) ? 

Dans tous les cas, gardez en tête que l’analyse humaine est incontournable, même avec une solution qui propose de nombreuses automatisations. Par ailleurs, ces automatisations sont essentielles aussi bien à l’intérieur de la solution qu’entre solutions – ce qui nous amène au sujet de l’interopérabilité que nous allons aborder plus loin. 

Intégration de l’intelligence artificielle 

En cybersécurité, l’intelligence artificielle peut aider non seulement à optimiser la détection des menaces, mais aussi à limiter la sur-sollicitation des analystes - et la fameuse alert fatigue.  

Pour valider que l'IA permet bien de répondre aux besoins de l’organisation : à quels cas d’usages va-t-elle concrètement vous permettre de répondre ? Comment contribue-t-elle à mieux identifier les menaces ? Comment fait-elle pour limiter les faux positifs ? A quel point ses algorithmes sont-ils transparents, et l’éditeur est-il capable d’expliquer clairement ce que fait l’IA et comment ? 

Autre atout pour accompagner les analystes dans la réponse à incident : les fonctionnalités d’IA générative. Explorer ces fonctionnalités proposées et la vision de l’éditeur sur ce sujet permet de bien cerner en quoi la solution va favoriser la réponse à incident. 

Règles et transparence 

A l’intérieur de la console : quels sont les langages d’édition des règles de détection ? Sont-elles accessibles dans l’outil ? S’agit-il de formats propriétaires, ou au contraire standards et ouverts, comme par exemple YARA ou Sigma ? 

Notez que des formats standards contribuent à une prise en main plus rapide par les utilisateurs ; et par ailleurs, si les analystes doivent se former dessus, ils pourront capitaliser sur ces connaissances pour l’exploitation d’autres solutions de sécurité du marché utilisant ces formats standards. 

Interopérabilité et connecteurs 

L’un des autres critères importants à considérer pour le choix d’un EDR, c’est son niveau d’ouverture et d’interopérabilité, ce qui est central pour le bon déploiement de votre feuille de route. 
En effet, vous aurez besoin d’intégrer l’EDR à une infrastructure qui peut comporter d’autres briques de sécurité, et donc de le connecter avec d’autres solutions.  
 
Alors, comment l’EDR s’intègre-t-il dans votre écosystème ? Comment corréler les données provenant des différentes sources (postes de travail, serveurs, réseaux, Cloud...) ? Dans ce sens, des connecteurs sont-ils disponibles, qui les développe, et comment sont-ils maintenus ? 

Cloud / On-premise : les options de déploiement 

Un déploiement en Cloud privé, ou On-premise, peut être requis pour des organisations dont les données sont particulièrement sensibles. Il peut aussi y avoir un avantage économique à passer par un Cloud privé. 

Ainsi, la solution propose-t-elle différentes options de déploiement : en Cloud public (SaaS) ou en Cloud privé (On-premise) ? Le cas échéant, les fonctionnalités sont-elles bien identiques quel que soit le mode de déploiement ? 

Sécurité et conformité  

Prenez le soin de vérifier où les données sont hébergées, et le volume de données personnelles collectées. Derrière ce sujet, il y a bien entendu les enjeux de conformité RGPD en plus des enjeux opérationnels relatifs au traitement de ces données. 

Pour une solution qui fait appel à l’IA, il faut aussi s’assurer de la conformité avec l’IA Act.  
 
Enfin, dans le domaine plus particulier de la cybersécurité, la directive NIS 2, adoptée fin 2022, constitue un changement majeur dans l’écosystème juridique de la cybersécurité. Il convient de choisir un logiciel qui permet de remplir les critères minimaux posés par la Directive, notamment ceux d’audits techniques, par le biais de scan de sécurité par exemple. 
 

Roadmap, évolutions et capacités d’adaptation 

Les évolutions et les innovations technologiques sont indispensables pour faire face à une menace qui évolue en continu, et ainsi relever les défis qui émergent en matière de cybersécurité.  
Dans ce contexte, quelles sont les priorités identifiées par l’éditeur et sont-elles les mêmes pour vous ? Comment compte-t-il les adresser, avec quelles techniques et quels moyens ? Prévoit-il de poursuivre les innovations sur l'endpoint en tant que tel, au-delà des capacités de détection ? Ou sa roadmap est-elle plutôt définie au gré des tendances ? 
 
Ce sont des sujets à aborder au moment de choisir une solution, pour vous assurer qu’elle vous permet de couvrir les risques qui pèsent sur votre organisation à date et dans le futur. 

En outre, les utilisateurs d’une solution la font également évoluer à travers leurs retours d’expérience. Ainsi, avant de vous engager avec un éditeur, vous pouvez vous renseigner non seulement sur les évolutions prévues, mais aussi sur sa capacité à en intégrer ad hoc, dans la mesure où ces fonctionnalités peuvent être utiles à l’ensemble des utilisateurs. Ces évolutions peuvent aussi bien viser à innover qu’à améliorer l’expérience des utilisateurs. 

Expérience utilisateur et sécurité : objectif 0 friction 

Un EDR garantit la productivité générale d’une organisation dans la mesure où il protège les postes de travail et les serveurs. Il doit aussi assurer une expérience fluide, et cela passe entre autres par un impact le plus faible possible sur les performances des terminaux, mais aussi par des mises à jour transparentes et sans friction. 

Ainsi, l’évaluation de la consommation de ressources et de l’impact sur les performances des outils de travail fait partie des prérequis : cet impact doit être minime. 

Dans ce sens, l’EDR d’HarfangLab ne consomme que 90Mo de RAM et 0,5% de CPU, et les mises à jour ne nécessitent pas de redémarrage des endpoints : aucun impact ou presque sur les outils métier !  
 

Qualité du support client 

La qualité du support fait partie des critères à considérer pour le choix d’une solution de sécurité.  
Les plateformes d’avis telles que Gartner Peer Insights donnent un aperçu des retours clients, et leurs témoignages, ou encore les échanges avec les pairs (par exemple, dans le cadre de clubs ou d’associations telles que le Clusif, le CESIN...), sont également utiles pour estimer la qualité de l’accompagnement.  

Outre les avis exprimés par les utilisateurs, vous pouvez aussi vous assurer que le support proposé par l’éditeur est bien en phase avec vos besoins (périmètre, disponibilité...). 
 

Pour vous équiper ou pour changer de solution et mener votre projet cyber, 
quelles sont les équipes à solliciter ?