Les différences entre un EDR et un EPP
Commençons par voir ce qui différencie un EDR d’un EPP.
Un EPP (Endpoint Protection Platform) permet non seulement de détecter et bloquer des fichiers malveillants (virus, vers, chevaux de Troie…), mais aussi de gérer un pare-feu local, chiffrer des terminaux, contrôler des périphériques USB, vérifier l’intégrité de fichiers, filtrer des URL...
Autrement dit, un EPP propose un ensemble de fonctions visant à sécuriser les terminaux – y compris des fonctions d’antivirus.
Dans la plupart des cas, il ne fournit pas de capacité d’investigation et de qualification de comportements suspects.
Il est en général prévu pour détecter des menaces connues, et il offre l’avantage de les bloquer automatiquement avec un taux de faux positif très faible.
En outre, il ne demande pas de gestion poussée, ni de configuration complexe ou spécifique pour fonctionner et s’adapter aux menaces au quotidien.
Un EDR, quant à lui, analyse l’ensemble de l’activité d’un terminal : présence de fichiers, exécution de processus, comportements suspects... Et il permet également de collecter les données visant à réaliser des levées de doute, ou de la remédiation, en cas d’alerte à la suite d’un événement de sécurité.
Pour lever ces alertes, il s’appuie non seulement sur des bases de menaces connues, mais aussi sur des règles de détection comportementales, des Indicateurs de compromission (IOC), et il peut apprendre à détecter les menaces inconnues grâce à l’Intelligence Artificielle.
Les avantages d’un package EDR + EPP
EDR et EPP : les avantages techniques
Comme évoqué, un EPP assure la protection des endpoints à travers différentes fonctionnalités. Par exemple :
- Un antivirus, qui permet d’analyser et bloquer automatiquement des fichiers malveillants (documents texte, pdf...) ;
- Un pare-feu (ou firewall) pour empêcher les connexions venant de ou allant vers des espaces qui présentent un risque (site web, serveur...) ;
- La gestion des périphériques, pour protéger des vecteurs de virus ou de vulnérabilités, tels qu’une clé USB, un disque externe...
Un EDR, quant à lui, se concentre essentiellement sur l’analyse des événements qui interviennent sur un endpoint, par exemple à la suite de l’exécution d’un fichier. Il est en outre capable de remonter un grand nombre d’informations, au-delà des alertes.
Coupler un EDR et EPP permet ainsi de se prémunir contre les attaques en les bloquant en amont, avec en parallèle une capacité de détection, de remédiation mais aussi d’analyse fine des menaces.
Le conseil d’expert
Un EDR est en mesure de détecter les menaces dès qu’il est déployé sur un parc informatique. Néanmoins, le paramétrage est important pour en tirer le meilleur parti (qui peut être effectué par les équipes de sécurité en interne, ou avec le support d’un MSSP).
Cela permet d’une part d’assurer des alertes les plus pertinentes possible et donc une optimisation des faux positifs (via la personnalisation des règles et la définition des whitelists), mais aussi un accès aux données nécessaires pour mener une investigation à la suite d’un incident de sécurité (via la télémétrie).
En effet, il faut bien garder à l’esprit que l’analyse humaine reste indispensable en matière de cybersécurité, et c’est précisément la configuration de l’EDR qui va aider les analystes à se concentrer sur les menaces réellement importantes, notamment celles liées à des comportements suspects, des scripts malveillants...
En somme, l’intérêt de faire fonctionner un EDR et un EPP ensemble est de pouvoir bloquer proactivement les menaces connues avec l’EPP, et être en mesure d’identifier des attaques plus subtiles et les décortiquer avec l’EDR.
Et si l’EDR et l’EPP sonnent tous les deux... c’est probablement le signe d'un problème important !
EDR et EPP : les avantages pour les analystes en un cas concret
Vous l’aurez compris, le fait de combiner EDR et EPP améliore concrètement les conditions de travail des analystes cyber. Comment ?
Par exemple, une connexion suspecte visant un endpoint a pu être bloquée, et ensuite un virus déposé par un autre vecteur déclenché plus tard.
Au moment des investigations, les analystes pourront se rendre compte que c’est potentiellement le signe d'une attaque avancée qui a initialement été déjouée par le pare-feu, mais qui a ensuite pu progresser par un autre vecteur (éventuellement une autre connexion qui n’aurait pas été bloquée, car non couverte par une règle du pare-feu).
L’EPP a effectué un premier travail de filtrage automatique, et si malgré tout l'attaquant est parvenu à déposer un fichier malveillant, les analystes peuvent s’appuyer sur les données collectées par l’EDR, et les corréler pour investiguer et remédier à la menace.
Ainsi, le système d’information est protégé quelle que soit la technique adoptée par l’attaquant.
EDR et EPP : les avantages en termes de déploiement et de gestion
Nous parlions un peu plus tôt de paramétrage, et un package incluant EPP et EDR est aussi un atout pour les équipes d’administration (Build et Run) : la configuration de l'ensemble des solutions peut être réalisée en une seule fois, pour gagner du temps et assurer une cohérence optimale de la stratégie de protection.
En outre, l'agent qui fait à la fois le travail d’EPP et d’EDR est installé en une seule fois, au plus proche de la menace pour la bloquer au plus tôt.
Autre avantage : le fait de déployer un seul agent limite aussi la consommation de ressources pour un impact limité sur les performances des endpoints, et pour garantir un fonctionnement sans friction entre les différentes solutions.
Enfin, tous les événements de sécurité de tous les actifs du parc informatique sont accessibles depuis un point d’entrée unique, ce qui facilite encore le travail de monitoring, de levée de doute et d’investigation le cas échéant.
Découvrez notre offre Guard,
et tout ce qu’il faut savoir sur notre EPP