Endpoint Detection and Response (EDR), Extended Detection and Response (XDR) ou Managed Detection and Response (MDR) : qu’est-ce que c’est ? Comment choisir ? Quelles sont les capacités, à et quels besoins chaque solution répond ? On fait le point.
Qu’est-ce qu’un EDR ?
Un EDR : pour quel usage ?
- Prévention des attaques sur les terminaux, réponse à incident et remédiation à distance.
- Périmètre : terminaux (postes de travail, serveurs).
Les capacités d’un EDR
- Détection et blocage des attaques.
- Analyse de l'activité sur les terminaux.
- Investigation sur les causes de l'incident.
- Déploiement possible en phase de réponse à incident.
- Remise en état des terminaux compromis.
Pour qui est fait un EDR ?
- Toute entreprise ou organisation, pour apporter cette brique essentielle de sécurité, via une équipe de supervision et de réponse à incident interne ou externe.
Qu’est-ce qu’un XDR
Un XDR : pour quel usage ?
- Prévention des attaques sur le Système d’Information, automatisation de la réponse à incident, et corrélation avec les données sur la menace.
- Périmètre : flexible selon la couverture de détection souhaitée (terminaux, réseau, applications, firewalls...).
Les capacités d’un XDR
- Collecte, ingestion et corrélation des logs.
- Contextualisation et corrélation avec la menace.
- Automatisation de la réponse au travers de playbooks et orchestration des interactions entre les briques de sécurité.
- Recherche de compromission.
Pour qui est fait un XDR ?
- Toute entreprise ou organisation qui souhaite composer l'intégralité du dispositif de supervision de sécurité son Système d’Information, incluant un EDR, via une équipe interne ou externe.
Qu’est-ce qu’un MDR ?
Un MDR : pour quel usage ?
- Service de prévention, détection et remédiation géré par un prestataire, avec priorisation des incidents, et un niveau de service pouvant aller jusqu'à du 24/7.
- Périmètre : selon les solutions de sécurité implémentées (EDR, XDR...).
Les capacités d’un MDR
- Mise en œuvre et exécution d'un plan de surveillance permettant de détecter et d'alerter en cas d'attaque.
- Déploiement de mesures de réponse à incident (isolation de terminaux, suppression de fichiers malveillants...).
Pour qui est fait un MDR ?
- Les entreprises ou les organisations qui souhaitent externaliser la gestion globale des incidents de sécurité, de la détection à la remédiation, n'ayant ni les compétences ni le budget pour se doter d'une équipe interne.
Dans tous les cas, l'humain doit rester au cœur de la stratégie cyber pour choisir les bons outils, et prendre les bonnes décisions selon les risques qui pèsent sur l'organisation !
Découvrez toutes les capacités de notre EDR :