Les cyberattaques sont devenues plus courantes, plus avancées et plus coûteuses, ce qui rend nécessaire une stratégie de cyber sécurité complète. Il existe aujourd’hui un très grand nombre de types de solutions de protection ponctuelle. L’industrie de la sécurité des terminaux comprend de nombreux outils, il est donc judicieux de connaître les différences entre les solutions de protection sur le marché.
- Antivirus : L’antivirus est le programme de protection le plus connu et le plus répandu. C’est un logiciel peu coûteux en prix par poste et relativement simple à configurer et à utiliser. Un logiciel antivirus protège un système ou un appareil individuel contre diverses activités malveillantes. Détecte les menaces dont la signature est connue. Elle convient à un nombre limité d’appareils qui ont besoin d’une protection et d’un petit budget pour les protéger.
- EPP (Endpoint Protection Platform): Une plate-forme de protection EPP est une solution de sécurité intégrée conçue pour détecter et prévenir les menaces au niveau de l’appareil. EPP est un logiciel de protection des terminaux de nouvelle génération. L’objectif principal est la prévention. Cependant, bien qu’il possède de nombreuses fonctionnalités, il n’est pas infaillible. En effet, il peut détecter bien plus de malwares qu’un antivirus mais ne les bloque pas ni ne détecte certains types d’attaques ou de tentatives de corruption du système ou des données. Il reste néanmoins un produit plus pertinent qu’un antivirus pour la protection des ordinateurs et des serveurs.
- EDR (Endpoint Detection and Response) : Les plates-formes EDR sont des systèmes de cyber sécurité qui combinent des éléments d’antivirus de nouvelle génération avec des outils supplémentaires pour fournir des capacités de détection et d’alerte des anomalies en temps réel et de correction des points finaux. En effet, contrairement à AV et EPP, EDR sera capable d’identifier et de stopper les menaces avant même le début de la corruption du système grâce à une collecte de données très importante par rapport aux autres solutions de protection.
Antivirus : L’antivirus est le programme de protection le plus connu et le plus répandu. C’est un logiciel peu coûteux en prix par poste et relativement simple à configurer et à utiliser. Un logiciel antivirus protège un système ou un appareil individuel contre diverses activités malveillantes. Détecte les menaces dont la signature est connue. Elle convient à un nombre limité d’appareils qui ont besoin d’une protection et d’un petit budget pour les protéger.
EPP (Endpoint Protection Platform): Une plate-forme de protection EPP est une solution de sécurité intégrée conçue pour détecter et prévenir les menaces au niveau de l’appareil. EPP est un logiciel de protection des terminaux de nouvelle génération. L’objectif principal est la prévention. Cependant, bien qu’il possède de nombreuses fonctionnalités, il n’est pas infaillible. En effet, il peut détecter bien plus de malwares qu’un antivirus mais ne les bloque pas ni ne détecte certains types d’attaques ou de tentatives de corruption du système ou des données. Il reste néanmoins un produit plus pertinent qu’un antivirus pour la protection des ordinateurs et des serveurs.
EDR (Endpoint Detection and Response) : Les plates-formes EDR sont des systèmes de cyber sécurité qui combinent des éléments d’antivirus de nouvelle génération avec des outils supplémentaires pour fournir des capacités de détection et d’alerte des anomalies en temps réel et de correction des points finaux. En effet, contrairement à AV et EPP, EDR sera capable d’identifier et de stopper les menaces avant même le début de la corruption du système grâce à une collecte de données très importante par rapport aux autres solutions de protection.
- Le SOC (Security Operation Center) : est le centre des opérations de sécurité qui se concentre sur la surveillance des menaces et la qualification des incidents. Un centre d’opérations de sécurité extrait les données des réseaux, appareils, serveurs, etc. d’une organisation, puis demande aux analystes du SOC de déterminer les prochaines étapes de correction. Pour cela, les analystes utilisent un outil de détection, qui peut être un SIEM, une EDR, un XDR, ou toute autre solution capable de générer des alertes de sécurité.
- Le SIEM (Security Information Management System) : désigne les outils historiquement utilisés par les SOC pour surveiller les infrastructures d’entreprise et les systèmes d’information dans leur ensemble. SIEM est un outil qui rassemble des données (journaux), les normalise, les agrège, puis les corrèle pour fournir des alertes de sécurité ou construire des tableaux de bord pour la conformité, entre autres. Le but principal du SIEM est la détection, mais pas la prévention contrairement aux EDR. Il reste un outil d’analytique passif qui ne fait qu’émettre des alertes. Pour cette raison, une équipe spécialisée est nécessaire pour répondre et réagir aux problèmes détectés par SIEM.
Le SOC (Security Operation Center) : est le centre des opérations de sécurité qui se concentre sur la surveillance des menaces et la qualification des incidents. Un centre d’opérations de sécurité extrait les données des réseaux, appareils, serveurs, etc. d’une organisation, puis demande aux analystes du SOC de déterminer les prochaines étapes de correction. Pour cela, les analystes utilisent un outil de détection, qui peut être un SIEM, une EDR, un XDR, ou toute autre solution capable de générer des alertes de sécurité.
Le SIEM (Security Information Management System) : désigne les outils historiquement utilisés par les SOC pour surveiller les infrastructures d’entreprise et les systèmes d’information dans leur ensemble. SIEM est un outil qui rassemble des données (journaux), les normalise, les agrège, puis les corrèle pour fournir des alertes de sécurité ou construire des tableaux de bord pour la conformité, entre autres. Le but principal du SIEM est la détection, mais pas la prévention contrairement aux EDR. Il reste un outil d’analytique passif qui ne fait qu’émettre des alertes. Pour cette raison, une équipe spécialisée est nécessaire pour répondre et réagir aux problèmes détectés par SIEM.
- XDR (Extended Detection and Response) : est un outil de détection des menaces de sécurité et de réponse aux incidents qui ne protège pas seulement les terminaux, mais aussi les e-mails, serveurs, cloud. Tandis qu’EDR collecte et corrèle les activités sur plusieurs points de terminaison, XDR élargit la portée de la détection au-delà des points de terminaison pour fournir une détection, des analyses et une réponse sur les points de terminaison, les réseaux, les serveurs, les charges de travail cloud, le SIEM, etc.
- NDR (Network Detection and Response): Le NDR apporte une visibilité étendue aux équipes de la sécurité, à l’échelle du réseau, pour détecter le comportement d’attaquants possiblement cachés, ciblant les infrastructures physiques, virtuelles et cloud. Il apporte de la complémentarité aux outils EDR et SIEM. Le but des NDR est de travailler pour analyser les réseaux puis répondre à l’attaque.
- MDR (Managed Detection Response) : Est un service combinant EDR et analyse humaine. MDR fournit une surveillance 24h/24 et 7j/7 et des capacités de détection basées sur le renseignement en tant que service aux clients. Les MDR sont opérées par un SOC, interne ou externalisé, et permettent d’adresser de bout en bout les menaces cyber.
XDR (Extended Detection and Response) : est un outil de détection des menaces de sécurité et de réponse aux incidents qui ne protège pas seulement les terminaux, mais aussi les e-mails, serveurs, cloud. Tandis qu’EDR collecte et corrèle les activités sur plusieurs points de terminaison, XDR élargit la portée de la détection au-delà des points de terminaison pour fournir une détection, des analyses et une réponse sur les points de terminaison, les réseaux, les serveurs, les charges de travail cloud, le SIEM, etc.
NDR (Network Detection and Response): Le NDR apporte une visibilité étendue aux équipes de la sécurité, à l’échelle du réseau, pour détecter le comportement d’attaquants possiblement cachés, ciblant les infrastructures physiques, virtuelles et cloud. Il apporte de la complémentarité aux outils EDR et SIEM. Le but des NDR est de travailler pour analyser les réseaux puis répondre à l’attaque.
MDR (Managed Detection Response) : Est un service combinant EDR et analyse humaine. MDR fournit une surveillance 24h/24 et 7j/7 et des capacités de détection basées sur le renseignement en tant que service aux clients. Les MDR sont opérées par un SOC, interne ou externalisé, et permettent d’adresser de bout en bout les menaces cyber.
