Dans la sphère de la cybersécurité, l’approche XDR a de plus en plus d’adeptes. Qu’est-ce que le XDR ? Quels sont ses avantages par rapport aux approches plus classiques en sécurité informatique ?
Jean-François Bérenguer, MVP et Directeur des opérations Grand Sud chez Empower et féru de sécurité informatique, partage sa vision de cette technologie.
L’approche XDR, qu’est-ce que c’est ?
Jean-François Bérenguer. L’approche XDR (eXtended Detection and Response), c’est la détection et la réponse étendues aux menaces. Avec cette approche innovante, on va obtenir une visibilité élargie pour pouvoir protéger à la fois les appareils, les identités, les applications, les e-mails, les données et les charges de travail cloud. On va s’appuyer sur une solution XDR, qui rassemble de nombreux produits de sécurité, pour accéder à toutes les informations liées à la sécurité via un seul et unique portail. En plus de la visualisation des événements, les solutions XDR proposent un système de détection et de corrélation d’événements, ainsi que des fonctionnalités de réponse manuelle ou automatique aux incidents. En résumé, l’approche XDR est une approche unifiée de la sécurité.
Quels sont les avantages de l’approche XDR ?
JFB. L’approche XDR facilite la tâche de l’équipe de sécurité opérationnelle. Comme on récupère des informations venant de divers composants de sécurité, il est plus facile d’éliminer les faux positifs, qui sont la bête noire en sécurité et en supervision. Puisqu’un événement va être toujours corrélé à d’autres, on peut savoir si l’incident est avéré ou non. Cela évite de perdre du temps pour investiguer sur des événements qui ne sont pas problématiques.
De plus, toujours grâce à la corrélation d’événements, une solution XDR va être capable de mettre en avant des scénarios d’attaques identifiés. Il faut savoir que les cyberattaques sont de plus en plus complexes. Certaines sont même cachées dans d’autres attaques. Il y a les attaques temporisées, avec plusieurs opérations effectuées s’étalant sur des semaines, par exemple, pour essayer de contourner les solutions de sécurité. Pour savoir où chercher, connaître l’étendue du désastre, arrêter l’attaque et ensuite, remédier aux problèmes, il faut connaître toute la chaîne (ou kill chain). Il n’y a que l’approche XDR qui permet de le faire, et c’est pour cela qu’elle est nécessaire.
Existe-t-il une solution XDR chez Microsoft ?
JFB. Oui, Microsoft a aussi adopté l’approche XDR, en regroupant Azure Defender, M365 Defender ainsi que le SIEM Azure Sentinel. Il faut savoir que ces produits acceptent des informations provenant d’autres environnements, donc ils détectent les menaces sur ces environnements également.
Azure Defender est la composante XDR s’occupant de toutes les briques d’infrastructure (serveurs, environnements de stockage, base de données, solutions de type IoT, etc.), qu’elles soient dans le cloud ou dans les environnements locaux. On va activer Azure Defender sur plus ou moins d’objets. Par exemple, on peut choisir de ne le faire que sur les serveurs.
Microsoft 365 (M365) regroupe Office 365, la suite EMS et Windows 10. Dans M365 Defender, on retrouve toutes les couches (Endpoint, Office 365, identités…). Avec, on protège les courriers électroniques, les documents, les identités, les applications et les points de terminaison, donc les périphériques (postes de travail, smartphones…). En fonction des licences que l’on a, on accède à plus ou moins de briques de sécurité.
Azure Sentinel, lui, collecte tous les logs depuis tous les environnements (cloud Microsoft, autres clouds, locaux…), pour faciliter l’analyse et l’application de règles basiques ou comportant de l’intelligence artificielle. En cas d’incident, Azure Sentinel donne accès à des outils d’investigation. Il comporte une partie SOAR (ou “Automated response”), qui permet de répondre à des alertes ou à des incidents en déclenchant des opérations manuellement ou automatiquement.
