Approche comportementale & IA : l’EDR passe à l’attaque

Publié le 21 mars 2022
Benjamin Leroux
Par Benjamin Leroux
Linkedin
Combiné avec un moteur basé sur de l'intelligence artificielle, le logiciel EDR est très réactif dans la détection et l'arrêt de menaces ©Mika Huisman
L’explosion des techniques malveillantes destabilise nos protections historiques, les outils Endpoint Detection & Response (EDR) viennent combler certaines lacunes. Ces logiciels de sécurité protégent les terminaux reliés au système d’information (SI), nous vous expliquons en quoi ils diffèrent de vos antivirus classiques.

Corréler et détecter les comportements suspects

Le recours massif au télétravail engendre un risque cyber évident. En 2020 l’ANSSI nous alertait sur les signalements de ransomwares qui dépassaient les 255 %. Une partie de ces attaques rend une partie nos antivirus classiques obsolètes car ils ne détectent que des signatures connues. Ils examinent des fichiers pour y débusquer les malwares alors qu’une partie se cache désormais dans le script ou directement en mémoire. Que pouvez-vous donc faire pour vous adapter à cette menace polymorphe en perpétuelle évolution ?
Les fortes capacités de détection des EDR procèdent à une analyse comportementale du endpoint. Ses moteurs d’analyse scannent l’activité des postes de travail, des serveurs et des mobiles ou tablettes les rendant plus puissants et efficaces pour détecter les menaces changeantes ou encore inconnues.

« Contrairement aux antivirus, les solutions EDR permettent aussi de nous guider dans la phase de résolution puisqu’elles disposent de fonctions de réaction en cas d’incident : isolation de poste, blocage, arrêt d’un processus. »

Eric Arnoult • Responsable SOC Advens

L’EDR propose des fonctionnalités avancées d’investigation, ce qui en fait un outil très apprécié des équipes SOC.

D’une détection centrée sur l’équipement à une détection centrée sur l’attaque

L’EDR agit donc en complément de l’antivirus classique avec son approche comportementale et l’utilisation d’intelligence artificielle pour détecter des menaces inconnues ou fortement évolutives comme les ransomwares. Cette technologie offre également à une meilleure visibilité sur la sécurité informatique. Il suffit d’installer l’agent sur chaque endpoint de façon automatique ou grâce à un outil de déploiement pour qu’il alimente le SOC et les analystes cyber. Vous disposez ainsi d’informations capitales sur les agissements de l’attaquant.

La rapidité de réponse et de déploiement de l’EDR renforce votre capacité de réaction afin de limiter l’impact d’une attaque en cours. De nombreuses offensives Emotet ont ainsi pu être bloquées fin 2020, avant que le virus ne déclenche un cryptolocker qui aurait pu faire encore plus de dégâts.

Combiné avec un moteur basé sur de l’intelligence artificielle, le logiciel EDR est très réactif dans la détection et l’arrêt de menaces ©Mika Huisman
1/2
• Combiné avec un moteur basé sur de l’intelligence artificielle, le logiciel EDR est très réactif dans la détection et l’arrêt de menaces ©Mika Huisman
2/2
Tags
Antivirus EDR IA