Cybersécurité XDR : aller au-delà de la détection en apportant des réponses concrètes et efficaces

Les outils XDR qui se déploient actuellement sur le marché ont le mérite de montrer à quel point la surface d'attaque s'est démultipliée et diversifiée.

L’actuel développement du concept XDR agit en bien des points comme un révélateur. Désignant un outil de collecte en capacité de corréler des données situées à plusieurs niveaux (emails, endpoints, serveurs, cloud, réseau), l’eXtended Detection and Response (XDR) souligne à quel point le territoire de la cyberdéfense d’une organisation est désormais étendu, en proie à des cyber-attaques qui peuvent venir de toutes parts. Le concept d’XDR est par ailleurs le révélateur puissant de deux conceptions différentes de la stratégie de cyberdéfense adoptée par les organisations.

D’un côté, l’idée selon laquelle il s’agit d’intercepter et de bloquer le maximum de sollicitations malveillantes ; d’un autre, une approche qui consistera à accepter l’idée qu’il est impossible de parer tous les coups et qu’une intrusion est inévitable. Alors, l’entreprise se dotera des outils qui permettront de détecter les signaux qui trahissent sa présence et permettent de mettre celui-ci à terre avant qu’il n’ait atteint son objectif. Deux tactiques, une préventive et l’autre réactive, sont donc possibles… mais laquelle des deux constitue-t-elle l’approche la mieux adaptée à la situation que nous vivons ? Et quel impact sur le choix de l’outil XDR ?

Un périmètre étendu au-delà des frontières traditionnelles

Première constatation : de nombreux outils de cybersécurité se réclament actuellement de l’XDR. Dans un grand nombre de cas, la promesse qui est faite aux organisations est de nature périmétrique et préventive. Cette illusion repose que le fait qu’il est envisageable de protéger la bordure (connue) du système d’information (SI) de toute intrusion. Il serait ainsi possible de « tout détecter préventivement ». Les acteurs qui vantent cette démarche partent du principe que le périmètre et les vulnérabilités du SI sont connus et maitrisés.

Ce n’est hélas pas le cas aujourd’hui et le sera encore moins demain pour la plupart des entreprises. La nature évolutive des systèmes, des logiciels et des process fait que de très nombreuses vulnérabilités s’ouvrent tous les jours et que courir après celle-ci est peine perdue. Ceci ne veut pas dire qu’il faut renoncer à mettre des portes et des fenêtres à sa maison. Cela veut dire qu’il convient sans doute aujourd’hui de cesser d’investir à cet endroit pour diversifier sa stratégie de cyberdéfense.

Ainsi, pour compléter cette stratégie, il faut peut-être simplement accepter que l’attaquant, en exploitant une vulnérabilité, va rentrer dans le système d’information. Cette étape est critique pour l’intrus et représente une très belle opportunité pour le défenseur.

En effet, contrairement à l’infinité de vulnérabilités dont l’attaquant dispose pour mettre un pied dans l’entreprise, son déplacement latéral est lui très codifié et décrit par certains référentiels bien documentés (le MITRE Att&ck par exemple). Ainsi le champ des possibles est limité pour lui. Laisser rentrer l’attaquant dans l’entreprise est dès lors une manière de l’obliger à se dévoiler. Pour cela, des outils XDR centrés sur la détection et utilisant l’I.A. prédictive pour révéler les comportements identifiés par les référentiels cyber constituent aujourd’hui la meilleure manière de compléter les outils périmétriques.

Un peu comme un rasoir à deux lames : la première intercepte au périmètre du SI tout ce qui est connu ; la seconde lame laisse l’attaquant se découvrir pour mieux l’intercepter, avant qu’il n’atteigne son but final…

Nous nous situons ici dans une extension du domaine de la lutte : l’organisation doit se préparer à détecter ce qui se passe en amont d’une attaque, à savoir une tentative d’intrusion. Mais jusqu’où cet élargissement ira-t-il ? C’est tout l’enjeu de la période actuelle. Car les systèmes d’information continuent de se ramifier et de se diversifier de plus en plus, offrant une surface d’attaque de plus en plus large à des cyberattaquants qui ne se privent pas de le faire…

Se focaliser sur l’intervention post-inclusion

Le résultat est là : l’année qui s’achève sera marquée – de nouveau – par une nette progression des cyber-attaques. Au premier trimestre 2023, les attaques par phishing ont augmenté de 30 à 40% selon les études, générant de plus en plus d’intrusions au cœur des systèmes d’informations des organisations, privées comme publiques d’ailleurs. Tout porte à croire que cette forte pression devrait se poursuivre en 2024, notamment lien avec la mobilisation de l’IA par les cybercriminels eux-mêmes.

Il est temps que les entreprises s’interrogent sur le bien fondé de cette approche défensive, ainsi que sur la définition même de ce qu’est une solution XDR. Celle-ci doit-elle demeurer cantonnée aux seules dimensions périmétrique et préventive, ou bien les dépasser en intégrant les interventions post-intrusion ? Il est vrai que l’idée qui consiste à accepter qu’un cyberattaquant soit entré dans la bergerie pour mieux le mettre hors d’état de nuire peut paraître contre-intuitive, voire périlleuse. La crainte est grande que celui-ci fasse des dégâts… alors qu’au contraire ces mouvements vont permettre de repérer l’attaque via l’analyse comportementale et l’IA ! En effet, c’est bel et bien en attendant que le cybercriminel se dévoile en effectuant des déplacements latéraux au sein du SI que l’on est le mieux à même de parer tout dégât, en quelques minutes, grâce au soutien des algorithmes et de la modélisation comportementale.

Sachons donc nommer correctement les leviers qui sont actuellement mis à la disposition des organisations en termes de cyberdéfense. Un outil de détection et de réponse digne de ce nom doit apporter dans le même temps des solutions effectives et efficaces. Ainsi, pour être véritablement opérant, l’XDR doit impérativement se positionner après que l’attaque initiale a été enclenchée. À défaut, ce n’est pas d’un XDR dont il convient de parler, mais bien d’un IPS (Intrusion Prevention System). Celui-ci a le mérite d’exister… mais on ne pourra pas vraiment dire qu’il apporte une réponse proactive en termes de sécurité.