Pourquoi déployer un EDR managé sur l'ensemble de ses endpoints ?

Dans un contexte de cybermenaces croissantes et sophistiquées, sécuriser les endpoints, des ordinateurs aux serveurs en passant par les mobiles, est vital pour les entreprises et la continuité de leurs activités.

La sécurité informatique n’a jamais été aussi cruciale pour les entreprises et organisations, quels que soit leur taille et secteur d’activité. Les cybermenaces évoluent, devenant plus sophistiquées et dangereuses année après année. C’est dans ce contexte que la protection des endpoints - tels que les ordinateurs, les serveurs et les appareils mobiles, devient essentielle pour prévenir les attaques et garantir la continuité des activités de l’organisation.

Ces derniers sont généralement le périmètre le plus étendu dans les entreprises. Ils sont souvent la cible ou le vecteur d’attaque, et il est important de les protéger grâce au déploiement d’une solution d’Endpoint Detection Response (EDR).

Une surveillance accrue permet d’agir en cas de compromissions de ces derniers. La sophistication et la granularité de cet outil nécessitent une expertise fine afin d'obtenir une détection optimisée.

Administration, exploitation : un besoin d’expertise

Bien que la sécurité informatique soit désormais un sujet des plus critiques au sein de toutes les entreprises et organisations, cela reste encore trop souvent un sujet annexe, pour la plupart d’entre elles, face à l’importance de maintenir sa production.

Ainsi, bien que cela soit en nette amélioration ces dernières années, les budgets des équipes SSI ne sont pas toujours très élevés par rapport à l’étendue des travaux à réaliser, et ne permettent pas, le cas échéant, aux DSI et RSSI de se faire accompagner par une large équipe dédiée et formée à tous les aspects de la sécurité. Apparaissent alors, bien souvent, des lacunes dans la gestion des outils de sécurité, que cela soit par manque de temps ou de compétences pour sa bonne configuration et son maintien en condition opérationnelle.

Pour s’en prémunir, et parce qu’un outil mal configuré ou mal maintenu perd grandement de son efficacité, beaucoup d’entreprises font appel à des services managés - notamment pour leur solution EDR.
Qu’il s’agisse simplement de sa gestion et de ses alertes, ou dans le cadre d’un raccordement global à un SOC externe, ces entreprises permettent aux équipes de la SSI de déléguer tout ou une partie des actions, à des équipes expérimentées et dédiées.

Le marché du recrutement dans la sécurité informatique est extrêmement tendu. De ce fait, l’exploitation d’un service MSSP (dit Managed Security Service Provider) est une solution de plus en plus adoptée. Le recours à un EDR managé peut également être de courte durée. Certaines entreprises n’en tirent l’utilité que pendant une période réduite : le temps d’une montée en compétences de leurs équipes, par exemple.

Une menace en constante évolution

Aussi, dans ce monde numérique en mouvement perpétuel, il est indispensable de rester alerte. Mais, face à un manque d’expertise et de temps pour réaliser une veille constante, les équipes SSI des entreprises sont parfois submergées par les nouvelles menaces - qui apparaissent jour après jour.

Comme indiqué précédemment, les attaques informatiques sont en constante évolution et les endpoints ne sont pas laissé de côté ; on ne dénombre plus le nombre de malware ou ransomware ces dernières années. Ainsi, la mise en place d’une solution EDR, au sein de son SI, est un premier pas pour les entreprises. Bien que les éditeurs de ces logiciels mettent à jour, de façon très régulière, les hashs et les moteurs de détections de leur solution, des actions de configuration ou personnalisation des EDR peuvent être nécessaires. Dans le but de détecter les toutes dernières menaces, ou celles qui sont les plus complexes.

Faire appel à un service managé permet de bénéficier d’une équipe dédiée à ce type de situation. De plus, la mutualisation de ce service entre plusieurs clients les place en première ligne de front face aux nouvelles menaces et attaques. De cette manière, ils sont parés en cas d’apparition d’une attaque similaire sur le SI d’un second client.

La nécessité d'une visibilité totale

Outre le besoin de compétences en cas d’alerte, la prise en compte totale du périmètre est très importante. En effet, quitte à se munir d’un outil, autant qu’il puisse permettre de couvrir un maximum d’actifs.

C’est dans cette logique que les entreprises déploient généralement cette solution sur les postes de travail des utilisateurs, mais également sur les serveurs - voire, de plus en plus, sur les appareils mobiles. Certains EDR commencent à proposer des agents adaptés à ce type d’endpoints.

Néanmoins, une attention particulière doit être prêtée, car l’on ne peut surveiller, et gérer, de la même manière un parc de postes de travail et un parc serveur. En effet, ces derniers sont très souvent les pièces principales des applications métiers et des données de l’entreprise. Ainsi, là où, dans une réponse à une alerte, la mise en quarantaine réseau d’un poste de travail est généralement acceptable, celle d’un serveur peut être beaucoup plus complexe ; cela pouvant avoir de graves conséquences sur les activités de l’entreprise et sa productivité.

En prenant en considération ces conditions, le déploiement d’un EDR managé sur l’ensemble de ses endpoints représente une plus-value non-négligeable. Devenu une nécessité dans le paysage actuel de la cybersécurité en constante évolution, les avantages de la visibilité totale, de la réponse rapide aux incidents, de la mutualisation des compétences et des connaissances, et de la réduction des coûts opérationnels font, du déploiement d’un EDR managé sur l’ensemble de ses endpoints, un must-have en termes de cybersécurité.