{"id":19541,"date":"2022-10-06T15:40:12","date_gmt":"2022-10-06T13:40:12","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=19541"},"modified":"2022-10-06T15:40:12","modified_gmt":"2022-10-06T13:40:12","slug":"introducing-kedr-optimum","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/introducing-kedr-optimum\/19541\/","title":{"rendered":"Pr\u00e9sentation de Kaspersky EDR Optimum"},"content":{"rendered":"

Les noms choisis pour les produits et les services, en plus de leurs diff\u00e9rentes fonctions et caract\u00e9ristiques, est une t\u00e2che assez difficile dans le domaine de la s\u00e9curit\u00e9 de l\u2019information. Pourquoi\u00a0? La complexit\u00e9\u2026<\/p>\n

La cybers\u00e9curit\u00e9 n\u2019est pas un objet unidimensionnel, contrairement \u00e0 un bateau par exemple. On trouve des bateaux de diff\u00e9rentes tailles mais, en dehors de \u00e7a, un bateau reste un bateau. Ce n\u2019est pas le cas en s\u00e9curit\u00e9 de l\u2019information. Comment tout un syst\u00e8me moderne de cybers\u00e9curit\u00e9 peut avoir un nom simple, accrocheur (si possible) et facile \u00e0 comprendre\u00a0? Comment faire la diff\u00e9rence entre un syst\u00e8me de s\u00e9curit\u00e9 et un autre\u00a0? Il est souvent difficile d\u2019expliquer ces diff\u00e9rences dans un long paragraphe, alors comment le faire lorsqu\u2019il s\u2019agit du nom d\u2019un produit ou d\u2019un service\u00a0? Comme je l\u2019ai dit, c\u2019est assez difficile.<\/p>\n

C\u2019est peut-\u00eatre pour cette raison que les solutions de Kaspersky sont souvent associ\u00e9es \u00e0 l\u2019id\u00e9e d\u2019\u00a0\u00a0\u00bb\u00a0antivirus\u00a0\u00ab\u00a0. Pourtant, la d\u00e9tection et la neutralisation des programmes malveillants \u00e0 partir d\u2019une base de donn\u00e9es d\u2019antivirus n\u2019est actuellement qu\u2019une de nos diverses technologies de s\u00e9curit\u00e9. En un quart de si\u00e8cle nous en avons ajout\u00e9es plein d\u2019autres. De nos jours, le mot antivirus est une m\u00e9taphore\u00a0: il est connu, compris et pratique (m\u00eame s\u2019il n\u2019est pas vraiment exact ou actuel).<\/p>\n

Que sommes-nous cens\u00e9s faire si nous devons parler d\u2019une protection complexe et multifonctionnelle con\u00e7ue pour l\u2019infrastructure informatique d\u2019une entreprise\u00a0? C\u2019est \u00e0 ce moment-l\u00e0 que divers mots \u00e9tranges apparaissent. Il y a ensuite toutes les abr\u00e9viations qui en d\u00e9coulent, dont les id\u00e9es originales doivent \u00eatre simplifi\u00e9es (\u00e0 partir de ces mots bizarres) alors qu\u2019elles am\u00e8nent parfois plus de confusion\u00a0! Le nombre de termes et de sigles augmente chaque ann\u00e9e, et il est de plus en plus\u2026 difficile de tous les m\u00e9moriser. Je vais essayer de d\u00e9cortiquer tout ce charabia<\/span> tous ces noms, termes, descriptions et abr\u00e9viations complexes mais n\u00e9cessaires. Mon objectif est le m\u00eame que celui des abr\u00e9viations\u00a0: clarifier les choses.<\/p>\n

Nous passons de EPP \u00e0 XDR<\/h2>\n

Revenons-en \u00e0 notre bateau\u00a0; enfin, antivirus.<\/p>\n

De nos jours, Endpoint Protection ou Endpoint Security est le nom le plus pr\u00e9cis pour d\u00e9signer cette cat\u00e9gorie de produits. Apr\u00e8s tout, comme je l\u2019ai dit auparavant, les terminaux ne sont pas seulement prot\u00e9g\u00e9s par un antivirus mais par tout en ensemble de mesures de s\u00e9curit\u00e9. Ces diverses technologies pour terminaux utilisent parfois un autre nom qui inclut le mot \u00a0\u00bb\u00a0plateforme\u00a0\u00ab\u00a0. Ce choix semble plus pertinent et plus pr\u00e9cis en termes de description, mais surtout plus tendance puisque cette solution s\u2019abr\u00e8ge de cette fa\u00e7on\u00a0: EPP<\/a> (Endpoint Protection Platform, ou Plateforme de protection des terminaux).<\/p>\n

La plateforme de protection des terminaux est, par nature, un concept qui remonte aux ann\u00e9es 90. Elle est encore n\u00e9cessaire mais d\u2019autres m\u00e9thodes doivent \u00eatre adopt\u00e9es pour prot\u00e9ger efficacement les infrastructures distribu\u00e9es. Les donn\u00e9es doivent \u00eatre recueillies et analys\u00e9es \u00e0 partir de tout le r\u00e9seau afin de d\u00e9tecter les incidents singuliers mais aussi toutes les cha\u00eenes d\u2019attaque qui ne se limitent pas \u00e0 un seul terminal. Tout le r\u00e9seau doit r\u00e9agir aux menaces, pas seulement un ordinateur.<\/p>\n

Dix ans plus tard, au d\u00e9but des ann\u00e9es 2000, une nouvelle classe de produits connue comme SIEM<\/a> (Security Information and Event management, ou Syst\u00e8mes de gestion des \u00e9v\u00e9nements et des informations de s\u00e9curit\u00e9) fait son apparition. Il s\u2019agit d\u2019un outil qui recueille et analyse toute la t\u00e9l\u00e9m\u00e9trie relative \u00e0 la s\u00e9curit\u00e9 de l\u2019information des diff\u00e9rents appareils et applications. Elle ne sert pas que dans l\u2019actualit\u00e9\u00a0: un bon SIEM peut effectuer une analyse r\u00e9trospective, en comparant les \u00e9v\u00e9nements pass\u00e9s et en r\u00e9v\u00e9lant les attaques qui durent pendant des mois voire des ann\u00e9es.<\/p>\n

\u00c0 ce moment-l\u00e0, donc au d\u00e9but des ann\u00e9es 2000 pour ceux qui ne suivent pas, nous travaillons d\u00e9j\u00e0 avec tout le r\u00e9seau. Mais il n\u2019y a pas de \u00a0\u00bb\u00a0P\u00a0\u00a0\u00bb pour \u00a0\u00bb\u00a0Protection\u00a0\u00a0\u00bb dans SIEM. Ainsi, c\u2019est l\u2019EPP (la plateforme de protection des terminaux\u00a0; celui au fond de la classe, en retenue\u00a0!) qui s\u2019occupe de la protection. Pourtant, l\u2019EPP ne voit pas les \u00e9v\u00e9nements r\u00e9seau. Par exemple, cette solution peut facilement passer \u00e0 c\u00f4t\u00e9 d\u2019une APT<\/a> (menace persistante avanc\u00e9e).<\/p>\n

Ainsi, d\u00e9but 2010, une nouvelle abr\u00e9viation a compl\u00e9t\u00e9 ce vide et pouvait assurer ces deux fonctionnalit\u00e9s de s\u00e9curit\u00e9\u00a0: EDR<\/a> (Endpoint Detection and Response). D\u2019une part, cette solution offre une surveillance centralis\u00e9e de toute l\u2019infrastructure informatique et permet, par exemple, de compiler toutes les traces d\u2019attaques de tous les h\u00f4tes. D\u2019autre part, le produit de type EDR utilise les m\u00e9thodes de d\u00e9tection de l\u2019EPP mais aussi des technologies plus avanc\u00e9es\u00a0: une analyse de corr\u00e9lation<\/a> des \u00e9v\u00e9nements, l\u2019identification d\u2019anomalies \u00e0 partir de l\u2019apprentissage automatique<\/a>, l\u2019analyse dynamique des objets suspects dans la sandbox<\/a>, ainsi que des outils de chasse des menaces<\/a> afin d\u2019aider dans la recherche et dans la r\u00e9ponse<\/a>.<\/p>\n

Chez Kaspersky, lorsque nous cr\u00e9ons notre propre solution EDR, nous devons lui apporter notre touche personnelle et c\u2019est ce qui donne naissance \u00e0 KEDR<\/a>.<\/p>\n

Jusqu\u2019ici, tout va bien<\/span> tr\u00e8s bien. Mais\u2026 la perfection n\u2019existe pas\u00a0!<\/p>\n

Nous voil\u00e0 un peu plus tard, d\u00e9but 2020, avec un nouveau sigle qui devient tr\u00e8s rapidement le nouveau terme \u00e0 la mode en cybers\u00e9curit\u00e9\u00a0: XDR<\/a> (eXtended Detection and Response<\/a>, ou d\u00e9tection et r\u00e9ponse \u00e9tendues). En r\u00e9sum\u00e9, c\u2019est l\u2019EDR avec des st\u00e9ro\u00efdes. Ce syst\u00e8me analyse les donn\u00e9es des terminaux (postes de travail) mais aussi d\u2019autres sources, comme la passerelle de messagerie \u00e9lectronique et les ressources du Cloud. Ce comportement est parfaitement logique puisque les attaques qui touchent les infrastructures viennent de partout.<\/p>\n

La solution XDR peut aussi \u00eatre enrichie en termes d\u2019expertise en obtenant plus de donn\u00e9es des\u00a0:<\/p>\n