Catégorie outil
EDR : Endpoint Detection and Response (cybersécurité)
L'EDR (Endpoint Detection and Response) est une technologie de cybersécurité proactive qui identifie, répond et atténue les cybermenaces sur les terminaux — postes de travail, serveurs, smartphones, machines virtuelles. L'EDR surveille en continu les terminaux pour détecter les preuves de menaces et effectue des actions automatiques pour les atténuer. Contrairement aux antivirus classiques basés sur des signatures, l'EDR détecte les menaces inconnues en analysant les comportements suspects, appelés indicateurs de compromission (IoC).
Détails et fonctionnement
Le terme « endpoint threat detection and response » a été introduit en 2013 par Anton Chuvakin de Gartner, puis popularisé sous le sigle EDR. Les solutions EDR enregistrent les comportements des terminaux 24 h/24 et analysent continuellement ces données pour révéler les activités suspectes telles que les ransomwares. Elles collectent des données d'événements (processus, connexions réseau, appels système), effectuent des actions automatiques pour contenir les menaces et alertent les professionnels de la sécurité.
Un EDR se caractérise par ses capacités de détection, d'investigation et de remédiation. Il intègre souvent une analyse comportementale après une phase d'apprentissage pour reconnaître les comportements déviants, et centralise la visibilité sur l'ensemble du parc pour une réponse coordonnée. Selon Grand View Research, le marché mondial des outils EDR était évalué à moins de 3 milliards de dollars en 2022, avec une forte croissance attendue.
Lien avec NIS2
La directive NIS2 impose aux entités régulées des mesures incluant la sécurité de l'acquisition, du développement et de la maintenance des réseaux et systèmes d'information. Des mécanismes tels que l'EDR ou l'EPP doivent être déployés pour détecter et protéger contre les logiciels malveillants et les codes non autorisés. Les entités doivent aussi s'assurer que leurs prestataires disposent de systèmes de détection d'intrusion comme l'EDR, XDR ou SIEM.
Même avec un antivirus ou un EDR, il est nécessaire de disposer des ressources pour surveiller et traiter les alertes remontées ou de passer par des solutions externalisées comme le Micro-SOC. L'EDR devient ainsi un outil-socle pour satisfaire aux objectifs de sécurité de l'Article 21 §2 de NIS2, notamment en matière de détection, de réponse aux incidents et de résilience. Voir aussi /mesures/detection-incidents et /prestataires/pdis.