Par Jérôme BEAUFILS – CEO de SASETY
Dans un monde toujours plus connecté et à l’équilibre géopolitique fragilisé, la cybermenace est omniprésente et chaque jour plus sophistiquée.
Les cyberattaquants, usant de tactiques de plus en plus élaborées, exploitent les failles des systèmes numériques pour lancer des offensives allant de la cybercriminalité opportuniste à des campagnes orchestrées par des entités étatiques ou des réseaux organisés.
L’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) souligne dans son récent rapport l’émergence de techniques d’attaque toujours plus furtives, rendant leur détection d’autant plus ardue pour les dispositifs de défense traditionnels.
Les conséquences d’une brèche de sécurité peuvent être catastrophiques, entraînant pertes financières, atteinte à la réputation et, dans les cas les plus graves, menaces contre la sécurité nationale.
Les équipes en charge de la sécurité, souvent limitées en ressources, peinent à coordonner l’usage de divers outils de défense qui, généralement, ne communiquent pas entre eux.
Cette situation peut mener à l’ignorance d’alertes cruciales et à des retards dans l’application des correctifs et des mesures de remédiation.
XDR – Unifier pour Mieux Protéger
Le modèle XDR (Extended Detection and Response) se présente comme une solution à ce défi, en centralisant les données de sécurité au sein d’une même plateforme pour une meilleure détection des incidents.
Ce modèle va au-delà des solutions traditionnelles en intégrant également l’analyse des menaces sur les réseaux, les clouds, et les applications, en plus des postes de travail et des serveurs.
L’efficacité du XDR repose sur une interprétation de qualité des données issues des capteurs, permettant une corrélation fine des événements et une détection pertinente des menaces.
En s’appuyant sur l’intelligence artificielle et le machine learning, le XDR permet une identification rapide des menaces, facilitant leur analyse par les équipes de sécurité pour une réaction efficace.
La qualité de ces données est variable, allant de celles issues directement de l’éditeur, ne nécessitant aucune intégration, à celles moins fiables provenant d’autres sources.
Lorsque les données sont de qualité inférieure, les performances des systèmes de corrélation et de détection diminuent.
Dans cette situation, le XDR ne parvient pas à détecter toutes les menaces existantes et produit un nombre élevé de faux positifs.
Cette situation affecte directement le volume de travail et l’efficacité des enquêtes menées par les équipes de sécurité.
De plus, lorsque la résolution des problèmes implique l’intervention sur des systèmes provenant de fournisseurs différents, le temps et la complexité nécessaires s’accroissent considérablement.
SASE + XDR : Une Complémentarité évidente
Le dernier rapport Gartner sur les tendances de la Cybersécurité indique que 75% des entreprises cherchent à consolider leurs outils de défense et de détection, dans un souci de réduction des coûts et de simplification.
Le modèle SASE (Secure Access Service Edge), par sa fusion des services de réseau et de sécurité au sein d’une même plateforme, répond parfaitement à cette volonté, en offrant une visibilité globale et une gestion unifiée des politiques de sécurité.
En consolidant les opérations de réseau et de sécurité, le SASE offre une visibilité de bout en bout et une politique de sécurité cohérente pour tous les utilisateurs et dispositifs, quel que soit leur emplacement.
De fait, la convergence des technologies XDR et SASE est naturelle.
En effet, comme nous l’avons vu, l’efficacité du XDR peut être réduite par la qualité des données qu’il traite et par la nécessité d’intégrer divers flux d’informations de sécurité.
En exploitant cette visibilité étendue et en l’appliquant à la détection et à la réponse aux menaces, le SASE améliore de manière significative la qualité des données disponibles pour le XDR.
La complémentarité du XDR et du SASE réside donc dans la capacité du SASE à offrir des données de meilleure qualité et plus cohérentes, ce qui enrichit les capacités de détection des menaces du XDR.
Lorsque les données de haute qualité sont introduites dans des algorithmes avancés d’IA/ML, le XDR peut remonter des menaces de sécurité plus précises et pertinentes.
Par conséquent, les analystes de sécurité sont mieux armés pour agir rapidement et avec précision, améliorant ainsi la réponse aux incidents et réduisant le temps de réaction face aux menaces.
L’efficacité accrue du XDR, grâce à la richesse des données fournies par le SASE, ne se limite pas à la détection des menaces ; elle s’étend également à l’investigation et à la réponse aux incidents.
Au travers d’une interface de management SASE unifiée, les analystes peuvent naviguer de manière transparente à travers les événements et les données, ce qui simplifie les enquêtes et accélère les verdicts.
Les procédures de remédiation sont également optimisées, car les équipes peuvent déployer des réponses à travers cette interface unifiée, réduisant la complexité opérationnelle et les délais de résolution.
Illustration avec le XDR de CATO Networks
Début 2024, CATO Networks précurseur du SASE a intégré la fonctionnalité XDR Pro à sa solution.
Le XDR Pro de CATO délivre une analyse approfondie des signaux collectés au sein de l’environnement de l’organisation mais également des milliards de signaux qui transitent au sein de ses infrastructures.
Contrairement aux solutions qui se concentrent exclusivement sur les données en provenance des terminaux et des serveurs, XDR Pro tire parti des données natives de sa plateforme SASE.
Cette couverture offre une vue plus complète des menaces potentielles en capturant des signaux à travers un spectre plus large d’activités réseau.
La plateforme SASE de CATO intègre de façon native une gamme complète de capteurs pour différents moteurs de sécurité, incluant NGFW, SWG, ATP, protection DNS, ZTNA, CASB, DLP, RBI, et EPP, rendant superflue toute intégration tierce et facilitant un déploiement immédiat.
Travailler avec des données qui n’ont pas été réduites par la normalisation augmente l’efficacité de la détection et diminue les faux positifs.
La qualité et la richesse des données se reflètent dans les incidents, qui contiennent toutes les informations utiles pour une investigation approfondie et efficace.
Cela conduit à un temps d’investigation plus court et surtout une réponse rapide peut être apportée au travers d’une solution unique de management.
XDR Pro se distingue par sa capacité à détecter les menaces de manière étendue, grâce à des algorithmes d’IA/ML avancés traitant un large spectre de données de sécurité.
Les menaces identifiées sont priorisées et organisées pour faciliter l’investigation et minimiser le temps d’analyse.
La console de gestion unifiée de CATO permet aux équipes de sécurité d’effectuer une remédiation rapide et efficace, sans dépendre d’intégrations externes.
XDR Pro catégorise les menaces en trois groupes principaux pour optimiser la gestion des alertes par les équipes de sécurité : prévention, chasse aux menaces, et anomalies, couvrant ainsi des scénarios variés, des attaques bloquées aux comportements suspects pouvant indiquer des actions malveillantes.
La console de gestion unifiée facilite une réponse rapide aux incidents, permettant l’isolation d’un composant compromis ou le blocage de sources malveillantes à travers le réseau en moins d’une minute, grâce à la mise en place de règles de filtrage.
De plus, la recherche d’indicateurs de compromission (IoC) est rapide et intégrée, offrant aux équipes de sécurité une vue complète et détaillée des événements.
Ainsi le XDR Pro de CATO s’inscrit dans une tendance plus large de consolidation et d’optimisation des processus de cybersécurité. En capitalisant sur la convergence des outils de sécurité et de réseau au sein d’une plateforme SASE, cette solution vise à fournir une analyse de sécurité plus cohérente et une gestion des menaces plus agile.
Conclusion
En conclusion, l’alliance du XDR et du SASE crée un écosystème de sécurité intégré et intelligent, qui non seulement rationalise la gestion de la sécurité et du réseau mais renforce également la capacité des organisations à anticiper, détecter et réagir aux menaces de plus en plus sophistiquées. Adopter cette synergie n’est pas seulement une question d’efficacité opérationnelle, c’est une transformation fondamentale qui place la sécurité au cœur de la stratégie numérique, permettant une adaptation proactive face aux évolutions des cybermenaces et une protection accrue des actifs numériques.
