Le XDR expliqué aux dirigeants
Qu’est-ce que « XDR » signifie vraiment ?
Utilisé pour la première fois en 2018 par Nir Zuk, fondateur de Palo Alto Networks, le terme « XDR », abréviation de « eXtended Detection and Response » (ou « détection et réponse étendues » en français), désigne un concept destiné à combler les lacunes des approches cloisonnées de l’analyse de données de sécurité. Traditionnellement, cette analyse s’est en effet toujours portée sur un seul type d’appareils ou un seul domaine (terminaux, réseau, comportement des utilisateurs, etc.) à la fois, privant ainsi les entreprises d’indicateurs et de données contextuelles indispensables pour identifier un risque. C’est pourquoi le XDR intègre tous ces éléments au sein d’une plateforme centralisée, puis les analyse comme un tout afin d’interpréter toutes les données d’un même évènement. Le SOC dispose ainsi de tous les éléments pour suivre et neutraliser toute activité risquée ou malveillante dans tout l’environnement.
D’où vient ce terme ?
En se penchant sur les problématiques les plus courantes en matière de visibilité et d’identification des évènements de sécurité importants, Palo Alto Networks a constaté un écart entre d’une part l’offre de produits spécialisés et cloisonnés, et d’autre part la demande de couverture étendue que seule une plateforme unifiée peut apporter. Conçu pour combler cet écart, le XDR fait le lien entre les informations de toutes les composantes de l’infrastructure IT d’une organisation.
Il est ensuite apparu comme essentiel d’y intégrer un moteur de machine learning capable de corréler ces volumes colossaux de données brutes, l’objectif étant de ne soumettre aux analystes que les évènements importants pour ne pas les submerger d’alertes inexploitables ou non pertinentes. Le « X » de « XDR » est loin d’être anodin : il s’agit d’étendre les systèmes de détection et de réponse à toutes les opérations IT. Pour illustrer cette philosophie, Palo Alto Networks acartographié sa vision du XDR dans un plan qui va des origines du concept jusqu’à ses évolutions à venir.
Pourquoi le XDR revêt-il une telle importance en matière de cybersécurité ?
En abandonnant la ségrégation des ensembles de données sur les terminaux, les réseaux, les menaces, etc. au profit de leur agrégation sur une plateforme unique, les entreprises parviennent à une bien meilleure maîtrise de leurs opérations de sécurité et de leur environnement informatique dans son ensemble. Une vue unifiée permet de réduire le nombre de menaces réelles qui échappent à toute détection, le volume de faux positifs et de faux négatifs dus à un manque de contexte, les écarts de compétences, les agrégations manuelles et les tâches de reporting. L’analyse de tous ces ensembles de données par des systèmes de machine learning a déjà transformé la lutte contre une cybercriminalité qui se développe et se professionnalise, passant de hackers solitaires à des groupes rattachés au crime organisé et à des États, avec tout ce que cela implique en termes de sophistication des attaques.
Pourquoi le XDR fait-il tant le buzz ?
Sur le marché, de nombreux fournisseurs se sont empressés de s’approprier le terme, tentant tant bien que mal de faire passer leurs produits EDR ou NDR/NTA pour du XDR. Ils sont en effet plusieurs à avoir retravaillé leur UI/UX pour offrir une soi-disant « source d’informations unifiée », mais sans que l’application sous-jacente n’ingère correctement les données de toutes les sources. En clair, ils se contentent de présenter des silos de données sur un seul et même écran. Le marché a également accueilli de nouveaux entrants censés fournir un niveau de visibilité maximal, mais qui ne couvrent pas tous les différents types d’équipements d’une infrastructure IT, avec pour conséquence de nombreux angles morts. Toutefois, l’effet le plus pervers est sans doute le manque d’automatisation via ML, responsable d’une avalanche d’alertes que les entreprises n’ont pas les capacités de traiter comme il se doit. Sans parler des données incomplètes qui empêchent les analystes de reconstituer toute la chaîne d’évènements d’un incident.
XDR : les éléments indispensables du cahier des charges
Le XDR se concentre sur deux grands impératifs inextricablement liés : 1) l’agrégation et la corrélation de tous les flux de données dans un seul et même incident, et 2) un système capable de déterminer automatiquement le niveau de gravité d’un évènement et de faire ressortir les incidents nécessitant une investigation manuelle plus poussée. Aujourd’hui, tout programme de cybersécurité digne de ce nom doit intégrer ces deux impératifs.