Cybersécurité : en quoi l’EDR et le NDR sont-ils
complémentaires ?

Pendant un certain temps, la question était : « pare-feu dynamique ou sans états ? » puis le débat portait sur « SIEM » ou « XDR ». Aujourd’hui, la réflexion générale tourne autour du choix entre « EDR » et « NDR ». Mais est-il vraiment nécessaire de choisir l’un plutôt que l’autre ?

Pour récapituler, il s’agit de deux types de solutions permettant de détecter les attaques et autres comportements malveillants. Bien qu’ils partagent un objectif commun, il est évident que nous avons ici deux approches très différentes, tant sur le plan conceptuel que technique. Toutes deux visent une détection précise, mais cherchent à y parvenir par des méthodes distinctes, chacune avec ses avantages et ses inconvénients.

L’EDR (Endpoint Detection & Response) repose sur un agent logiciel, nécessairement installé sur chaque système à surveiller. Initialement conçu pour pallier les limites des solutions antivirus disponibles, l’EDR s’est progressivement imposé dans les entreprises grâce à ses capacités de détection dynamique. Le NDR (Network Detection & Response), quant à lui, analyse une copie du trafic réseau surveillé. Ce qui les distingue fondamentalement, c’est la méthode de surveillance et d’analyse. L’EDR se concentre sur les endpoints (principalement les appareils clients et les serveurs, qu’ils soient physiques ou virtualisés), permettant de surveiller les processus exécutés, les modifications du système de fichiers, la gestion des droits, la persistance des processus après un redémarrage, etc., après le déploiement de l’agent.

Le NDR, de son côté, opère exclusivement au niveau du réseau via une sonde logicielle ou matérielle déployée à divers points stratégiques, permettant d’analyser tous les flux de communication. Il identifie les activités suspectes, telles que l’utilisation de Shellcode ou d’autres exploitations de vulnérabilités et/ou des mouvements latéraux, offrant ainsi une approche plus globale de la détection des menaces. En parallèle, il améliore la visibilité et renforce la connaissance de l’environnement, des éléments essentiels et précieux pour la mise en place de mesures de cybersécurité.

Comme l’a métaphoriquement expliqué Charles Blanc Rolin [1], RSSI du Centre Hospitalier de Moulins-Yzeure, choisir entre une solution NDR et EDR serait comme choisir entre l’ouïe et la vue. Notre cerveau construit constamment une représentation de la réalité en intégrant des informations provenant de divers capteurs, tels que nos sens, et dans notre quotidien, nous prenons des milliers de décisions, souvent guidées par ces données et leur contexte.

Transposée à la cybersécurité, l’approche est similaire. Les technologies de détection actuelles, aidées par l’intelligence artificielle, s’efforcent de reproduire le fonctionnement cérébral via la centralisation des informations et la mise en œuvre de solutions.

Que ce soit pour le cerveau ou pour détecter des cyberattaques, la précision des décisions dépend directement de la qualité des informations recueillies par les capteurs. Il est crucial de faire confiance à ces données, de les comprendre et de construire une vision contextuelle pour prendre des décisions pertinentes.

Le NDR répond précisément à ces défis. Fonctionnant de manière passive, il est indétectable et extrêmement résilient face aux attaques, renforçant ainsi la confiance dans les événements ou alertes générés. De plus, il fournit toutes les données nécessaires (métadonnées) pour construire le contexte essentiel à la prise de décision et à l’investigation. Bien que la détection reste primordiale, il est tout aussi crucial de ne pas négliger l’investigation et le threat hunting, car les acteurs malveillants peuvent initier leur intrusion dans une infrastructure cible en vue de revenir plus tard ou de vendre l’accès (risque d’exfiltration, de chiffrement, de rançon, etc.). Par exemple, à l’approche des Jeux Olympiques, tout comme les athlètes, les adversaires se préparent déjà, notamment en infiltrant des dispositifs vulnérables aux cyberattaques. Ils exploitent habilement le fait que les équipes de sécurité ne sont pas encore pleinement prêtes.

Sans entrer dans les concepts de Kill Chain ou du Framework MITRE ATT&CK®, les attaques avancées ou complexes se caractérisent par des phases de reconnaissance ou de mouvements latéraux. Ces phases sont naturellement identifiées par une solution NDR, basée sur l’analyse comportementale et contextuelle des flux réseau. Attendre qu’un EDR détecte un compromis avant de réagir est risqué, car cela signifie que les adversaires ont déjà contourné le périmètre de sécurité IT, y compris le pare-feu, le proxy, le WAF (Web Application Firewall), le système de détection d’intrusion (IDS), etc. De plus, il existe de nombreux cas où la détection sur un poste de travail a échoué ou a été contournée, en particulier dans le cadre d’attaques sur le trafic est-ouest. Le réseau ne ment pas, et une détection précoce permettra d’identifier ces actions malveillantes à différentes étapes de l’attaque.

Mariez l’efficacité : EDR et NDR, une alliance puissante pour une protection qui va bien au-delà de la somme de ses parties !

Voici quelques exemples de la complémentarité entre l’EDR et le NDR :

• Le NDR ajoute un contexte réseau à un incident détecté par l’EDR.
• L’EDR ajoute un contexte système à un incident détecté par le NDR.
• L’EDR et le NDR partagent les IoCs (indicateurs de compromission) découverts par l’un ou l’autre.

Gartner souligne l’efficacité de l’intégration de différents types de détection, comme le NDR et l’EDR, en introduisant le concept de XDR (eXtended Detection and Response). Avec l’élargissement de la surface d’attaque et l’évolution des tactiques employées par les cybercriminels, les entreprises investissent de plus en plus dans les plateformes XDR pour adopter une approche plus unifiée et efficace de la prévention, détection et réponse aux menaces qui ne peuvent pas être détectées uniquement par l’EDR au niveau du système d’information. La solution NDR communique en temps réel les IoCs et IoAs détectés à un SIEM, un SOAR, ou directement à l’EDR, permettant à ce dernier de bloquer, isoler et remédier au niveau du terminal.

Imaginez la cybersécurité comme une ville à protéger. L’EDR serait comme des agents de sécurité surveillant de près chaque bâtiment désigné pour toute activité suspecte. Le NDR, quant à lui, serait comme des caméras de sécurité installées à divers points stratégiques de la ville, capturant et analysant le flux global du trafic pour repérer des comportements ou des schémas inhabituels.

Compte tenu des difficultés relatives au déploiement d’un agent EDR, en particulier lorsque la connaissance de l’inventaire matériel et logiciel est partielle (BYOD, Shadow IT), et parfois même dans les cas où l’installation de cet agent est simplement impossible (systèmes d’exploitation obsolètes, IoT, équipements médicaux, contrôleurs industriels, applications métiers qui s’activent et se désactivent dynamiquement, etc.), son renforcement par une solution réseau avancée comme le NDR devient particulièrement pertinent. Même son implémentation en tant que première approche peut simplifier et accélérer les projets de déploiement d’EDR en fournissant une meilleure visibilité. Bien que l’EDR puisse stopper une attaque, il repose sur le terminal sur lequel il est installé et sur l’agent pour l’analyser. Cependant, une fois le NDR déployé, il peut détecter, analyser et réagir.

Pour revenir à l’exemple précédent, ces deux approches se complètent mutuellement : les agents EDR surveillent de près chaque bâtiment en tant que point spécifique et peuvent intervenir, mais uniquement à des emplacements désignés, tandis que les caméras NDR fournissent une vue d’ensemble du contexte, permettant de détecter des menaces qui pourraient passer inaperçues à des points individuels et de les prévenir. C’est une combinaison gagnante de surveillance et d’intervention pour assurer la sécurité globale de votre infrastructure informatique.

[1] https://cybercercle.com/detection-des-incidents-de-securite-pourquoi-faudrait-il-choisir-entre-vision-systemes-et-ecoute-reseau/