L’un des marchés les plus dynamiques du monde cyber concerne le déploiement des solutions EDR et des XDR (eXtended Detection and Response). Les éditeurs englobent davantage de données hétérogènes pour mieux détecter, analyser puis remédier aux attaques.
Selon une grande étude internationale comparant les politiques de sécurité des entreprises réalisée par Thoughtlab pour Elastic, 27 % des entreprises françaises ont alloué un budget IT additionnel dédié à la cybersécurité Cloud en 2022 et 11 % des plus avancées annoncent vouloir investir dans le XDR ces deux prochaines années. La protection EDR centrée sur le poste client s’élargit peu à peu à toute l’infrastructure IT. Illustration de ce mouvement de fond, l’éditeur d’EDR CyberReason dont Google est récemment monté au capital à hauteur de 50 millions de dollars : « Au travers de cet accord, notre socle technologique bénéficie des services d’intégration de Google. Ce dont nous étions capables sur l’EDR va maintenant au-delà de l’end point. Nous intégrons notamment des services d’identités comme Azure AD, Okta, le Cloud avec toutes les plateformes IaaS GCP, AWS et Azure. » Ainsi, lorsqu’un comportement malicieux est détecté sur un poste de travail, l’analyse de sécurité va analyser le déroulement de l’incident, identifier sa source mais aussi ses incidences au-delà du endpoint, le tout sur un seul et même outil.
Les éditeurs français contre-attaquent
Si tous les grands éditeurs mondiaux de cybersécurité veulent se partager ce juteux marché de l’XDR, les éditeurs français montent en puissance. On trouve d’une part l’écosystème Open XDR Platform dans lequel on retrouve HarfangLab, Sekoia.io, Pradeo, Vade, Glimps et Gatewatcher. Les offres de ces éditeurs, complémentaires à l’EDR d’Harfanglab doivent permettre aux entreprises en quête de souveraineté de disposer d’un écosystème de solutions conçu en France et interopérables entre-elles.
Tehtris, le rival français d’Harfanglab, a lui aussi annoncé un tel écosystème en 2021, réunissant autour de sa solution des éditeurs tels que Dust Mobile, theGreenBow, ProofPoint, Cyberlangel, Cyber-detect, entre autres. Raphaël Valet, Cybersecurity Sales chez Tehtris, détaille la stratégie de l’éditeur : « Notre objectif est de couvrir un maximum de besoins avec une priorité donnée à la protection endpoint avec d’une part l’EDR, l’EPP et le MTD. Nous avons une approche unifiée de protection des endpoints mais nous proposons aussi la sécurisation d’autres briques, notamment le réseau et le Cloud. L’objectif est de remonter un maximum d’informations sur une console unique et avoir sur la console XDR une vue à 360° qui permet de visualiser toutes les menaces qui peuvent survenir sur le SI dans sa globalité. » L’éditeur estime avoir une longueur d’avance sur ses concurrents sur le plan de la détection des menaces et surtout sur leur neutralisation automatique en temps réel. « C’est en production chez nos clients depuis 2015 alors que nos concurrents annoncent ce type d’approche depuis 1 an seulement » explique Ingrid Söllner, Chief Marketing Officer – ExCo Member chez Tehtris. L’éditeur travaille actuellement sur le projet SOC in the Box. « La machine génère elle-même les tickets d’alerte à destination des analystes. »
L’irrésistible montée du modèle managé dans les XDR
Chaque éditeur a sa propre vision de l’XDR et plusieurs approches sont possibles. Pour SentinelOne, l’idée est d’apporter une détection automatisée sur l’ensemble d’un parc de solutions de sécurité et plus uniquement sur l’EDR. « Certains éditeurs ont des portefeuilles produits déjà très complets, avec de la sécurité réseau, de la sécurité email, du CASB, de l’EDR, etc. » explique Blandine Delaporte, Sales Engineer Director, South EMEA de SentinelOne. « Ces éditeurs assemblent ces solutions et affirment faire de l’XDR. Ce n‘est pas notre approche. Nous proposons des intégrations en un clic via notre marketplace Singularity. » Si on veut une intégration, il est toujours possible de la développer grâce à l’approche Open API de l’éditeur. SentinelOne propose son XDR sous forme de service managé en direct ou via ses partenaires MSSP, selon le choix du client.
Un acteur comme Kudelski Security mise pour sa part à 100 % sur son offre managée MDR ONE. Celle-ci met en œuvre la plateforme FusionDetect, la solution XDR de l’éditeur. « Le portail clients permet au RSSI de voir ce qui est couvert en matière de détection et réponse, mais aussi ce qui ne l’est pas. Notre Use Case Manager permet au RSSI d’identifier où il est pertinent d’investir pour sécuriser au mieux une infrastructure » argumente Olivier Spielmann, VP des offres de Détection et Réponse Managées chez Kudelski Security. Avec la nouvelle version MDR One de son offre, Kudelski Security propose une offre totalement “as a Service”, un autre moyen d’élargir le marché.
Détecter les attaques actuelles
« La position de Kudelski Security a toujours été de chercher à détecter les attaques actuelles et non pas les attaques passées. Notre cellule de recherche suit les attaques en cours afin de toujours avoir les mesures de détection et de réponse », précise O. Spielmann.
