nobeastsofierce - stock.adobe.com

Fusion inévitable en vue entre l’EPP et l’EDR

La visibilité sur le poste de travail est devenue essentielle à la lutte contre les menaces. Mais pour beaucoup, pas question de multiplier les agents locaux. Les éditeurs l’ont compris et la fusion de la protection du poste de travail (EPP) avec la remédiation sur le poste de travail (EDR) est en marche.

A l’automne dernier, Bitdefender a présenté GravityZone XDR, sa solution de détection et de remédiation des menaces. Il faisait suite à Kaspersky qui venait de présenter une solution comparable. Entre les deux, Cylance avait annoncé la version 2.1 de CylanceOptics, sa solution maison d’EDR. Que ces acteurs de la protection du poste de travail (EPP, ou Endpoint Protection) s’invitent ainsi résolument sur le marché de la détection et de la remédiation sur le poste de travail (EDR) ne relève en rien du hasard.

De fait, ce domaine est aujourd’hui devenu incontournable dans l’arsenal de protection. Il ne s’agit pas de remplacer les dispositifs de protection locaux avec l’EDR, mais d’apporter un complément de visibilité utilise à l’analyse dans les centres de sécurité opérationnelle (SOC) pour aider à la prise de mesure défensives plus rapides.

En juin 2016, Augusto Barros et Anton Chuvakin, du cabinet Gartner, expliquaient que « l’EDR se concentre sur la réponse aux incidents et sur la découverte d’activités malicieuses sophistiquées » quand l’EPP relève de « l’hygiène » de base pour protéger contre les menaces bien connues. Des éléments complémentaires, donc, mais de plus en plus aussi indispensables l’un que l’autre.

Pour les deux analystes, l’EDR « permet à une organisation d’atteindre une visibilité complète sur ses points de terminaisons, d’améliorer ses capacités de détection des activités malicieuses, et de simplifier la réponse aux incidents ». Il complète ainsi une panoplie où figurent aussi les équipements de sécurité réseau ou encore les systèmes de gestion des informations et des événements de sécurité (SIEM).

Un marché en pleine évolution

Une forme de convergence entre EDR et EPP apparaît, à terme, relativement inévitable. Augusto Berros et Anton Chuvakin soulignent que « la résistance naturelle des organisations à installer de nouveaux agents sur leurs points de terminaison a contribué à faire pression sur les éditeurs d’EDR pour intégrer des capacités additionnelles ».

Pour les analystes, « il est naturel de s’attendre à ce que les grands éditeurs de l’EPP entrent sur le marché de l’EDR, soit par acquisitions, soit en développant leurs propres produits, ou en intégrant des capacités d’EDR au sein de leurs plateformes d’EPP existantes ».

Intel Security, Symantec et Trend Micro ont déjà commencé à avancer dans cette direction.

Il faudra aussi compter avec Microsoft. Comme le soulignent les analystes de Gartner, l’éditeur a déjà mis un pied dans l’EDR avec son service Windows Defender Advanced Threat Protection. Dévoilé en début d’année, il affiche l’ambition d’aider « les entreprises à détecter, enquêter et répondre aux attaques avancées sur leurs réseaux », en s’appuyant sur les informations remontées par les postes de travail Windows 10 à un moteur analytique en mode Cloud. Le tout combiné à des sources de renseignement sur les menaces et au graph de sécurité interne à l’éditeur.

Répondre un besoin

En septembre dernier, Avivah Litan soulignait  « de nombreuses organisations veulent acheter des logiciels de sécurité du poste de travail qui combinent protection, détection et réponse dans un unique package ». En fait, c’est le cas de 69 % des clients du cabinet. Seuls 2 % préfèrent un produit d’EDR isolé ; et 19 % une solution d’EPP seule.

Selon l’analyste, il faut s’attendre à ce que, à l’horizon 2019, l’achat combiné d’EDR et d’EPP représente près de 70 % des contrats, contre 45 % l’an passé. Et au moins trois éditeurs capables d’avancer une telle proposition y ajouteront l’analyse comportementale pour apporter contexte et connaissance de l’utilisateur.

Mais Gartner prévient les éditeurs : pas question de jouer la fermeture ; il faut prévoir des API pour s’interfacer avec des systèmes d’orchestration comme ServiceNow, IBM Resilient, Phantom Cyber, Demisto ou encore Siemplify.

Au final, selon Gartner, d’ici à 2021, les solutions d’EDR isolées s’adresseront surtout aux prestataires de services de sécurité managés et aux grandes organisations disposant de vastes environnements SOC.

Le fait est que la plupart des éditeurs ont fait le pari de l’intégration. L’édition 2018 du Magic Quadrant de l’EPP suffit à s’en convaincre : de nombreux acteurs qui y figurent cette année viennent de l’EDR… et les spécialistes de l’EPP ont ajouté l’EDR à leur offre.

C’est le cas de trois leaders identifiés par Gartner : Sophos – dont l’offre profite au passage du rachat d’Invincea l’an passé –, Symantec et Trend Micro, même si ce dernier utilise un agent distinct pour sa pile d’EDR et que celle-ci ne supporte pas macOS.

Pour approfondir sur Protection du terminal et EDR