phasin - stock.adobe.com

EDR : NSS Labs ne parvient à tester que quatre éditeurs

Ils sont censés fournir une visibilité accrue sur les menaces touchant le système d’information. Mais obtenir une visibilité complète sur leurs performances apparaît encore un peu difficile. Cela pourrait changer sous peu.

Les outils de détection et remédiation (EDR) sur les hôtes de l’infrastructure, serveurs comme postes de travail, tiennent-ils leurs promesses et leur efficacité est-elle à la hauteur des enjeux ? La question n’est pas anodine. NSS Labs s’est penchée sur le sujet, et les résultats sont quelque peu… limités.

De fait, le laboratoire de test n’a pu tester que quatre solutions du marché : Arc4dia Snow Self-Managed v12.18.0, CounterTack+GoSecure Endpoint Protection Platform v5.8.4, Cybereason Deep Detect v18.0, et RSA NetWitness Endpoint v4.4.0. NSS Labs indique n’avoir pas pu « mesurer l’efficacité et déterminer la pertinence des systèmes d’EDR » de Carbon Black, Cisco, CrowdStrike, FireEye, McAfee, et Symantec.

Dans ce maigre échantillon, Arc4dia fait pâle figure, avec un coup par hôte considérablement supérieur à la concurrence, et une efficacité d’à peine 40 %. Restent donc les trois autres éditeurs, tous dans la même fourchette de prix, légèrement en dessous de 250 $ par hôte. Mais si RSA ressort autour de 85 % d’efficacité, CounterTack se détache nettement à plus de 95 %. Cybereason fait toutefois mieux, avec un score de détection atteignant 98 % – après application d’un correctif qui l’a pénalisé dans la phase initiale de test.

Sur cette base, toutefois, les entreprises en quête d’outils offrant une plus grande visibilité sur les menaces affectant leur système d’information risquent de rester largement dans le brouillard.

Les tests du Mitre pourraient contribuer à éclaircir quelque peu la situation. En juillet, ce dernier a indiqué qu’il allait confronter à la réalité les produits d’EDR de Carbon Black, CounterTack, CrowdStrike, Cylance, Endgame, Microsoft, RSA et SentinelOne. Ils seront mis à l’épreuve face à une émulation du groupe APT3/Gothic Panda.

Dans une série de questions/réponses publiée dans le courant de l’été, Cylance n’apparaît toutefois plus dans la liste. Mais s’y sont ajoutés Cybereason et FireEye. Les résultats de l’exercice devaient être publiés fin octobre, mais leur publication a été reportée de quelques semaines. Elle devrait être imminente : au mois d’août, la date du 14 novembre était avancée.

Pour approfondir sur Protection du terminal et EDR