XDR : les grandes manœuvres se poursuivent

Le marché de la détection et de la réponse étendues (XDR) montre une fois de plus à quel point il est naissant, avec trois de ses prétendants réaffirmant leurs ambitions respectives à quelques jours d’intervalle.

Pour mémoire, Gartner décrit le XDR comme « une évolution naturelle des plateformes de détection et de réponse sur l’hôte », l’EDR. En allant au-delà et en promettant « d’améliorer la productivité des opérations de sécurité et d’améliorer les capacités de détection et de réponse en intégrant plus de composants de sécurité, dans un ensemble unifié qui offre de multiples flux de télémétrie ». De quoi disposer « d’options pour de multiples formes de détection » tout en ouvrant la voie à de « multiples méthodes de réponse ». Surtout, il s’agit de rendre cela plus accessible aux équipes et organisations ne disposant pas des ressources nécessaires pour construire elles-mêmes ce type de plateformes.

Le cabinet a identifié plusieurs « candidats » à la fourniture de systèmes de XDR : Cisco, Fortinet, Fidelis Cybersecurity, McAfee, Microsoft, Palo Alto Networks, Rapid7, Trend Micro, FireEye, Sophos et Symantec. Mais n’oublions pas Cybereason, Cynet, SentinelOne ou encore le Français Tehtris.

Et justement, tout début février, Fortinet a dévoilé FortiXDR, revendiquant au passage le statut de « seule solution capable de traiter les incidents de sécurité de manière automatisée, de leur identification à leur remédiation ». Et d’indiquer s’appuyer sur l’intelligence artificielle. Mais en filigrane, on comprend bien que la promesse n’est pas aussi grandiloquente qu’il peut y paraître en première lecture.

Plus concrètement, Fortinet ne promet pas une automatisation totale, mais de quoi « simplifier, coordonner et accélérer la prise en charge des cyberattaques sur l’ensemble du périmètre d’une entreprise ». À moins que… parce que plus loin, l’équipementier l’assure : « FortiXDR peut ainsi automatiser intégralement les processus opérationnels de sécurité, traditionnellement pilotés par des analystes de sécurité experts, pour maîtriser les menaces plus rapidement, sur l’ensemble de la surface d’attaque ».

Quoi qu’il en soit, selon Fortinet, son « moteur IA » présente « un niveau d’expertise similaire à celui d’un analyste sécurité chevronné, pour ainsi classifier la menace et déterminer son périmètre d’impact ». Surtout, l’équipementier promet une « restauration post-incident » définie et mise en œuvre « automatiquement ».

Plus modeste, Trend Micro vient quant à lui de lancer Vision One, sa nouvelle plateforme de détection et remédiation étendue qui doit permettre « aux équipes de sécurité de bénéficier d’une visibilité optimale et de réagir plus rapidement à l’ensemble des menaces ». Au programme des nouveautés, « une nouvelle visibilité des risques, de nouvelles intégrations de technologies tierces et une réponse simplifiée aux menaces à travers l’ensemble des couches de sécurité ». Pas question, donc, ici d’automatisation tous azimuts, mais de quoi « renforcer l’expertise des équipes sécurité » et aider à en améliorer l’efficacité.

De son côté, McAfee vient d’annoncer la disponibilité de MVision XDR. Et celle-ci ne se limite pas au réseau et aux terminaux : elle intègre les déploiements cloud. De fait, l’éditeur peut ici tirer profit d’une offre initialement développée à partir du rachat de Skyhigh Networks, grâce auquel il avait pris pied, fin 2017, sur le marché des CASB. Une offre que McAfee a notamment étoffée deux ans plus tard, avec l’intégration de Nanosec pour offrir une visibilité sur les traitements déployés sur des conteneurs hébergés en mode cloud.

Enfin, SentinelOne vient d’annoncer le rachat de Scalyr, une plateforme cloud d’analyse de données qui doit lui permettre, à terme, « d’intégrer, de corréler, de rechercher et d’agir sur des données provenant de n’importe quelle source ». De quoi effectivement concrétiser la promesse d’une plateforme XDR ouverte.