Warakorn - Fotolia
EDR : investir dès maintenant… ou attendre ?
Le marché de la détection et de la remédiation sur le point de terminaison (EDR) reste jeune. De quoi rendre le choix difficile, d’autant plus qu’il apparaît facile d’être déçu après avoir nourri des espoirs trop grands. Mais l’évolution est en marche.
Si les apports de l’EDR en matière de visibilité semblent clairement faire l’unanimité, l’opportunité d’investir apparaît moins claire. Michael Bittan, associé responsable des activités de gestion des risques cyber chez Deloitte, estime qu’il y a « beaucoup trop d’acteurs pour l’on puisse parler d’un marché mature ». Et donc, « beaucoup de petits acteurs vont se faire racheter ou disparaître ».
Chez Gartner, Avivah Litan ne le contredirait pas. Mi-janvier, elle indiquait anticiper « une consolidation considérable » dans le marché de la protection du poste de travail (EPP) : « les organisations dotées d’un budget sécurité de 10 M$ ou plus utilisent en moyenne 13 fournisseurs de sécurité (la moyenne sur toutes les entreprises est d’environ 9 fournisseurs) », mais c’est bien trop et « 90 % des entreprises sondées prévoient de réduire le nombre de leurs fournisseurs de sécurité qu’elles utilisent au cours des 12 à 18 prochains mois ».
En outre, 60 % des entreprises dotées de plateformes de protection du poste de travail et d’administration des terminaux mobiles (MDM) administrées en interne prévoient de les confier à des prestataires de services externes d’ici à deux ans. De quoi, encore, pousser à la consolidation du côté des fournisseurs de solutions.
Et pour Avivah Litan, le marché de l’EDR est en pleine évolution. Au cours des prochaines années, il devrait suivre deux grandes directions : l’EDR spécialisé, d’une part, destiné aux grands comptes et équipes des centres opérationnels de sécurité (SOC) « qui savent comment utiliser les données » remontées par ces produits, et de l’autre, un EDR « light » intégré aux suites de protection du poste de travail pour étendre leur périmètre fonctionnel.
Selon l’analyste, le premier marché L’analyse devrait profiter de plus 45 % de croissance annuelle cumulée entre 2015 et 2020. Ce qui devrait le porter à 1,5 Md$ à cet horizon. Et pour cause : aujourd’hui, il faudrait compter avec une base installée de 40 millions de postes… contre plus de 700 million de terminaux éligibles. L’an passé, Carbon Black, CrowdStrike, FireEye et Tanium se sont taillé la part du lion l’an passé, captant à eux quatre plus de la moitié du marché.
Ne pas se tromper dans ce que l’on cherche
Reste qu’en l’état présent du marché, il apparaît essentiel de bien définir son besoin et ses attentes. Ayoub Elaassal, consultant sécurité chez Wavestone, explique ainsi que « sur le terrain, bien qu’elles prétendent surpasser l’antivirus, la majorité écrasante des produits EDR succombe aux mêmes attaques permettant de contourner un antivirus classique - exécution de logiciel malveillant en mémoire (dit fileless, détournement d’outils légitimes comme Powershell, etc.) ».
De quoi décevoir… lorsque l’on attende de l’EDR qu’il remplace ses outils classiques d’EPP : les entreprises « qui souhaitent remplacer leur antivirus par une gamme de produits supérieure en termes de protection sont vites déçues ». Mais à l’inverse, « les entreprises qui souhaitent augmenter la visibilité sur leur parc de postes et de serveurs, tout en conservant l’antivirus classique, sont généralement satisfaites ».
Ayoub Elaassal observe donc lui-aussi des « antivirus qui commencent à proposer des fonctionnalités de type EDR » et des EDR qui « tentent de s’approprier les fonctionnalités annexes de l’antivirus (blocage de clés USB, listes blanches d’application, etc.) ». Dès lors, « peut-être que dans un futur proche, ces deux solutions vont finalement converger vers un seul type de produit capable d’adresser l’ensemble des besoins en termes de sécurisation du poste de travail ».
Tony Rowan, responsable du conseil en architecture chez SentinelOne, souligne en outre que le retour d’investissement dépend également de la manière dont l’EDR est intégré. En particulier, s’il s’agit de chercher dans son environnement « des milliers d’indicateurs de compromission » venant de flux de renseignements sur les menaces, « c’est une perte de temps et d’argent ». Pour lui, l’EDR doit être lié « au comportement clairement observé sur le poste au sein de l’organisation » pour véritablement s’affirmer dans sa capacité à détecter des incidents potentiels.