phasin - stock.adobe.com
L’avancée vers la fusion entre EDR et EPP se fait en ordre dispersé
Les entreprises perçoivent de plus en plus l’intérêt de la visibilité accrue sur les postes de travail offerte par les outils d’EDR. La fusion avec les outils de protection traditionnels est donc en cours. Mais le chemin à parcourir reste parfois long.
La détection et la réponse sur les points de terminaison (EDR) est aujourd’hui devenue incontournable dans l’arsenal de protection. Il ne s’agit pas de remplacer les dispositifs de protection locaux (EPP) avec l’EDR, mais d’apporter un complément de visibilité utile à l’analyse dans les centres de sécurité opérationnelle (SOC) pour aider à la prise de mesure défensives plus rapides.
En juin 2016, Augusto Barros et Anton Chuvakin, du cabinet Gartner, expliquaient ainsi que « l’EDR se concentre sur la réponse aux incidents et sur la découverte d’activités malicieuses sophistiquées » quand l’EPP relève de « l’hygiène » de base pour protéger contre les menaces bien connues. Des éléments complémentaires, donc, et de plus en plus indispensables, l'un comme l'autre.
Cette complémentarité apparaît aujourd’hui de mieux en mieux appréhendée. Récemment, Gérôme Billois, directeur associé cybersécurité et confiance numérique de Wavestone, indiquait ainsi observer « nombre de clients [qui] partent sur des scénarios Defender + un EDR hors éditeur [d’antivirus] classique ».
Il y a trois ans, Augusto Barros et Anton Chuvakin anticipaient donc un rapprochement entre EPP et EDR : « il est naturel de s’attendre à ce que les grands éditeurs de l’EPP entrent sur le marché de l’EDR, soit par acquisitions, soit en développant leurs propres produits, ou en intégrant des capacités d’EDR au sein de leurs plateformes d’EPP existantes ».
Dans l’édition 2019 de son quadrant magique sur l’EPP, Gartner prend acte de l’évolution du marché et indique que « les capacités traditionnelles trouvées dans le marché de l’EDR sont désormais considérées comme des composants essentiels d’un EPP capable d’adresser et de répondre aux menaces modernes ». Mais voilà, tous les acteurs historiques de l’EPP ne semblent pas avoir pris le virage à la même allure.
Le cabinet reconnaît ainsi à Bitdefender un agent modulaire unique intégrant des capacités d’EDR. Mais il déplore le manque « de nombreuses caractéristiques fréquentes destinées aux utilisateurs avancés en centre opérationnel de sécurité (SOC) » – comme pour Kaspersky ou même McAfee et Microsoft, avec Defender ATP. Et de souligner que les capacités d’EDR de Bitdefender ne sont disponibles qu’avec l’offre cloud de l’éditeur.
Gartner ne peut également s’empêcher de souligner des faiblesses du côté de Blackberry Cylance, dont le module d’EDR, CylanceOptics, s’appuie sur un agent distinct – pour l’heure, en tout cas, car l’intégration dans un agent unique serait imminente. Cylance prépare également l’ajout de capacités de surveillance des vulnérabilités et des configurations. Mais le cabinet déplore que CylanceOptics stocke pour l’heure ses données de télémétrie en local sur les machines surveillées, comme du côté de FireEye ou de Sophos. En 2018, c’est un point contre lequel Anton Chuvakin s’élevait ouvertement. Et pourtant, cette année encore, Gartner déplore que Check Point continue de stocker les données brutes sur les postes, ne déportant que le stockage des données liées à des incidents, ainsi que les rapports d’investigation.
Du côté d’Eset, le cabinet reproche l’absence – temporaire – de support de macOS pour les capacités d’EDR, mais également des « options de remédiation limitées », ou encore la nécessité de passer d’une console à l’autre pour engager certaines actions. Mais les données de télémétrie sont déportées.
Du côté de chez Fortinet, pour obtenir un éventail fonctionnel d’EDR complet, il n’est pas possible de se contenter de FortiClient : selon Gartner, il est nécessaire de le combiner à FortiAnalyzer, FortiInsight, et FortiSIEM.
A écouter Gartner, le volet EDR de F-Secure manque de maturité, avec des capacités de chasse aux menaces et d’exécution de requêtes encore en bêta au moment de la préparation du quadrant magique, et accessibles uniquement à partir d’une console dédiée.
Pour Malwarebytes, c’est encore moins glorieux : l’outil « ne conserve pas de données d’historique ni ne permet des requêtes de chasse ou la recherche de processus précis, l’automatisation d’alertes, ni la personnalisation de règles pour le blocage d’événements ».
Palo Alto Networks, qui a lancé Cortex XDR cette année, n’échappe pas non plus aux critiques des analystes. Le cabinet reproche l’absence de certaines capacités de contrôle à Traps, son offre d’EPP, mais également les capacités « limitées de workflow » pour l’EDR, et l’impossibilité de créer des règles de blocage personnalisées, voire l’absence d’informations sur les configurations et les vulnérabilités. On retrouve des critiques comparables à l’encontre de Symantec, même si les efforts d’intégration consentis par l’éditeur sont soulignés. Et cela vaut également pour Trend Micro qui, au passage, se fait épingler pour des fonctionnalités d’investigation « compliquées pour une solution visant le midmarket ».
Panda Security n’est pas non plus épargné, même si le cabinet semble apprécier l’éventuel fonctionnel offert par le package Adaptive Defense 360. SentinelOne, enfin, semble avoir plutôt convaincu les analystes, même s’ils déplorent des limitations dans les capacités de gestion de workflows pour de grandes équipes, ou encore l’absence de sandboxing pour l’analyse de contenus suspects.
Pour Gartner, Crowdstrike peut s’avérer très attractif pour ceux qui recherchent une solution d’EPP mettant l’accent sur l’EDR… et s’appuyant sur le cloud. Le cabinet n’oublie pas Cybereason ou encore Endgame – tout juste racheté par Elastic – et enSilo, mais ils ne présentent pas une présence suffisante sur le marché pour être inclus dans son quadrant magique.
En somme, pour l’heure, les efforts des spécialistes de l’EPP pour développer des capacités d’EDR ne semblent pas pleinement convaincants. Et cela vaut aussi pour ceux, venus du second, qui voudraient s’aventurer dans le premier. De quoi conforter, peut-être, un Tanium, qui, conscient de la complémentarité, apparaît essentiellement miser sur les partenariats. Tant que Microsoft, en particulier, lui en laisse la place. Car loin de rester les bras croisés, l’éditeur de Redmond vient par exemple tout juste d’annoncer le support de Windows Server 2008 R2 pour les fonctions d’EDR de Defender ATP.