Très à la mode, le terme de XDR est de plus en plus utilisé, mais, hélas, pas toujours de façon très digeste ni très juste ! C’est la rançon de la gloire… Mais pour qui souhaite s’y lancer, il peut être difficile de s’orienter sereinement. Explications et conseils.
Le « cycle de la mode » de Gartner (« hype cycle ») n’est plus à présenter : il s’agit de classer les différentes tendances sur une courbe reflétant la perception qu’en a le marché à un moment donné : depuis les pionniers qui la portent initialement de manière quasi confidentielle jusqu’à un usage large et raisonné (le « plateau de maturité »), en passant évidemment par le fameux « pic des attentes irréalistes » et son double maléfique le « gouffre des désillusions ». Une période durant laquelle la technologie est parée de mille vertus, qu’elle n’a peut-être pas tout à fait, ou en tout cas qui masquent un temps ses limitations, bien réelles.
Cette année, c’est au tour du XDR d’atteindre ce pic. Et on le voit bien : on le retrouve partout, présenté selon les commentateurs tour à tour comme un produit miracle ou une technologie révolutionnaire, voire un service, une architecture, une méthodologie, une philosophie…
Il y a là largement de quoi perdre en confusion les RSSI, qui confondent parfois les différents « DR » : EDR, XDR, MDR et NDR. Alors, précisons d’abord :
– Le « DR » ce ces acronymes signifie « Détection et Réponse ». Toutes ces approches ont donc en commun de permettre, non seulement, de donner l’alerte, mais aussi d’y répondre, de préférence de manière automatique via des API et de l’orchestration
– Le E de EDR signifie « Endpoint », ou poste de travail : c’est la vision locale, souvent complémentaire à l’antivirus traditionnel (et de plus en plus capable de le remplacer)
– Le N de NDR signifie « Network », pour le réseau. Il s’agit du pendant réseau, offrant les mêmes capacités de réponse, en pilotant par exemple les pare-feux.
– Le M de MDR signifie « Managed » ou administré par une structure partenaire qui a la délégation pour traiter les dangers identifiés et y remédier.
– Le X de XDR signifie… eXtended, comme capacité étendue à tout le système d’information ! Le XDR est donc un concept avant d’être une technologie.
L’on comprend ainsi mieux l’engouement autour du XDR, celui-ci pouvant aisément prendre tous les rôles qu’on lui prête. Pour autant, il y a quand même quelques invariants, des principes forts qui permettent de faire le tri entre les promesses sans fondement, et de s’orienter au milieu des paillettes du marketing.
Tout d’abord, l’implémentation d’une approche XDR est forcément composée de deux parties :
– Le back-end, qui regroupe la collecte et l’ingestion des données, le renseignement sur les menaces (Threat Intelligence), l’automatisation et l’orchestration de la réponse, les différents connecteurs, l’analyse, l’investigation et la gestion des différents workflows. En bref, c’est comme le cerveau prenant en considération tous les influx nerveux et actionnant tous les muscles, il est vital et primordial.
– Le front-end, qui regroupe les technologies mentionnées précédemment (NDR, EDR), mais aussi des solutions telles que les pares-feux, les contrôles d’accès au Cloud, la prévention de la fuite de données, les passerelles email sécurisées, la gestion des identités et des droits, et la sécurisation des processus dans le Cloud… En bref, des produits et solutions se focalisent sur un aspect précis du système d’information.
Se dessine alors un premier constat : toutes ces solutions existaient déjà, certaines depuis longtemps, avant que l’on parle de XDR, mais elles n’étaient pas intégrées, ou si peu ! Ce qui fait donc réellement la différence, c’est le back-end, et son intelligence intégrée. Ça sera donc le facteur discriminant entre les différentes propositions.
Cela ramène au choix entre « best of breed » et intégration verticale. Pour un éditeur unique, c’est déjà un défi d’intégrer l’ensemble de ses gammes de manière cohérente.
Cela lui sera long et compliqué, voire impossible.
Au contraire, c’est pour cela que le XDR est d’abord une approche qui se prête plutôt à l’intégration ouverte de solutions de sécurité indépendantes, avec l’ajout de couches d’intelligence et de coordination (la « glue »). C’est par ailleurs toute la philosophie d’une initiative telle que l’OPEN XDR PLATFORM, un projet français visant à permettre de bénéficier du meilleur des deux mondes.
En particulier, une telle approche se prête parfaitement à être opérée par un prestataire de services de sécurité (MSSP). C’est d’ailleurs pour cela que, paradoxalement, le XDR est pour le moment plus présent chez les entreprises de taille intermédiaires que chez les grands groupes : les ETI ont plus souvent recours à des MSSP pour gérer leur sécurité, et ces derniers sont souvent plus agiles et plus enclins à se tourner vers de nouveaux modèles et chercher de nouvelles optimisations (ce que permet finalement le XDR), alors que les grands groupes n’adoptent de nouvelles organisations que plus lentement.
On l’aura compris, le XDR n’est pas un produit figé, encore moins une technologie, mais un idéal, une cible ouverte et évolutive. D’ailleurs, un « projet XDR » sera totalement différent d’une entreprise à l’autre, car il intégrera des solutions différentes, dépendantes de l’existant et des choix technologiques.
Au-delà du marketing des éditeurs historiques, il apparaît ainsi que le XDR est une approche libre, et non un produit figé. Et c’est plutôt rassurant, car cela signifie qu’il est possible de s’y intéresser de manière progressive, sans jeter à la poubelle le travail capitalisé depuis de longues années. C’est à cette seule condition que l’approche XDR franchira la vallée des désillusions et trouvera sa juste place dans l’arsenal de la lutte informatique défensive sur le long terme.
___________________
Par David Bizeul – Chief Scientific Officer chez Sekoia.Io.
puis