Cybersecurity

Governance, Resilience, IAM, PAM, DLP, SIEM, SOC

Protection des terminaux, Microsoft en maître absolu

Nov 15, 2021 | Cyber Security | 0 commentaires

Focus sur les solutions EPP (Endpoint Protection Platforms). Selon Gartner, environ 30% des terminaux sont désormais protégés par EPP et EDR. Microsoft domine.

Microsoft tout en haut à droite du Magic Quadrant de la protection des terminaux -les EPP (Endpoint Protection Platforms). Trend Micro, McAfee et Sophos également dans les Leaders. ESET isolé dans les Challengers. VMware, Cisco, Cyberseason et Kaspersky dans les Visionnaires. CheckPoint et Fortinet un peu perdus dans les Niche Players…

Pour Gartner, les jeux sont faits. Et sont faits dans le cloud. D’ici la fin de 2023, prévoit le cabinet, les solutions EPP fournies dans le cloud dépasseront 95 % des déploiements. D’ici à 2025, 50 % des organisations utilisant l’EDR (Endpoint Detection & Response) utiliseront des capacités de détection et de réponse gérées.

D’ici 2025, encore, 60 % des solutions EDR comprendront des données provenant de plusieurs sources de contrôle de sécurité telles que l’identité, le CASB (Cloud Access Security Broker) et le DLP (Data Loss Prevention).

Un tiers des terminaux protégés

Malgré l’avènement d’attaques furtives sophistiquées, un produit EPP bien configuré et entretenu peut encore réduire considérablement le risque de malware et d’attaques ciblées. Cependant, conseille Gartner, tous les secteurs industriels et toutes les échelles d’organisation doivent réexaminer leur approche. Et investir dans des capacités et des couches de protection supplémentaires pour les terminaux. Objectif : faire face à des techniques d’attaque plus avancées qui peuvent échapper à la détection EPP.

La détection et la réponse des terminaux font désormais partie intégrante de toute stratégie de sécurité. En tant que telles, elles ont reçu une importance accrue dans cette analyse. Environ 30% des terminaux sont désormais protégés par EPP et EDR. De plus en plus, le déploiement d’EDR n’est plus limité aux organisations ayant des opérations de sécurité matures. L’adoption de l’EDR est principalement motivée par la protection contre les menaces avancées, mais également par l’attrait supplémentaire de l’automatisation, de l’orchestration et des fonctionnalités gérées.

EDR, jusqu’où ?

L’innovation EDR, telle que la détection basée sur le comportement et la chasse aux menaces de base, est de plus en plus incluse dans les plates-formes de protection des terminaux. Cette convergence est également venue du côté EDR du marché, où les fournisseurs d’EDR ont ajouté des capacités de protection à leurs fonctions de détection et de réponse de base.

Les solutions EDR offrent des capacités pour détecter et enquêter sur les événements de sécurité, contenir l’attaque et produire des conseils pour la résolution. Les solutions EDR doivent identifier et analyser l’activité et la configuration des appareils. La visibilité et le signalement de l’activité de l’utilisateur et de l’appareil sont associés à une intervention directe lorsqu’une activité anormale est détectée. La réponse automatisée et l’annulation des menaces sont des fonctionnalités EDR hautement souhaitables. L’intégration et l’automatisation avec d’autres outils tels que la billetterie et la gestion du système sont essentielles.

XDR, nouvelle approche

Dans l’analyse de cette année, Gartner a également évalué la capacité de détection et de réponse étendue des fournisseurs. Sur ce plan, XDR est une nouvelle approche. Principal avantage : une solution unique combinant des outils de détection des menaces et de réponse aux incidents, unifiant plusieurs produits de sécurité dans un système d’opérations de sécurité.

Par exemple, les offres XDR peuvent combiner des pare-feu, des sand box, des passerelles Web et de messageries sécurisées. Elles peuvent aussi contenir des outils d’identification dans une capacité de réponse aux incidents commune. Les solutions XDR permettent aux organisations de sécurité pragmatiques de gagner en efficacité opérationnelle sans intégration manuelle complexe dans un outil SIEM (Security Information & Event Management) ou SOAR (Security Orchestration Automation & Response).