La technologie XDR, révolution ou effet de manche ?

L’explosion de la complexité des parcs numériques ouvre de nombreuses portes dérobées pour les attaquants. Les équipes de cybersécurité manquent cruellement de bras face à des incidents de sécurité de plus en plus imprévisibles et onéreux. Les violations de données peuvent coûter plus de 4 millions de dollars et leurs identifications prennent en moyenne 212 jours¹. Les solutions XDR proposent de limiter l’intervention humaine pour détecter les attaques les plus sophistiquées de façon proactive. Entre anticipation et hyper automatisation, comment se pense aujourd’hui la technologie XDR dans un monde cyber en pleine mutation ?

Par Andréas Ley

Deus ex machina

Au cours de la pandémie, la demande pour une plateforme unifiée de management des risques informatiques n’a cessé de croître. En 2021, le baromètre CESIN montre que les entreprises se sont principalement tournées vers les solutions d’EDR et de chiffrement, augmentant respectivement de 68% et de 56%². Un rapport de SecBI affirme que 80% des RSSI interrogés souhaitent intégrer la technologie XDR à leurs arsenaux dans les prochaines années³. Pléthore d’utilisateurs usent quotidiennement leurs propres équipements au sein d’environnements de travail déjà bousculés par l’essor de l’IoT, le télétravail et la migration vers les services nuagiques. « Chaque jour, 300 000 nouveaux virus arrivent sur le net et peuvent causer la mort numérique d’une organisation. La grande force de notre technologie XDR est sa capacité à neutraliser les attaques sans action humaine. Nos clients qui en sont équipés neutralisent en moyenne 5 menaces inconnues et 10 000 menaces connues par jour » assure Elena Poincet, PDG de Tehtris. Forte de son approche holistique, le XDR – ou solutions de détections et de réponses étendues – combine la détection d’événements sur les terminaux avec des données provenant d’autres sources pour constituer une pile d’informations natives au sein d’une plateforme unique. Cette dernière collecte les données des courriels, terminaux, serveurs, firewalls, réseaux et cloud pour élargir au maximum les sources d’informations, identifier les signaux faibles et les causes de l’infiltration initiale afin d’endiguer la latéralisation de l’attaque. La promesse du XDR prétend résoudre la pénurie de main d’œuvre, accélérer les enquêtes, optimiser le flux de travail et réduire la fragmentation des architectures de sécurité par laquelle s’engouffre les criminels. Son interopérabilité la rend attractive pour les RSSI, tant pour attirer et fidéliser les talents potentiels que pour convaincre d’augmenter les budgets liés à la cyberprotection.

Best of breed

Entre 2021 et 2028, ce marché pourrait connaître une croissance de plus de 2,7 milliards de dollars alors qu’il ne représentait que 505 millions en 2020⁴. Les acteurs dominant, Microsoft, Palo Alto Networks, Trend Micro, McAfee ou encore Crowdstrike s’adaptent sous forme de partenariats et d’acquisitions pour répondre à cette demande exponentielle. En novembre 2021, IBM a acheté l’éditeur néerlandais ReaQta pour 2,8 millions de dollars via un capital risque⁵. Même stratégie pour l’américain CrowdStrike qui fait l’acquisition de Falcon XDR et englobe des compétences de corrélation de menaces, de machine learning, d’IA et d’indicateurs d’attaques⁶. Les entrepreneurs français se distinguent sur ce marché, en combinant haute performance technique, besoins de souveraineté et d’éthique. Tehtris s’est notamment illustré en étant l’un des rares fournisseurs à même de détecter le malware Pegasus, responsable de l’espionnage de journalistes et de militants dans le monde, grâce à sa solution de défense contre les menaces mobiles. Cette dernière fait partie de leur plateforme XDR all-in-one tant native qu’hyperautomatisée pour neutraliser en temps réel les rançongiciels et les attaques Zero days, en intégrant sécurité du cloud et des end points tout autant que des réseaux industriels. « La force de notre XDR réside dans l’intégration de ces différents modules au sein d’un SOAR pour répondre aux besoins de l’industrie 4.0. Il fonctionne en autonomie, calqué sur le schéma du temps de guerre, à l’instar d’un système anti-missile » assure Elena Poincet. La scale-up française a récemment levé 20 millions d’euros et compte ouvrir des filiales au Canada ainsi qu’à Singapour. Elle a récemment été élue « société à mission » pour son offre de technologie de confiance, ses engagements éthiques en vue d’un cyberespace plus sûr et la réduction de son empreinte carbone⁷. La technologie Reveelium d’Itrust, intégrée à son SOC, alimentée par une intelligence artificielle se nourrissant du big data pour traiter de grandes quantités de données et de logs de capteurs IT ou OT pour identifier les menaces est la seule en France a avoir obtenu le label Utilisé par les Armées Françaises⁸. L’Open XDR Platform englobe quant à elle un aéropage de start–up françaises possédant chacune leurs spécificités telles que la sécurité des serveurs et ordinateurs pour Harfang Lab, celle des actifs mobiles pour Pradeo, l’analyse globale des alertes par SEQUIOA ou encore celle des malwares et fichiers corrompus par Glimps. « Pour fluidifier l’utilisation globale de nos services, nous dressons des ponts entre des expertises très différentes et permettons une unification totale de nos solutions de cybersécurité. Cela nous permet d’éviter les redondances et de faciliter le partage d’informations. En fonction des besoins du marché, nous pourrions tendre vers une intégration plus appuyée même si les offres existantes répondent déjà à la fluidité d’usage exigée par nos clients » précise le PDG de Pradeo, Clément Saad.

Le mythe de la frontière

La technologie XDR ne représente donc pas une révolution en soi. « Le XDR est un SOC doté de capacité de remédiation, seul véritable ajout aux compétences déjà existantes. L’évolution se situe plutôt dans l’emploi de l’intelligence artificielle et de l’analyse comportementale. La volonté d’allier analyse des logs avec les end points pour améliorer la faculté de détection n’est pas nouvelle. Mais cela débouche sur le morcellement du marché entre solutions SIEM et antivirus. La tendance à vouloir récupérer le maximum d’informations pour les corréler et agir est très forte. La clé est donc de maitriser les trois moteurs de détection : le moteur de corrélation, la threat intelligence et le machine learning avec les savoir-faire humains. Le XDR en lui-même n’est qu’un vecteur parmi d’autres pour récupérer de l’information » garantit Jean-Nicolas Piotrowski, fondateur et PDG d’Itrust.

La technologie XDR nous donne à voir les premières briques des méthodes d’hyperautomatisation. « L’écueil serait de penser que les technologies sont déjà suffisamment matures pour être performantes sur tous les fronts. Or, cela ne sera réalisable que sur le long terme et selon les besoins exprimés par le marché. Aujourd’hui, les solutions de cybersécurité agissent encore sur le mode réactif. Mais ces dernières pourront passer dans un mode proactif via notamment l’intelligence artificielle et le croisement des données dispensé par la threat intelligence » souligne Clément Saad. En s’orientant davantage vers des modèles Zero trust, « ces technologies nous permettront d’anticiper l’exposition aux risques des différents utilisateurs ou terminaux dans le but d’auto-adapter le niveau de sécurité en fonction de la gravité du danger et des populations concernées puis de parer les attaques en amont » conclut le CEO de Pradeo.

1^ What is the Cost of a Data Breach in 2021? | UpGuard, https://www.upguard.com/blog/cost-of-data-breach.

2^ 7ème édition du baromètre annuel du CESIN – Enquête exclusive sur la cybersécurité des entreprises françaises – CESIN, https://www.cesin.fr/actu-7eme-edition-du-barometre-annuel-du-cesin-enquete-exclusive-sur-la-cybersecurite-des-entreprises-francaises.html.

3^ Email et Print, Trois raisons de faire de la technologie XDR la pierre angulaire des stratégies de sécurité, https://www.zdnet.fr/actualites/trois-raisons-de-faire-de-la-technologie-xdr-la-pierre-angulaire-des-strategies-de-securite-39938643.htm.

4^ XDR Market Size, Growth | Global Industry Report, 2021-2028, https://www.adroitmarketresearch.com/industry-reports/xdr-market, (consulté le 22 avril 2022).

5^ IBM to Acquire ReaQta, https://reaqta.com/2021/11/ibm-to-acquire-reaqta/.

6^ Falcon XDR: Extend Beyond the Endpoint | Products | CrowdStrike, https://www.crowdstrike.com/products/endpoint-security/falcon-xdr/.

7^ Cybersécurité : Tehtris annonce son expansion en Europe – Point Banque, https://point-banque.fr/2022/02/01/cybersecurite-tehtris-annonce-son-expansion-en-europe/.

8^ ITrust, LE SOC REVEELIUM OBTIENT LE LABEL U.A.F, https://www.itrust.fr/le-soc-reveelium-obtient-le-label-u-a-f/ , 6 octobre 2021.