_
FAQ

Nous répondons à vos questions les plus fréquentes.
Il vous manque une réponse ? Échangez avec l’un de nos experts.

Qu’est-ce qu’une solution NDR ?

Une solution NDR (Network Detection and Response) est une solution de cybersécurité qui détecte tous les évènements suspects sur le réseau interne de votre entreprise.

Aujourd’hui, tout est connecté au réseau – appareil sans fil ou filaire, point de terminaison ou serveur, applications, utilisateurs, etc. Et s’il y a une chose importante à savoir sur le trafic réseau, c’est qu’il ne ment pas.

Face à des cyberattaques de plus en plus sophistiquées, la solution NDR devient un outil nécessaire pour assurer une surveillance continue du réseau. Et ce n’est pas pour rien que le marché des solutions NDR est en pleine expansion (23% de croissance annuelle).

Contrairement aux solutions de sécurité traditionnelles de prévention fondées sur des signatures, la solution NDR va encore plus loin. En tirant parti de l’Intelligence Artificielle, de l’Analyse Comportementale et de la Threat Intelligence, elle permet la détection d’attaques « zero-day », appelées attaques inconnues, qui sont impossibles à détecter par signature. C’est le cas de la solution CUSTOCY.

La solution NDR va cibler toutes les actions que mènera le cyber attaquant pour accéder aux données critiques de votre entreprise, notamment les mouvements latéraux qui ne sont pas couverts par la majorité des outils annexes du marché.

Quelle différence avec un EDR ou un SIEM ?

Sur le marché de la cybersécurité, plusieurs acronymes reviennent dont EDR ou encore SIEM. Voyons comment ils se distinguent d’une solution NDR.

L’EDR (Endpoint Detection and Response) offre une surveillance des « endpoints » ou terminaux (postes de travail, serveurs, smartphones, etc) et des interactions entre eux.

Le SIEM (Security Information and Event Management) permet de recueillir les informations des journaux d’évènements d’autres systèmes et mettre en corrélation les données de différentes sources.

Le NDR va avoir une vue détaillée des échanges entre les équipements du réseau. Une solution qui détecte des éléments inaccessibles aux autres outils.

C’est l’ensemble de ces trois piliers qui permet de bénéficier d’une visibilité globale des menaces de sécurité dans l’environnement informatique de l’entreprise.

Quelle différence avec un XDR ?

Un XDR peut tirer parti des journaux système, de la détection des terminaux, de la vérification des e-mails, des alertes de pare-feu et des anomalies du réseau et les corréler pour donner un bilan de santé global de votre système. Ça sonne bien… en théorie. En réalité, les solutions XDR naissent généralement d’un composant spécialisé tel que la détection des terminaux et la volonté de s’étendre à d’autres domaines de la cybersécurité. Il leur manque souvent l’expertise, la culture et l’infrastructure nécessaires pour concurrencer des solutions plus spécialisées.

Les solutions XDR sacrifieront le plus souvent des informations vitales sur le réseau pour gagner du temps de calcul et faciliter l’intégration avec d’autres données dans le XDR. Le XDR est un véritable touche-à-tout mais maître de rien surtout à une époque où l’IA est devenue essentielle pour détecter les menaces.

Les algorithmes d’IA nécessitent des calculs intenses, une connaissance approfondie du domaine et des architectures sur mesure. Essayer de mettre tout cela sous un même toit est une tâche presque impossible. Ainsi, une approche qui consisterait à sélectionner individuellement le “meilleur dans son domaine” en ce qui concerne les solutions NDR et EDR apparaît comme la meilleure solution pour une couverture totale.

Pourquoi l’IA est importante dans le domaine de la cybersécurité ?

L’intérêt est double. Premièrement, les IA sont capables de mettre en relation une quantité de facteurs qui dépassent les capacités cognitives d’un être humain. Un réseau de neurones par exemple est capable de trouver des centaines de millions de liens existant dans des données pour prendre des décisions. De plus ces décisions seront prises en quelques millisecondes. Le deuxième intérêt est qu’il est plus difficile pour un acteur malveillant de prédire et contourner les prédictions d’une IA. Il faudrait pour ce faire que cet acteur ait accès à l’architecture exacte de l’IA, une connaissance précise des données du client et de l’ensemble des jeux de données d’entrainement.

Comment Custocy utilise l’IA ?

Les attaquants utilisent une multitude de procédures et de tactiques pour pénétrer un système. Ces procédures peuvent être très courtes comme l’envoi d’un fichier malicieux ou très étendue sur le temps ; une exfiltration de données par exemple peut durer des semaines. Pour détecter ces différents cas de figure, nous avons développé plusieurs IA qui sont chacune spécialisée dans la détection à des échelles de temps différentes. Nous avons également une IA maîtresse nommée le METALEARNER, qui centralise les réponses de ces IA spécialisées pour donner une réponse finale à l’analyste. C’est grâce à ce regroupement de multiples IA que nous générons peu de fausses alertes et que nous avons une des IA les plus compétitives du marché.

Que se passe-t-il lorsque notre technologie détecte une activité malveillante sur votre réseau ?

Les évènements détectés par nos IA sont analysés puis hiérarchisés par notre maître de l’IA le METALEARNER. C’est lui qui va prendre la décision finale d’alerter l’analyste. Seules les menaces importantes remontent automatiquement dans l’interface avec un score de dangerosité qui l’avertira de la priorité à donner. Ce qui permet de gagner du temps et de se concentrer sur l’essentiel.

Pour chaque menace active, Custocy vous apporte une réponse ciblée grâce à l’intégration de MITRE D3FEND. L’analyse saura comment y répondre le plus efficacement possible et ainsi stopper net les attaquants.

Comment s’implémente notre solution NDR ?

Custocy peut être utilisée de façon autonome, à travers son interface intuitive, ou s’intégrer à l’écosystème existant (EDR, SIEM, etc).

Nous installons notre sonde NETSENS sur site, au sein de votre infrastructure. Au travers d’un accès sécurisé, celle-ci se connecte au cloud d’AWS et fournit l’ensemble des informations qui passent par le réseau.

Nos différentes IAs, hébergées sur AWS, détectent différentes menaces sur plusieurs échelles de temps. Notre IA maîtresse, le METALEARNER, va ensuite les analyser et remonter dans l’interface Custocy uniquement les menaces importantes, avec un score de dangerosité.

L’analyse cyber les voit apparaître en temps réel avec une classification par code couleur intuitif, qui détermine la priorité de chacune de ces menaces. Son travail est facilité.

Est-ce que l’utilisation de l’IA peut ralentir mon système informatique ?

Non. Les IA font leur analyse sur un cloud qui peut « scale » sans ralentissement ou latence. De plus, les données utilisées par CUSTOCY ne représentent qu’une fraction des données du flux réseau, meme pas 1/100. Ainsi la collecte et l’analyse de données ne risque pas d’impacter le réseau surveillé.