FAQ – Endpoint Detection Response (EDR)

Endpoint Detection and Response : est un logiciel qui sécurise un poste de travail ou un serveur. Comme les antivirus , il vise les virus et les logiciels malveillants mais avec une technologie totalement différente.

Là où un antivirus alimente sa base de données de virus qui circulent dans le monde pour pouvoir repérer le virus qui pourrait tourner sur votre poste (d’où la nécessité d’avoir un antivirus en permanence à jour), l’EDR fait une analyse comportementale en temps réels  des logiciels qui tournent sur votre poste. Après une période d’apprentissage, l’EDR sera donc capable de découvrir des fonctionnements non prévus.   

Prenons par exemple, le fait que vous cliquiez sur votre fichier Word ou Excel. L’EDR va analyser le comportement du poste : Déplacement de la souris, double-clic pour lancer le logiciel, pendant les horaires bureaux, etc…  Pour l’EDR, il va apprendre que ceci est le comportement normal. Si un jour, un logiciel qu’on nommerait  « TOTO.exe » lance vers 23h un fichier Word, l’EDR assimilera cette action à un comportement non prévu et bloquera toutes les actions de TOTO.exe puis avertira l’utilisateur du poste.

Oui certainement, mais vous aurez la main pour accepter /débloquer une action classée comme non prévue. La prochaine fois, l’EDR acceptera automatiquement cette même action.

Malheureusement, comme toutes les protections, il n’y a jamais 100% de réussite. Cette solution ne remplace ni un antivirus, ni les actions humaines. Toutefois, la solution EDR présente un outil de résilience complémentaire. Ainsi, si un cryptovirus arrive quand même à faire des dégâts sur votre poste informatique, une console d’administration accessible par les équipes de Numérian pourra permettre de revenir à l’origine de la contamination et d’en annuler l’intégralité des conséquences. Il y aura donc une restitution des fichiers dans leur état d’origine.