XDR (Extended Detection and Response)
Successeur de l'EDR qui corrèle la télémétrie endpoint, identité, e-mail, réseau et cloud dans une seule plateforme de détection et réponse — conçu pour faire émerger des chaînes d'attaque qu'aucun capteur isolé n'attraperait.
L’Extended Detection and Response (XDR) est la catégorie qui a émergé autour de 2020 pour combler les angles morts de l’EDR. Là où l’EDR est une plateforme à capteur unique — l’endpoint — le XDR ingère et corrèle entre endpoint, identité, e-mail, réseau et cloud au sein d’une seule pile de détection et de réponse.
L’argumentaire est la visibilité sur la chaîne d’attaque. Une vraie intrusion traverse généralement les capteurs : un e-mail hameçonnage arrive → un identifiant est volé → un fournisseur d’identité enregistre une connexion inhabituelle → un endpoint exécute un binaire inhabituel → une connexion réseau atteint un hôte C2. L’EDR seul voit l’étape quatre ; un outil d’identité seul voit l’étape trois ; une passerelle e-mail seule voit l’étape un. Le rôle du XDR est de les recoudre.
Deux saveurs ont émergé :
- XDR natif (mono-éditeur) : chaque capteur appartient à l’éditeur de la plateforme — CrowdStrike Falcon XDR, Microsoft Defender XDR, Palo Alto Cortex XSIAM, SentinelOne Singularity. Intégration serrée, dépendance fournisseur.
- XDR ouvert (best-of-breed) : la plateforme ingère depuis des capteurs tiers via des connecteurs standardisés — Exabeam, Stellar Cyber, Hunters. Plus de flexibilité, plus de charge d’intégration.
La ligne entre XDR et pile SIEM + SOAR moderne s’est estompée. Microsoft Sentinel + Defender XDR, Splunk + Cisco XDR, Google SecOps — toutes convergent vers la même forme : un seul écran de contenu de détection, de réponse corrélée et de workflow analyste SOC.
Le XDR fusionne la télémétrie côté machine sur la chaîne de frappe. Il ne produit pas de télémétrie côté comportement — l’écart savoir-comportement, l’approbation fatigue MFA, la réactivation d’un collaborateur externe dormant. Ce sont des signaux qu’Engarde génère et émet sous forme d’événements structurés sur lesquels le XDR peut corréler, distinct des autres acteurs qui partagent le nom Engarde.
Termes liés
- EDR (Endpoint Detection and Response)Agent installé sur chaque endpoint qui enregistre en continu l'activité processus, fichier, réseau et identité, détecte les comportements malveillants, et permet aux répondants de contenir ou de revenir en arrière depuis une console centrale.
- SIEM (Security Information and Event Management)Plateforme qui ingère, normalise et corrèle les logs de sécurité de tout le parc, puis alerte sur les motifs correspondant à des comportements d'attaque connus — la couche centrale de logs et de détection du SOC.
- SOAR (Security Orchestration, Automation and Response)Plateforme qui transforme les détections SIEM et les autres signaux de sécurité en playbooks automatisés — ouverture de tickets, isolation de comptes, réinitialisation MFA, collecte de preuves — pour que les analystes consacrent le temps de tri aux cas qui nécessitent réellement des humains.
- CASB (Cloud Access Security Broker)Couche d'application des politiques entre les utilisateurs et les SaaS, qui inspecte le trafic et bloque les actions interdites — le modèle « gardien » de la sécurité SaaS.