Des menaces omniprésentes, même dans les outils du quotidien
Dernièrement, des failles de sécurité ont été signalées dans DeepSeek, l’équivalent chinois de ChatGPT. Des experts en cybersécurité ont réussi à contourner ses garde-fous, poussant l’outil à générer du code malveillant et des scripts d’espionnage. Cette affaire rappelle à quel point les cybermenaces sont omniprésentes – et combien il est facile de détourner des outils conçus à la base pour être utiles.Selon un rapport de Kaspersky sur l’Économie de la Sécurité, les entreprises ont bien compris que leurs outils de sécurité classiques ne suffisent plus à protéger une infrastructure moderne et en constante évolution. Résultat : on constate que les entreprises prévoient d’augmenter leur budget sécurité de 9 % en moyenne, sachant qu’une part non négligeable de cet investissement est dédiée à de nouvelles solutions, comme le NDR.
NDR : une approche intelligente pour sécuriser le réseau
Le concept de NDR a été popularisé par Gartner dès 2020. Il désigne des solutions capables d’analyser en temps réel l’ensemble du trafic réseau via une multitude de capteurs répartis aux points d’entrée des données. Grâce à l’intelligence artificielle et au machine learning, ces outils établissent un modèle du comportement normal du réseau. Dès qu’un écart est détecté, ils alertent les équipes IT et peuvent automatiquement enclencher des mesures de protection, comme le blocage de certaines sources de données.Pour Gartner, le NDR représente une brique essentielle d’une stratégie de cybersécurité moderne. Plus performantes que de nombreux outils existants, ces solutions permettent d’identifier plus rapidement les comportements suspects. Les analystes prédisent qu’elles s’imposeront comme un standard d’ici cinq ans. D’ailleurs, dans le cadre d’une étude sur le cloud hybride menée en 2024, 50 % des entreprises affirment se sentir en sécurité lorsqu’elles utilisent des solutions NDR combinées à d'autres dispositifs de protection.
Les défis de la détection réseau
Aussi performantes soient-elles, les solutions NDR ne sont pas sans limites. Une visibilité partielle du réseau laisse inévitablement place à des zones d’ombre (blind spots). Celles-ci apparaissent notamment lorsque les capteurs ne couvrent pas l’ensemble du trafic, ou encore lorsque l’infrastructure IT évolue (nouvelles applications, terminaux à distance, utilisateurs nomades, etc.).À cela s’ajoutent des flux complexes, comme le trafic Est-Ouest (entre machines dans un même datacenter), difficile à détecter. Seulement 40 % des entreprises affirment pouvoir le surveiller efficacement. Pire encore : la majorité des malwares circulent désormais via des connexions chiffrées SSL/TLS. Or, les solutions NDR ne peuvent analyser qu’une partie de ce trafic crypté – leur efficacité est donc réduite si elles n’ont accès qu’à des données partiellement lisibles.
Enfin, la question des coûts reste centrale : l’achat, l’implémentation et la maintenance d’une solution NDR, notamment dans un environnement étendu et complexe, peuvent s’avérer très onéreux. D’où l’importance de maximiser la visibilité réseau pour rentabiliser au mieux l’investissement.
Observabilité avancée : vers une visibilité complète du réseau
Aujourd’hui, 58 % des entreprises disent ne pas avoir un niveau de visibilité suffisant sur leur infrastructure IT, de la couche réseau jusqu’aux applications, en vue de détecter les attaques. Et 7 RSSI sur 10 affirment que ce manque de visibilité réduit l’efficacité de leurs solutions de sécurité, y compris le NDR, qui ne peut réagir qu’à ce qu’il voit.C’est là qu’intervient le concept d’observabilité avancée. Cette approche vise une visibilité réseau totale, en plaçant une couche d’observation entre l’infrastructure IT et les plateformes de performance et de sécurité. Cette solution collecte, traite, agrège et, si besoin, déchiffre le trafic avant même qu’il ne soit transmis aux outils de sécurité. Elle couvre toutes les couches : physique, virtuelle, locale, cloud.
Résultat : une visibilité claire et complète sur tout le réseau. Les angles morts disparaissent, les menaces sont plus faciles à identifier, et la complexité de l’environnement IT devient plus maîtrisable. Cela améliore considérablement l’efficacité des outils NDR, en leur fournissant les données dont ils ont besoin pour détecter et contrer les menaces les plus critiques.
Conclusion
Les solutions NDR sont un atout puissant dans l’arsenal de cybersécurité des entreprises. Mais pour qu’elles tiennent toutes leurs promesses, une condition s’impose : avoir une visibilité réseau complète. En s’appuyant sur l’observabilité, les entreprises peuvent renforcer leurs défenses, optimiser leurs ressources et garantir que leurs outils de détection fonctionnent à plein régime.Par Jean-Michel Tavernier, Directeur commercial France et Benelux chez Gigamon
