Vectra AI est nommé leader dans le Magic Quadrant 2025 de Gartner pour détection et réponse aux incidents (NDR). >
NOUVEAU

Vectra AI est nommée Leader dans le Magic Quadrant 2025 de Gartner pour la détection et réponse aux incidents (NDR). Télécharger le rapport. >

Vectra AI(NDR) のマジック・クアドラントにおいてリーダーの1社に
Icône de hamburger en haut de page
Icône de hamburger ligne médiane
Icône de hamburger ligne inférieure
La plateforme Vectra AI : cybersécurité de nouvelle génération

Évaluer les alternatives à la NDR : Pourquoi chaque SOC moderne a besoin d'une détection et réponse aux incidents

22 septembre 2025
Mark Wojtasiak
Vice-président de la recherche et de la stratégie des produits
Évaluer les alternatives à la NDR : Pourquoi chaque SOC moderne a besoin d'une détection et réponse aux incidents

La réalité des réseaux modernes

Il n'y a pas si longtemps, le "réseau" était facile à imaginer : des centres de données et des environnements de campus avec un périmètre défini. Ce monde n'existe plus. Aujourd'hui, le réseau moderne s'étend aux centres de données, à la main-d'œuvre distante, aux plateformes SaaS, aux charges de travail cloud , aux appareils IoT et OT et, surtout, aux identités qui relient tous ces éléments entre eux.

Cette expansion a transformé la surface d'attaque en un gigantesque écosystème hybride et interconnecté. Et les attaquants se sont adaptés. Ils ne pensent pas en silos comme "endpoint", "cloud" ou "identity". Ils voient une grande surface unifiée à infiltrer, à traverser et à exploiter.

C'est pourquoi 40 % des brèches s'étendent désormais sur plusieurs domaines, et les acteurs des ransomwares parviennent à se déplacer latéralement en moins de 48 minutes. La conclusion est simple : si nous continuons à nous défendre en silos, les défenseurs seront toujours en retard.

Le défi SOC

La plupart des organisations ont investi massivement dans des outils : EDR pour les terminaux, SIEM/SOAR pour la corrélation des logs et les flux de travail, et maintenant XDR pour la "plateformisation". Ces investissements sont nécessaires, mais ils ne sont pas suffisants. Pourquoi ?

Parce que les équipes SOC sont noyées sous les alertes. Les équipes reçoivent près de 4 000 alertes par jour, mais moins de 1 % d'entre elles sont exploitables. Les analystes passent près de trois heures par jour à gérer les alertes, alors que les adversaires se déplacent latéralement en moins d'une heure.

C'est le "dilemme des défenseurs". Les outils sont bruyants, cloisonnés et adaptés à la conformité ou à la prévention, et non à la détection en temps réel du comportement furtif des attaquants. C'est pourquoi tant de responsables de SOC me disent : "Ce n'est qu'une question de temps avant que nous ne manquions quelque chose".

Pourquoi la CED n'est pas suffisante

La CED reste un élément fondamental. Mais il n'a jamais été conçu pour tout couvrir. Pensez-y :

  • Lacunes en matière de couverture: Les agents EDR ne peuvent pas fonctionner sur des dispositifs non gérés, des systèmes IoT, OT ou des systèmes d'entrepreneurs tiers. Pourtant, les attaquants ciblent délibérément ces angles morts.
  • Contournement et évasion: L'EDR est régulièrement désactivé ou contourné. Les évaluations de l'équipe rouge de la CISA ont montré comment les attaquants utilisent la falsification de pilotes, le montage de disques de machines virtuelles ou des outils de suppression de crochets pour aveugler les agents des endpoint .
  • Abus d'identité: Lorsque les attaquants se connectent au lieu de pirater, l'EDR ne voit souvent rien de malveillant. L'abus de privilèges, le vol de jetons OAuth, la délégation de boîtes aux lettres : tout cela ne ressemble pas à un malware, mais c'est de l'or en barre pour les attaquants.
  • Les angles morts du réseau: L'EDR ne voit que ce qui se passe sur l'hôte. Il ne voit pas le trafic est-ouest entre les systèmes, les tunnels cryptés ou les pivots latéraux entre les domaines.

En d'autres termes, si vous ne vous fiez qu'à l'EDR, vous ignorez une grande partie de la manière dont les attaques modernes se déroulent.

Pourquoi SIEM et SOAR ne sont pas à la hauteur

Les SIEM et les plateformes SOAR promettent une visibilité centralisée et des flux de travail automatisés. Mais elles dépendent de la qualité des données ingérées. Des données erronées à l'entrée, des données erronées à la sortie.

  • Volume contre valeur: Les SIEM ingèrent des milliers d'événements quotidiens, mais la plupart d'entre eux ne disposent pas du contexte nécessaire pour distinguer les événements bénins des événements malveillants.
  • Temps de latence: La corrélation basée sur les journaux est réactive et lente. Lorsque les signaux sont recoupés, les attaquants sont déjà passés à autre chose.
  • Complexité: La maintenance des règles et des playbooks demande beaucoup de travail. Les SOC passent souvent plus de temps à régler qu'à enquêter.

Les systèmes SIEM/SOAR sont nécessaires pour la conformité et l'orchestration. Mais ils ne remplacent pas la détection en temps réel basée sur le comportement.

La place de XDR

La technologie XDR est apparue comme une réponse à la prolifération des outils. S'il est bien fait, il promet une intégration entre les endpoint, le réseau, le cloud et l'identité. Mais la plupart des offres "XDR" d'aujourd'hui sont simplement des écosystèmes de fournisseurs qui étendent leurs capacités EDR ou SIEM de base. Cela signifie que les mêmes angles morts et les mêmes silos persistent.

Sans signal de réseau et d'identité de haute fidélité, la technologie XDR n'est qu'une technologie EDR sous un nouveau nom. Et sans ce signal, le système XDR est toujours à la recherche d'alertes au lieu d'être à l'affût des attaques.

Pourquoi la NDR est essentielle pour les SOC modernes

C'est là que la détection et réponse aux incidents (NDR) entrent en jeu. Les plateformes modernes de NDR, comme Vectra AI, sont conçues pour assumer les compromis et détecter ce que d'autres outils ne détectent pas :

  • Couverture sans agent: NDR offre une visibilité sur les appareils non gérés, l'IoT/OT, les charges de travail dans cloud et les identités, partout où les agents des endpoint ne peuvent pas aller.
  • Détection comportementale: Au lieu de s'appuyer sur des signatures, la NDR utilise l'IA pour détecter les méthodes des attaquants telles que les tunnels cachés, l'abus de privilèges et les mouvements latéraux, même lorsque les attaquants utilisent des informations d'identification valides.
  • Visibilité du trafic est-ouest: La NDR inspecte les communications internes où les attaquants vivent après la compromission, mettant en évidence les activités de reconnaissance, de persistance et d'exfiltration.
  • Réduction du bruit: Le NDR de Vectra AIfiltre jusqu'à 99 % du bruit des alertes, de sorte que les analystes se concentrent uniquement sur les progressions d'attaques validées et hiérarchisées.
  • Réponse intégrée: La NDR s'intègre au SIEM, au SOAR et à l'EDR, déclenchant l'isolation des hôtes, la réinitialisation des identifiants ou le blocage des pare-feux en temps réel.

Pensez-y de la manière suivante : L'EDR tente d'empêcher les attaquants d'entrer. La NDR les arrête une fois qu'ils sont entrés. Ensemble, ils forment les deux côtés de la défense moderne.

Combiner NDR, EDR et SIEM : une approche hybride de la visibilité du SOC

La triade de la visibilité du SOC - SIEM, EDR et NDR - reste le meilleur modèle pour une couverture complète. Chaque outil a un rôle à jouer :

  • SIEM/SOAR pour la conformité, l'agrégation et l'orchestration.
  • EDR pour la télémétrie détaillée des endpoint et le confinement.
  • NDR pour une détection en temps réel sur le réseau, le cloud et l'identité, là où les attaquants vivent réellement après la compromission.

La différence aujourd'hui est que la NDR n'est plus optionnelle. C'est la couche manquante qui complète l'architecture de détection du SOC.

Des résultats concrets grâce à la NDR

Les organisations qui ajoutent la NDR à leurs piles EDR, SIEM et SOAR signalent systématiquement des améliorations mesurables :

  • 391 % de retour sur investissement avec un délai de récupération de six mois.
  • 52 % de menaces supplémentaires identifiées en 37 % de temps en moins.
  • Réduction de 99 % du bruit d'alerte et gains d'efficacité de 40 % pour le SOC.
  • Réduction du MTTD et du MTTR de quelques jours à quelques heures.

Il ne s'agit pas d'affirmations marketing. Il s'agit de résultats obtenus par des clients réels qui ont appris à leurs dépens que les points de terminaison et les journaux ne suffisent pas.

Le bilan : Pourquoi la NDR n'est plus facultative

Les réseaux modernes exigent des défenses modernes. Les attaquants se déplacent rapidement, vivent de la terre et exploitent les angles morts d'une manière que les outils traditionnels n'ont pas été conçus pour appréhender.

L'EDR est nécessaire, mais il n'est pas suffisant. Les systèmes SIEM/SOAR sont utiles, mais ce ne sont pas des moteurs de détection. XDR promet l'intégration, mais sans NDR, elle est incomplète.

La NDR est la seule technologie qui offre la couverture, la clarté et le contrôle nécessaires pour voir et arrêter les attaques modernes sur l'ensemble du réseau hybride.

Si vous voulez éviter que votre organisation ne fasse la une des journaux, vous ne pouvez pas vous permettre de considérer le NDR comme facultatif. Il s'agit d'un élément essentiel.

Sources d'information

  • Vectra AI, 2024 State of Threat Detection and Response : Le dilemme des défenseurs
  • Vectra AI, 2024 Threat Detection and Response Efficiency Report (rapport sur l'efficacité de la détection et de la réponse aux menaces)
  • Vectra AI, note de recherche : Réduire le bruit, augmenter les menaces (2025)
  • Vectra AI, The Case for détection et réponse aux incidents (2025)
  • Vectra AI, 5 raisons pour lesquelles l'EDR ne suffit pas (2025)
  • CrowdStrike, 2025 Global Threat Report (rapport mondial sur les menaces)
  • IBM, Rapport sur le coût d'une violation de données en 2024
  • IDC, La valeur commerciale de Vectra AI (2025)

Foire aux questions