Le réseau reste le seul endroit où les pirates ne peuvent pas se cacher. Chaque mouvement latéral, chaque tentative d'exfiltration de données, chaque communication de commande et de contrôle doit traverser le réseau, ce qui en fait la source ultime de vérité pour détecter les menaces qui ont déjà contourné les défenses périmétriques. Alors que les entreprises sont confrontées au trafic crypté, aux architectures cloud et à des adversaires sophistiqués utilisant des techniques « living-off-the-land », les outils détection et réponse aux incidents NDR) sont devenus des composants essentiels des opérations de sécurité modernes. Selon l'analyse d'IBM sur la technologie NDR, ces solutions comblent les lacunes critiques en matière de visibilité que les outils basés sur endpoint les journaux ne peuvent tout simplement pas combler.
Ce guide explique comment fonctionnent les outils NDR, dans quels cas ils sont plus performants que d'autres solutions telles que les EDR et les SIEM, et quels sont les critères prioritaires pour les équipes de sécurité lorsqu'elles évaluent des solutions pour leurs environnements.
détection et réponse aux incidents (NDR) est une technologie de cybersécurité qui utilise des méthodes de détection non basées sur les signatures, notamment l'intelligence artificielle, l'apprentissage automatique et l'analyse comportementale, afin d'identifier les activités suspectes ou malveillantes sur les réseaux d'entreprise. Les outils NDR analysent en permanence le trafic réseau, tant les paquets bruts que les métadonnées, afin de détecter les comportements anormaux qui indiquent des menaces potentielles, puis fournissent des capacités de réponse pour contenir et enquêter sur les incidents.
Gartner a officiellement renommé la catégorie « Network Traffic Analysis » (NTA) endétection et réponse aux incidentsen 2020, reflétant ainsi l'ajout de capacités de réponse automatisées au-delà de la surveillance passive. Cette distinction est importante : les outils NDR modernes ne se contentent pas d'alerter en cas d'anomalies, ils peuvent isoler des hôtes, bloquer des connexions et déclencher des playbooks automatisés grâce à l'intégration SOAR.
Les solutions NDR surveillent deux flux de trafic critiques. Le trafic nord-sud circule entre les réseaux internes et les destinations externes, capturant les premières tentatives d'accès et l'exfiltration de données. Le trafic est-ouest circule latéralement entre les systèmes internes, révélant les attaquants qui ont déjà pris pied et étendent leur accès. Cette visibilité interne est ce qui distingue le NDR des outils de sécurité traditionnels axés sur le périmètre.
Les arguments en faveur du NDR n'ont jamais été aussi convaincants. Selon l'analyse d'ExtraHop, environ 85 % du trafic réseau est désormais crypté, ce qui rend l'inspection approfondie des paquets traditionnelle inefficace sans une infrastructure de décryptage coûteuse. Les outils NDR relèvent ce défi grâce à l'analyse des métadonnées, aux modèles de synchronisation du trafic et aux techniques d'empreinte digitale TLS qui extraient les informations sur les menaces sans briser le cryptage.
Le paysage des menaces renforce cette urgence. Une étude menée par Elisity a révélé que plus de 70 % des violations réussies exploitent des techniques de déplacement latéral, les attaquants se déplaçant entre les systèmes internes après la compromission initiale. Le délai moyen de détection des activités de déplacement latéral est de 95 jours sans une visibilité adéquate du réseau. Pendant cette période, les attaquants peuvent cartographier l'infrastructure, étendre leurs privilèges, mettre en place des données et se positionner pour un impact maximal.
La validation du marché a suivi la nécessité technique. Gartner a publié son tout premier Magic Quadrant pour le NDR en mai 2025, reconnaissant officiellement le NDR comme une catégorie de sécurité distincte et mature. Le marché du NDR devrait atteindre 5,82 milliards de dollars américains d'ici 2030, avec un taux de croissance annuel composé de 9,6 %.
Pour comprendre le NDR, il faut examiner trois capacités interdépendantes : la collecte de données, la détection et l'analyse, et l'automatisation des réponses. Chaque couche s'appuie sur la précédente pour transformer le trafic réseau brut en informations de sécurité exploitables.
Les outils NDR collectent les données réseau via plusieurs options de déploiement, chacune présentant des avantages distincts.
La mise en miroir des ports SPAN copie le trafic réseau des ports du commutateur vers le capteur NDR. Cette approche fonctionne bien pour les déploiements initiaux et les environnements avec des volumes de trafic modérés, mais elle peut entraîner la perte de paquets en cas de charge importante.
Les TAP (Test Access Points) réseau fournissent des périphériques matériels dédiés qui copient passivement le trafic sans affecter les performances du réseau. Les TAP garantissent une capture complète des paquets, même pendant les pics de trafic, ce qui en fait la solution privilégiée pour les environnements de production.
Les brokers de paquets agrègent le trafic provenant de plusieurs ports TAP et SPAN, le filtrant et équilibrant la charge entre les capteurs NDR. Les grandes entreprises déploient généralement des brokers de paquets pour gérer la distribution du trafic entre les réseaux de capteurs.
Cloud permettent la visibilité NDR dans cloud grâce à des intégrations natives. AWS VPC Flow Logs, Azure Network Watcher et GCP audit logs fournissent des données télémétriques réseau sans nécessiter d'infrastructure TAP traditionnelle. Le déploiement NDR Cloud est devenu essentiel à mesure que les entreprises migrent leurs charges de travail hors des centres de données sur site.
Une fois les données transmises aux capteurs NDR, plusieurs techniques d'analyse fonctionnent en parallèle pour identifier les menaces.
Tableau : Techniques de détection des NDR et leurs applications
Les plateformes NDR modernes combinent ces techniques plutôt que de s'appuyer sur une seule approche. L'analyse comportementale établit ce qui est « normal » pour chaque segment de réseau, type d'appareil et population d'utilisateurs. Les modèles d'apprentissage automatique classent ensuite les écarts comme des anomalies bénignes ou des menaces réelles. Selon la présentation générale du NDR de Cisco, cette approche multicouche réduit considérablement les taux de faux positifs qui nuisent à la détection basée uniquement sur les signatures.
La majorité du trafic des entreprises étant désormais cryptée, les outils NDR ont développé des techniques sophistiquées pour extraire les informations sur les menaces à partir des sessions cryptées sans avoir besoin de les décrypter.
Le fingerprinting JA3/JA3S crée des identifiants uniques à partir des messages TLS client et serveur hello. Ces empreintes identifient des applications spécifiques, malware et des outils d'attaque, indépendamment de la destination ou des détails du certificat. Les empreintes JA3 malveillantes connues permettent de détecter les communications de commande et de contrôle, même lorsque le trafic est crypté.
La corrélation DNS mappe les connexions cryptées à leurs domaines résolus, révélant ainsi les connexions à des infrastructures suspectes ou connues pour être malveillantes. Associée à des flux de renseignements sur les menaces, l'analyse DNS identifie les balises C2, les algorithmes de génération de domaines et les canaux d'exfiltration de données.
L'analyse du timing du trafic examine les modèles de connexion, notamment les intervalles entre les balises, la durée des sessions et la cadence des paquets. Les cadres de commande et de contrôle automatisés produisent des signatures de timing distinctives qui persistent même après le chiffrement.
L'analyse des certificats inspecte les métadonnées des certificats TLS, notamment l'émetteur, la période de validité et les attributs du sujet. Les certificats auto-signés, les certificats récemment émis et les certificats présentant des attributs suspects indiquent souvent une infrastructure malveillante.
La détection sans réponse entraîne une lassitude face aux alertes. Les outils NDR modernes offrent des options de réponse automatisées et semi-automatisées qui permettent une maîtrise rapide.
La génération d'alertes avec hiérarchisation classe les détections par gravité et niveau de confiance, aidant ainsi les analystes à se concentrer sur les menaces réelles. Le blocage automatisé peut mettre fin aux connexions vers des destinations malveillantes ou mettre en quarantaine les hôtes infectés. L'intégration avec les plateformes SOAR déclenche des scénarios de réponse complets qui coordonnent les actions entre les différents outils de sécurité. La capture de paquets à des fins d'analyse préserve les preuves réseau pour les enquêtes post-incident et la recherche de menaces.
Les outils NDR excellent dans des scénarios de menaces spécifiques où la visibilité du réseau offre des avantages que les autres outils de sécurité ne peuvent égaler.
Les mouvements latéraux (les attaquants se déplaçant entre les systèmes internes après une compromission initiale) constituent le cas d'utilisation le plus courant du NDR. Selon l'analyse de Palo Alto Networks, la surveillance du trafic est-ouest permet de détecter les attaquants qui utilisent des identifiants compromis pour accéder à d'autres systèmes, ce que les outils périmétriques et même les EDR peuvent manquer lorsque des identifiants légitimes sont utilisés.
NDR détecte les mouvements latéraux grâce aux écarts de comportement : un poste de travail accédant soudainement à des serveurs de fichiers auxquels il n'avait jamais touché auparavant, des tentatives d'authentification sur des systèmes en dehors des schémas habituels ou des connexions RDP à des heures inhabituelles. Ces signaux précèdent souvent le déploiement d'un ransomware de plusieurs jours, voire plusieurs semaines.
MITRE ATT&CK associe le mouvement latéral à la tactique TA0008, qui englobe des techniques telles que T1021 (Services à distance) que les outils NDR ciblent spécifiquement.
Les attaques par ransomware ont augmenté de 47 % en 2025, les pirates informatiques ne déployant le chiffrement qu'après de longues phases de reconnaissance et de préparation des données. Selon l'analyse de la défense contre les ransomwares réalisée par ExtraHop, le NDR fournit une alerte précoce essentielle en détectant les indicateurs précédant le chiffrement : communications C2 établissant le contrôle du pirate informatique, mouvements latéraux étendant l'accès et préparation des données en vue de leur exfiltration.
Au moment où le chiffrement commence, l'attaque a déjà réussi. Le NDR permet la détection et la réponse pendant les phases de préparation, lorsqu'il est encore possible de contenir l'attaque.
Les communications de commande et de contrôle permettent aux pirates de maintenir un accès permanent et de recevoir des instructions. Les outils NDR identifient les C2 grâce à des modèles de balises : des intervalles réguliers entre les vérifications qui restent constants même lorsqu'ils sont dissimulés sous forme de trafic légitime.
Les tentatives de C2 et de tunneling basées sur le DNS apparaissent sous forme de modèles de requêtes inhabituels : volumes élevés de requêtes vers des domaines uniques, données encodées dans les requêtes DNS ou requêtes vers des domaines nouvellement enregistrés. NDR associe ces comportements à MITRE ATT&CK TA0011 (Command and Control).
individu et l'exfiltration de données génèrent des artefacts réseau que l'analyse comportementale peut identifier. Les modèles de mouvement de données inhabituels (transferts volumineux vers des destinations externes, téléchargements vers cloud en dehors des heures normales ou trafic sortant codé) déclenchent des détections NDR, même lorsque individu identifiants d'accès légitimes.
Le rapport Verizon 2025 Data Breach Investigations Report a révélé que 88 % des violations impliquaient des identifiants volés ou compromis. Lorsque les pirates utilisent des identifiants valides, le comportement du réseau constitue souvent le seul moyen de détection.
Les équipes de sécurité demandent souvent quel est le rapport entre le NDR et les autres technologies de détection. La réponse : ces outils couvrent différents domaines de visibilité et fonctionnent mieux ensemble.
Tableau : Comparaison entre NDR, EDR, XDR, IDS et SIEM
Endpoint et la réponseEndpoint (EDR) surveille les processus, les fichiers et l'activité du registre sur chaque terminal. L'EDR excelle dans malware , l'identification des exécutables malveillants et la fourniture d'informations détaillées sur endpoint .
Les solutions NDR et EDR comblent des lacunes fondamentalement différentes en matière de visibilité. Les solutions EDR ne peuvent pas voir le trafic réseau entre les systèmes, tandis que les solutions NDR ne peuvent pas voir les processus exécutés sur les terminaux. Selon la comparaison effectuée par SentinelOne, les entreprises parviennent à mettre en place une défense en profondeur en déployant les deux types de solutions : les solutions EDR détectent malware atteignent les terminaux, tandis que les solutions NDR détectent les attaquants qui se déplacent entre les systèmes ou communiquent avec des infrastructures externes.
NDR couvre également les appareils qui ne peuvent pas exécuter d'agents EDR, tels que les appareils IoT, les technologies opérationnelles, les systèmes hérités et les appareils réseau. Cette approche sans agent est essentielle pour garantir une sécurité réseau complète .
La détection et la réponse étendues (XDR) intègrent plusieurs sources de télémétrie ( endpoint, réseau, cloud, identité) dans une plateforme unifiée de détection et de réponse. La XDR vise à corréler les signaux entre les domaines, en identifiant les modèles d'attaque qui couvrent plusieurs couches de visibilité.
Le NDR peut fonctionner de manière autonome ou comme composant au sein d'architectures XDR. De nombreuses organisations déploient des solutions NDR spécialisées parallèlement à des plateformes XDR lorsqu'elles ont besoin d'une visibilité réseau approfondie qui dépasse celle offerte par le NDR intégré au XDR. Le marché du XDR devrait atteindre 30,86 milliards de dollars américains d'ici 2030, reflétant la demande croissante en matière d'opérations de sécurité unifiées.
Les systèmes traditionnels de détection d'intrusion (IDS) reposent principalement sur la détection basée sur les signatures, qui consiste à comparer le trafic réseau à des modèles d'attaques connus. Les IDS détectent rapidement les menaces connues, mais échouent face aux nouvelles attaques, au trafic crypté et aux pirates utilisant des techniques « living-off-the-land ».
Le NDR représente l'évolution moderne de la détection basée sur le réseau. Si les outils NDR peuvent inclure la détection par signature comme l'un de leurs composants, l'analyse comportementale et l'apprentissage automatique permettent de détecter les menaces inconnues. Le NDR offre également des capacités de réponse dont les IDS traditionnels sont dépourvus.
Les organisations qui migrent d'un système IDS vers un système NDR doivent prévoir une période de transition pour l'établissement des bases de référence et le réglage. L'approche comportementale nécessite de comprendre les modèles de trafic normaux avant de pouvoir identifier efficacement les anomalies.
Les plateformes SIEM (Security Information and Event Management) regroupent les journaux de toute l'entreprise, permettant ainsi la corrélation, la création de rapports de conformité et la conservation à long terme. Les SIEM fournissent des fonctionnalités essentielles pour les opérations de sécurité, mais dépendent entièrement des informations enregistrées.
Le NDR comble les lacunes de visibilité du SIEM. Le trafic réseau capture des activités qui peuvent ne jamais apparaître dans les journaux : systèmes non surveillés, appareils qui ne prennent pas en charge la journalisation ou pirates qui désactivent la journalisation après avoir compromis le système. Le déploiement combiné permet une corrélation puissante : le SIEM détecte les anomalies d'authentification tandis que le NDR détecte les mouvements latéraux qui s'ensuivent.
Une enquête Forbes a révélé que 44 % des organisations prévoient de remplacer leurs SIEM en 2025. Cependant, ce remplacement implique souvent une augmentation des capacités de détection natives du réseau plutôt qu'une suppression des capacités d'agrégation des journaux.
Pour détecter efficacement les menaces, il faut comprendre où se situe le NDR dans l'architecture globale des opérations de sécurité et comment il s'intègre aux cadres d'attaque.
La triade de visibilité SOC, un cadre popularisé par les analystes en sécurité, identifie trois capacités de détection comme essentielles pour une couverture complète :
Selon l'analyse de Corelight, les organisations qui ne disposent pas de l'un des trois piliers présentent d'importantes lacunes. Un nouveau « quintette de visibilité SOC » élargit ce modèle pour inclure des piliers dédiés cloud à la détection des identités.
NDR détecte les menaces à plusieurs étapes du cycle de vie d'une attaque. Mappage vers le MITRE ATT&CK :
Le rapport Mandiant M-Trends 2024 a révélé que la durée médiane mondiale d'une intrusion était de 10 jours, soit le temps écoulé entre la compromission initiale et la détection de la menace. L'approche comportementale de NDR permet de réduire considérablement ce délai en détectant les attaques à un stade précoce.
NDR offre une valeur maximale lorsqu'il est intégré à l'infrastructure de sécurité existante.
L'intégration SIEM enrichit la détection basée sur les journaux avec le contexte réseau. La corrélation entre les journaux d'authentification et les anomalies du trafic réseau produit des alertes plus fiables.
L'intégration SOAR permet de déclencher des scénarios de réponse automatisés à partir des détections NDR. L'isolation des hôtes, les mises à jour des règles de pare-feu et la création de cas peuvent s'exécuter automatiquement en fonction du niveau de confiance et de la gravité de la détection.
L'intégration EDR offre une visibilité complète sur les attaques. Lorsque NDR détecte un mouvement latéral, EDR fournit endpoint indiquant ce que l'attaquant a exécuté sur les systèmes cibles.
L'intégrationCloud étend la visibilité aux environnements IaaS, SaaS et hybrides. Les solutions NDR modernes s'intègrent à AWS VPC Flow Logs, Azure Network Watcher et GCP audit logs pour une couverture cloud.
Les organisations qui évaluent les outils NDR doivent examiner plusieurs critères clés en fonction de la maturité de leurs opérations de sécurité et de leurs besoins en matière d'infrastructure.
L'efficacité de la détection englobe les taux de faux positifs, la couverture MITRE ATT&CK et la capacité à détecter les menaces dans le trafic crypté. Demandez des références provenant d'environnements similaires et demandez aux fournisseurs des benchmarks de détection.
L'approche en matière d'apprentissage automatique varie selon les fournisseurs. L'apprentissage supervisé nécessite des données d'entraînement étiquetées, mais produit des résultats interprétables. L'apprentissage non supervisé détecte les anomalies nouvelles, mais peut générer davantage de faux positifs au départ. La plupart des solutions matures combinent les deux approches.
La visibilité du réseau doit couvrir le trafic interne est-ouest, le trafic externe nord-sud et les environnements cloud . Vérifiez la profondeur de la prise en charge des protocoles : la solution est-elle capable d'analyser les protocoles spécifiques de vos applications ?
Les capacités de réponse vont de la simple alerte à la maîtrise entièrement automatisée. Évaluez le niveau d'intégration SIEM et SOAR, et vérifiez que les mesures de réponse peuvent être personnalisées en fonction de vos besoins opérationnels.
La flexibilité de déploiement inclut des capteurs sur site, des analyses cloud ou des modèles hybrides. Évaluez la capacité de débit par capteur par rapport à vos volumes de trafic et déterminez des attentes réalistes en matière de délai de rentabilisation.
Lorsqu'elles évaluent les solutions NDR, les équipes de sécurité doivent se poser les questions suivantes :
Le marché NDR continue d'évoluer rapidement, sous l'impulsion des progrès de l'IA, cloud et de la convergence avec les catégories de sécurité adjacentes.
Le premier Magic Quadrant de Gartner pour les solutions NDR, publié en mai 2025, a désigné Vectra AI, Darktrace, ExtraHop et Corelight comme leaders. Cette reconnaissance témoigne de la maturité du marché et de l'adoption croissante de ces solutions par les entreprises.
Parmi les principales tendances du marché, on peut citer le déploiement de solutions NDR cloud. Gartner prévoit que d'ici 2029, plus de 50 % des incidents détectés par les solutions NDR proviendront cloud . L'IA générative améliore la synthèse des alertes et l'aide à l'investigation. La corrélation entre les identités et les réseaux améliore la détection de l'utilisation d'identifiants compromis.
Plusieurs développements façonnent l'évolution de NDR :
La détection basée sur l'IA continue d'améliorer la précision tout en réduisant les faux positifs. Les systèmes basés sur l'IA détectent désormais les attaques jusqu'à 85 % plus rapidement que les outils conventionnels, avec des taux de précision supérieurs à 98 % pour l'identification des modèles de trafic malveillant.
La convergence XDR intègre certaines fonctionnalités NDR dans des plateformes plus larges, mais le NDR spécialisé conserve ses avantages pour les organisations qui ont besoin d'une expertise réseau approfondie.
Zero trust positionne NDR comme la couche de vérification continue qui valide les hypothèses de confiance en temps réel. Le cadre Zero Trust du NIST identifie spécifiquement la surveillance continue du réseau comme une exigence fondamentale.
Les facteurs réglementaires, notamment la directive NIS2 en Europe et la directive DORA pour les services financiers, imposent des capacités de surveillance des réseaux, accélérant ainsi l'adoption des NDR dans les secteurs réglementés.
Attack Signal Intelligence Vectra AIrépond au défi fondamental auquel sont confrontées les opérations de sécurité : trop d'alertes, pas assez d'analystes. Les équipes de sécurité étant incapables d'examiner 67 % des alertes quotidiennes (dont 83 % sont des faux positifs selon une étude sectorielle ), le volume de détection sans hiérarchisation entraîne une paralysie opérationnelle.
Vectra AI corrèle les signaux entre cloud réseau, identité et cloud à l'aide de plus de 170 modèles d'IA et 36 brevets. Plutôt que d'alerter pour chaque anomalie, le système hiérarchise les détections en fonction des modèles de comportement des attaquants, mettant en évidence les attaques les plus importantes tout en réduisant le bruit qui submerge les capacités des analystes.
Cette approche repose sur un principe fondamental : les pirates informatiques intelligents finiront toujours par trouver une faille. La question est de savoir si les équipes de sécurité parviendront à les détecter avant qu'ils ne causent des dommages.
Le marché NDR va connaître une transformation importante au cours des 12 à 24 prochains mois, à mesure que les capacités de l'IA mûrissent, que cloud s'accélère et que les exigences réglementaires s'étendent.
La détection native à l'IA passe du statut de fonctionnalité à celui de fondement. D'ici 2026, l'IA passera de l'assistance aux analystes humains à la détection autonome et à la réponse initiale. Les organisations doivent évaluer attentivement les feuilles de route des fournisseurs en matière d'IA, car l'écart entre les leaders et les retardataires va considérablement se creuser.
Les architecturesCloud modifient les modèles de trafic. Les applications cloud générant la majeure partie du trafic des entreprises, les solutions NDR doivent évoluer au-delà du déploiement de capteurs sur site. Il faut s'attendre à des investissements continus dans l'intégration cloud et les capacités d'analyse fournies par le SaaS.
La corrélation entre l'identité et le réseau représente la prochaine frontière en matière de détection. Étant donné que 88 % des violations impliquent des identifiants compromis, le fait de relier le comportement du réseau au contexte de l'identité permet de détecter les abus d'identifiants légitimes qu'aucun outil ne peut détecter à lui seul. Des solutions telles que la détection et la réponse aux menaces liées à l'identité répondent à cette convergence.
L'élargissement de la réglementation au-delà des directives NIS2 et DORA entraînera l'adoption obligatoire de solutions NDR pour se conformer à la réglementation. Les organisations doivent suivre les réglementations en cours d'élaboration dans leurs juridictions d'exploitation et s'assurer que les capacités NDR sont conformes aux exigences en matière de surveillance.
La pression exercée par la consolidation éliminera les petits fournisseurs de NDR. Le premier Magic Quadrant de Gartner a identifié des leaders incontestables, et les acteurs de second rang sont déjà en train de quitter le marché. Les entreprises doivent évaluer la viabilité des fournisseurs et les feuilles de route en matière d'interopérabilité XDR afin de pérenniser leurs investissements.
Les priorités d'investissement doivent se concentrer sur les plateformes natives IA dont l'efficacité de détection est prouvée, dont cloud correspond à l'orientation de l'infrastructure et dont les capacités d'intégration améliorent les opérations de sécurité existantes plutôt que de créer des flux de travail parallèles.
détection et réponse aux incidents NDR) est une technologie de cybersécurité qui surveille le trafic réseau afin de détecter et de répondre aux menaces à l'aide de l'analyse comportementale et de l'apprentissage automatique. Contrairement aux outils basés sur les signatures qui ne détectent que les menaces connues, la NDR établit des références de comportement réseau normal et identifie les écarts qui indiquent des attaques potentielles. Cette approche détecte les nouvelles menaces, le trafic malveillant crypté et les attaquants utilisant des identifiants légitimes. Les outils NDR analysent à la fois le trafic nord-sud (vers et depuis les réseaux externes) et le trafic est-ouest (entre les systèmes internes), offrant une visibilité que endpoint ne peuvent égaler. Cette technologie comprend des capacités de réponse (blocage automatisé, isolation des hôtes et intégration avec les plateformes SOAR) permettant une maîtrise rapide lorsque des menaces sont détectées.
Le NDR surveille le trafic réseau à la recherche de menaces à l'aide d'analyses comportementales, tandis que l'EDR surveille endpoint , les fichiers et l'activité du registre. Le NDR se déploie sans agent via des TAP réseau et des ports SPAN, offrant une visibilité sur les mouvements latéraux, le trafic crypté et les appareils qui ne peuvent pas exécuter d'agents (IoT, OT, systèmes hérités). L'EDR nécessite l'installation d'agents sur chaque endpoint fournit des détails approfondis sur malware et l'activité des fichiers. Ces outils couvrent différents domaines de visibilité : l'EDR ne peut pas voir le trafic réseau entre les systèmes, tandis que le NDR ne peut pas voir les processus qui s'exécutent sur les terminaux. La plupart des équipes de sécurité déploient les deux dans le cadre de la triade de visibilité SOC, afin d'obtenir une défense en profondeur où le NDR détecte les attaques réseau et l'EDR détecte malware endpoint.
NDR analyse le trafic chiffré sans le déchiffrer, grâce à des techniques d'analyse des métadonnées et du comportement. Le fingerprinting JA3/JA3S crée des identifiants uniques à partir des paramètres de négociation TLS, ce qui permet d'identifier des applications spécifiques et malware connues, quel que soit le chiffrement utilisé. La corrélation DNS mappe les connexions chiffrées à leurs domaines résolus, révélant ainsi les communications avec des infrastructures suspectes. L'analyse du timing du trafic examine les intervalles entre les balises, la durée des sessions et la cadence des paquets, des modèles qui persistent malgré le chiffrement et révèlent des cadres de commande et de contrôle automatisés. L'inspection des métadonnées des certificats identifie les attributs suspects tels que les certificats auto-signés, les dates d'émission récentes ou les champs de sujet anormaux. Combinées, ces techniques permettent d'extraire des informations importantes sur les menaces à partir de sessions chiffrées sans nécessiter d'infrastructure de déchiffrement coûteuse.
Le NDR et le SIEM ont des objectifs complémentaires plutôt que concurrents. Le SIEM agrège les journaux de toute l'entreprise à des fins de corrélation, de reporting de conformité et de conservation à long terme, des fonctionnalités essentielles pour les opérations de sécurité et les exigences réglementaires. Cependant, le SIEM dépend entièrement de ce qui est consigné dans les journaux. Le NDR comble ces lacunes en matière de visibilité en analysant le trafic réseau réel, en capturant l'activité des appareils qui ne prennent pas en charge la journalisation, des systèmes non surveillés ou des attaquants qui désactivent la journalisation après avoir compromis le système. Le déploiement combiné crée une corrélation puissante : le SIEM détecte les anomalies d'authentification dans les journaux tandis que le NDR détecte les mouvements latéraux subséquents dans le trafic. Les organisations déploient généralement les deux, le NDR fournissant des détections hautement fiables au SIEM pour les corréler avec d'autres sources de télémétrie.
Le XDR intègre plusieurs sources de détection ( endpoint, réseau, cloud et télémétrie d'identité) dans une plateforme unifiée pour la corrélation et la réponse interdomaines. Le NDR est spécialisé dans l'analyse du trafic réseau et offre une visibilité approfondie sur les modèles de trafic, les communications cryptées et les mouvements latéraux. Le NDR peut fonctionner de manière autonome ou comme composant au sein d'architectures XDR. Les organisations ayant des besoins de visibilité réseau basiques peuvent trouver le NDR intégré au XDR suffisant. Celles qui ont besoin d'une expertise réseau spécialisée (analyse complexe du trafic crypté, surveillance est-ouest étendue ou visibilité OT/IoT) déploient souvent un NDR dédié en parallèle du XDR. Pour les équipes disposant de ressources limitées, les services de détection et de réponse gérés peuvent renforcer les capacités internes. Le marché du XDR connaît une croissance rapide (30,86 milliards de dollars prévus d'ici 2030), de nombreux fournisseurs de NDR étendant leurs capacités vers le XDR tout en conservant leur spécialisation réseau.
Le NDR détecte les ransomwares en identifiant les indicateurs de pré-chiffrement pendant les phases de préparation de l'attaque. Les attaques par ransomware se déroulent en plusieurs étapes : accès initial, établissement de la commande et du contrôle, mouvement latéral pour étendre l'accès, élévation des privilèges, mise en place des données pour l'exfiltration et enfin déploiement du chiffrement. Le NDR détecte les communications C2 grâce à des modèles de balisage et des connexions à des infrastructures malveillantes. Il identifie les mouvements latéraux lorsque les attaquants se propagent entre les systèmes à l'aide d'identifiants compromis. La mise en place des données se traduit par des modèles de trafic inhabituels : mouvements internes de données importants, connexions à des serveurs de fichiers précédemment intacts ou trafic à des heures anormales. En détectant ces activités préparatoires, le NDR permet de réagir avant le début du chiffrement. Une fois le chiffrement lancé, l'attaque a déjà réussi ; l'intérêt du NDR réside dans sa capacité à détecter les étapes précédentes.
Les principales fonctionnalités du NDR comprennent l'analyse comportementale qui établit des références et détecte les activités anormales, l'apprentissage automatique qui classe les menaces tout en réduisant les faux positifs, et l'analyse du trafic crypté grâce à l'inspection des métadonnées et à l'empreinte TLS. La surveillance du trafic est-ouest offre une visibilité sur les mouvements latéraux que les outils périmétriques ne permettent pas d'obtenir. Les capacités de réponse automatisée permettent l'isolation des hôtes, le blocage des connexions et l'intégration avec les playbooks SOAR. L'intégration SIEM alimente les détections dans des workflows de corrélation plus larges. La capture de paquets à des fins d'analyse préserve les preuves pour les enquêtes et la recherche de menaces. La prise en charge Cloud via l'intégration API étend la visibilité au-delà des réseaux sur site. L'analyse au niveau du protocole permet de visualiser les comportements spécifiques des applications. Enfin, l'intégration des renseignements sur les menaces permet de détecter les indicateurs connus comme étant malveillants ainsi que les anomalies comportementales.