Skip to main content

NDR – Network Detection and Response

1. Définition

NDR signifie "Network Detection and Response", en français "Détection et Réponse sur le Réseau".

C’est une solution de cybersécurité qui se concentre sur la surveillance en temps réel du trafic réseau pour détecter des comportements suspects ou malveillants, puis y répondre rapidement.

2. Objectif

L’objectif du NDR est de :

  • Identifier les menaces invisibles depuis les terminaux, car certaines attaques ne laissent pas de trace évidente sur les postes.

  • Surveiller le réseau pour repérer des anomalies, mouvements latéraux d’attaquants, exfiltration de données ou communication avec des serveurs malveillants.

  • Réagir automatiquement ou assister les analystes dans la réponse aux incidents détectés.

3. Fonctionnement

Le NDR agit en :

  • Capturant et analysant le trafic réseau en temps réel, souvent via des sondes placées à des points stratégiques (pare-feu, routeurs, switchs).

  • Utilisant des techniques avancées comme le machine learning, l’analyse comportementale, et la détection d’anomalies pour repérer des activités inhabituelles.

  • Générant des alertes lorsqu’une menace potentielle est détectée.

  • Possiblement automatisant la réponse, par exemple en bloquant une adresse IP ou en isolant un segment de réseau.

4. Ce que surveille le NDR

  • Les communications internes entre machines (déplacements latéraux)

  • Les connexions vers l’extérieur (exfiltration, command and control)

  • Les protocoles réseau et leurs anomalies (DNS, HTTP, SMB, etc.)

  • Les comportements suspects comme un volume anormal de données transférées

5. Avantages du NDR

  • Visibilité complète sur le réseau et tous ses flux

  • Détection de menaces non visibles sur les terminaux (ex. attaque par phishing où le poste ne montre rien)

  • Complément idéal au EDR, car il détecte les attaques en se basant sur le comportement réseau

  • Réduction des risques liés aux attaques internes ou mouvements latéraux

  • Détection rapide d’exfiltration de données

6. Limites

  • Nécessite un déploiement adapté pour capturer tout le trafic important

  • Peut générer des faux positifs sans une bonne calibration

  • Analyse souvent lourde à gérer pour de très grands réseaux

  • Doit être intégré dans une stratégie globale (avec SOC, EDR, SIEM…)

7. Exemples de solutions NDR

  • Darktrace

  • Vectra AI

  • Cisco Stealthwatch

  • ExtraHop Reveal(x)

  • Corelight

8. Exemple d’utilisation concrète

Un attaquant a réussi à pénétrer un poste mais ne déclenche pas d’alerte EDR car il utilise un malware sans fichier.

Le NDR détecte qu’une machine interne commence à communiquer vers un serveur inconnu à l’étranger avec un volume de données important.

Une alerte est générée, et une action est prise pour bloquer cette communication, limitant ainsi l’exfiltration de données.

Résumé

Élément Description
Nom NDR (Network Detection and Response)
But Surveiller et analyser le trafic réseau pour détecter et répondre aux menaces
Cible Réseau interne, flux, protocoles, communications
Avantages Visibilité réseau complète, détection de menaces invisibles sur terminaux, lutte contre mouvements latéraux et exfiltration
Limites Nécessite un déploiement précis, peut générer des faux positifs, nécessite une gestion adaptée
Utilisateurs typiques SOC, équipes sécurité réseaux, grandes entreprises
Back to top