XDR (Extended Detection and Response)

Le XDR (eXtended Detection and Response) est une catégorie qui étend le périmètre de l'EDR au-delà des endpoints pour inclure email, identity (IdP, AD), cloud workloads (VMs, containers, serverless), network (firewalls, IDS, NDR), et SaaS apps. L'objectif est de corréler des signaux provenant de multiples surfaces d'attaque pour détecter des menaces complexes impossibles à voir depuis un seul vecteur — typiquement les attaques modernes qui chaînent phishing email + auth identity + lateral movement endpoint + cloud exfiltration.

Deux approches : (1) Native XDR — un seul vendeur fournit toutes les briques (collecte, analytique, réponse) intégrées nativement : Microsoft Defender XDR (Defender for Endpoint + Identity + Office 365 + Cloud Apps), Palo Alto Cortex XDR, CrowdStrike Falcon Insight XDR + Logscale, Trend Micro Vision One, SentinelOne Singularity XDR ; (2) Open XDR / Hybrid XDR — agrège les données de produits tiers via APIs et applique sa couche analytique : Stellar Cyber, Hunters, IBM QRadar Suite, Securonix.

Différenciateurs vs SIEM traditionnel : XDR est opinionated (modèles de détection pré-construits par le vendeur, optimisés pour son écosystème), tandis que SIEM est generic et nécessite plus de configuration. XDR met l'accent sur la réponse automatique (playbooks built-in), SIEM sur l'investigation et la conformité (rétention longue, compliance reporting).

Use cases différenciants : (1) corrélation phishing email → compromission credential → MFA bypass → lateral movement (détection en quelques minutes vs heures avec outils séparés) ; (2) ransomware detection cross-domain ; (3) supply chain attack detection ; (4) insider threat avec UEBA cross-source.

Limitations : vendor lock-in fort, coût (licensing par utilisateur ou par GB ingéré), interopérabilité limitée avec outils tiers, courbe d'apprentissage pour les playbooks. XDR ne remplace pas le SIEM (compliance, log retention legal) mais le complète.