Résumé exécutif
Ce guide présente les technologies NDR (Network Detection and Response) en 2026, leur rôle essentiel dans la triade de visibilité du SOC moderne aux côtés du SIEM et de l'EDR, les critères de choix entre solutions commerciales et open source, et les stratégies de déploiement pour maximiser la détection des menaces réseau. Le NDR apporte une couche de détection indépendante et complémentaire en analysant le trafic réseau brut, capable d'identifier les mouvements latéraux, les communications C2 chiffrées et les exfiltrations de données que les solutions endpoint et les règles SIEM ne voient pas. Nous comparons les approches par signatures, par analyse comportementale et par machine learning, avec un focus particulier sur la détection dans le trafic chiffré qui représente désormais plus de 85% du trafic web.
Le NDR (Network Detection and Response) s'est imposé comme le troisième pilier de la triade de visibilité du SOC moderne, aux côtés du SIEM et de l'EDR. Dans un contexte où les attaquants utilisent des techniques de plus en plus furtives pour contourner les détections endpoint et les règles de corrélation SIEM, la visibilité réseau apporte une couche de détection indépendante et complémentaire qui couvre des angles morts critiques. Le trafic réseau ne ment pas : même un attaquant qui utilise des techniques Living off the Land parfaitement camouflées sur les endpoints génère nécessairement du trafic réseau quand il se déplace latéralement, communique avec son infrastructure de commandement et contrôle, ou exfiltre des données. En 2026, les solutions NDR ont considérablement évolué grâce à l'intégration de modèles d'intelligence artificielle avancés capables de modéliser le comportement normal de chaque entité du réseau et de détecter les anomalies subtiles en temps réel, même dans le trafic chiffré. Ce guide vous fournit les clés pour comprendre les technologies NDR, choisir la solution adaptée à votre environnement, la déployer efficacement et l'intégrer dans les workflows de détection et de réponse de votre SOC pour une couverture maximale des menaces réseau.
Retour d'expérience : Le déploiement d'un NDR dans un environnement industriel (5 sites, 8 000 endpoints, trafic IT/OT mixte) a permis d'identifier en 6 semaines 3 communications C2 dormantes passées inaperçues par l'EDR (tunnelées dans du trafic DNS légitime), 2 cas de mouvement latéral utilisant des protocoles d'administration légitimes, et 1 exfiltration de données lente via HTTPS vers un service cloud de stockage personnel.
Technologies NDR et approches de détection
Les solutions NDR utilisent deux approches complémentaires de détection réseau. L'approche par signatures et règles utilise des patterns connus pour identifier le trafic malveillant : signatures Suricata/Snort pour détecter les exploits réseau, règles JA3/JA3S pour identifier les empreintes TLS des outils malveillants connus, et listes de réputation IP/domaine pour détecter les communications vers des infrastructures C2 identifiées. Cette approche est efficace pour les menaces connues mais impuissante face aux techniques inédites ou personnalisées. L'approche par analyse comportementale et machine learning modélise le comportement normal de chaque entité du réseau (utilisateur, serveur, poste de travail, équipement IoT) et détecte les écarts significatifs par rapport à cette baseline. Un serveur qui commence soudainement à communiquer avec un nouveau pays, un poste de travail qui scanne des ports inhabituel, ou un flux de données sortant 10 fois supérieur à la normale sont autant d'anomalies que le ML détecte sans nécessiter de signature préalable.
Les solutions NDR modernes combinent ces deux approches avec des capacités de deep packet inspection (DPI) et d'analyse de métadonnées. Le DPI examine le contenu des paquets réseau pour identifier les protocoles et détecter les anomalies protocolaires (un flux HTTP qui ne respecte pas le standard RFC, un tunnel DNS qui encode des données dans les sous-domaines). L'analyse de métadonnées fonctionne sans inspecter le contenu des paquets, s'appuyant sur les caractéristiques des flux (taille, fréquence, durée, timing) pour détecter les anomalies. Cette approche est particulièrement précieuse pour le trafic chiffré qui représente plus de 85% du trafic web en 2026. L'analyse des métadonnées TLS (durée de la connexion, taille des certificats, patterns de communication) permet de détecter des communications C2 chiffrées sans nécessiter de déchiffrement. Pour approfondir la détection des communications C2, consultez notre article sur l'exfiltration DNS et DoH. Le framework MITRE ATT&CK inclut de nombreuses techniques réseau que le NDR est particulièrement bien positionné pour détecter.
| Solution NDR | Approche | Forces | Déploiement | Coût indicatif |
|---|---|---|---|---|
| Darktrace | IA non supervisée | Détection anomalies, UI intuitive | Appliance / Cloud | 100-300k EUR/an |
| Vectra AI | IA supervisée + non supervisée | Prioritisation AI, intégration XDR | Appliance / Cloud | 80-250k EUR/an |
| Corelight | Zeek + signatures | Données réseau riches, open source core | Appliance / VM | 60-200k EUR/an |
| ExtraHop | DPI + ML | Visibilité protocolaire profonde | Appliance / Cloud | 80-250k EUR/an |
| Zeek (OSS) | Analyse métadonnées | Gratuit, flexible, communauté | Serveur Linux | Infrastructure seule |
| Suricata (OSS) | Signatures IDS/IPS | Gratuit, règles ET/Snort | Serveur Linux | Infrastructure seule |
Comment déployer un NDR efficacement ?
Le déploiement d'un NDR nécessite une planification rigoureuse de l'architecture de capture du trafic. Le choix des points de capture détermine la visibilité du NDR. Les points critiques incluent le périmètre internet (entre le pare-feu et le réseau interne) pour détecter les communications C2, les exfiltrations et les accès malveillants entrants, les points d'interconnexion entre segments réseau (entre le réseau utilisateur et les serveurs, entre l'IT et l'OT) pour détecter le mouvement latéral inter-segments, et les accès aux ressources critiques (devant les contrôleurs de domaine, les serveurs de fichiers, les bases de données sensibles) pour détecter les accès non autorisés. La capture se fait généralement via des TAP réseau (Test Access Points) ou des ports miroir (SPAN) sur les switches. Les TAP sont préférables car ils garantissent une copie fidèle du trafic sans impact sur les performances réseau, tandis que les ports SPAN peuvent perdre des paquets sous charge élevée.
Le dimensionnement du NDR dépend du débit réseau à analyser. Pour un lien 10 Gbps, prévoyez un appliance ou un serveur capable de traiter ce débit en temps réel, avec un stockage suffisant pour conserver les métadonnées réseau pendant 30 à 90 jours (comptez environ 1 Go de métadonnées par Go de trafic brut pour Zeek, et 10 à 50 Go par jour pour un lien 1 Gbps). Le trafic chiffré nécessite une attention particulière. Le déchiffrement TLS via un proxy ou un middleware SSL est possible mais pose des questions de confidentialité et de performance. L'alternative recommandée est l'analyse des métadonnées TLS qui offre une détection significative sans nécessiter de déchiffrement. Pour les environnements hybrides avec du trafic cloud, les solutions NDR cloud-native analysent les flow logs VPC et les métadonnées de trafic cloud en complément de la capture on-premise. Consultez les recommandations de l'ANSSI pour les architectures de supervision réseau et notre article sur la sécurité OT/ICS pour les contraintes spécifiques aux réseaux industriels.
Pourquoi le NDR est-il essentiel face au trafic chiffré ?
L'augmentation constante du trafic chiffré rend les approches de détection traditionnelles basées sur l'inspection du contenu de moins en moins efficaces. En 2026, plus de 85% du trafic web et plus de 70% du trafic interne des entreprises sont chiffrés en TLS/SSL. Les attaquants exploitent ce chiffrement pour masquer leurs communications C2 et leurs exfiltrations. Le NDR répond à ce défi grâce à l'analyse comportementale du trafic chiffré. Les métadonnées TLS (taille et fréquence des paquets, durée des sessions, certificats utilisés, empreintes JA3) contiennent suffisamment d'informations pour identifier des patterns malveillants sans déchiffrer le contenu. Par exemple, un beacon C2 typique présente des patterns de communication réguliers (intervalle fixe + jitter) avec des tailles de paquets uniformes, facilement distinguables du trafic de navigation web humain qui est irrégulier et varié. Les modèles de ML entraînés sur des millions de sessions TLS légitimes et malveillantes atteignent des taux de détection supérieurs à 90% pour les C2 chiffrés avec moins de 5% de faux positifs, selon les benchmarks indépendants. Pour les attaquants utilisant des services légitimes comme canal C2 (cloud storage, réseaux sociaux), l'analyse du volume et du timing des échanges reste efficace même quand le domaine de destination est légitime. Consultez notre article sur les techniques Living off the Land pour comprendre comment les attaquants masquent leur trafic dans des protocoles légitimes.
Intégration du NDR dans l'écosystème SOC
Le NDR atteint sa pleine valeur quand il est intégré avec le SIEM et l'EDR dans une approche de détection coordonnée. L'intégration NDR-SIEM permet de corréler les alertes réseau avec les événements de sécurité des systèmes. Une alerte NDR signalant une communication suspecte vers une IP externe peut être corrélée avec un événement d'authentification anormal sur le même hôte, transformant deux signaux faibles en un incident de haute confiance. L'intégration NDR-EDR permet une réponse coordonnée : quand le NDR détecte un mouvement latéral, l'EDR peut automatiquement isoler l'endpoint source pour bloquer la propagation. Les solutions comme Vectra et Elastic Security intègrent nativement des capacités NDR et EDR dans une plateforme unifiée, simplifiant cette corrélation. Pour les organisations utilisant des outils distincts, l'intégration via SOAR permet de créer des playbooks qui orchestrent les réponses entre NDR, SIEM et EDR. Consultez notre comparatif EDR/XDR pour comprendre la complémentarité avec le NDR et notre article sur le threat hunting pour les cas d'usage avancés.
Mon avis : Le NDR est l'investissement le plus sous-estimé dans les SOC français en 2026. Beaucoup d'organisations ont investi massivement dans le SIEM et l'EDR mais n'ont aucune visibilité réseau interne, se privant de la capacité à détecter le mouvement latéral et les communications C2. Pour les organisations à budget contraint, un déploiement Zeek open source sur les points réseau critiques, avec ingestion des logs dans le SIEM existant, offre un excellent rapport visibilité/coût comme première étape avant un éventuel investissement dans une solution NDR commerciale.
Quelles sont les limites du NDR à connaître ?
Malgré ses atouts, le NDR présente des limites qu'il faut anticiper. La première est la visibilité limitée dans les environnements cloud-native : les architectures serverless, les conteneurs et les communications inter-services dans Kubernetes ne transitent pas nécessairement par des points de capture réseau traditionnels. Les solutions NDR doivent s'adapter avec des capteurs cloud-native ou des intégrations avec les flow logs des fournisseurs cloud. La deuxième limite est le volume de faux positifs des détections comportementales : le ML non supervisé détecte des anomalies mais toutes les anomalies ne sont pas malveillantes. Un déploiement logiciel massif, un changement d'architecture réseau ou un événement business exceptionnel génèrent des anomalies de trafic que le NDR signale comme suspectes. La période d'apprentissage initiale (2 à 4 semaines) et le tuning continu sont essentiels pour réduire ce bruit. La troisième limite concerne la performance : l'analyse en temps réel de liens à haut débit (10 Gbps+) nécessite des ressources de calcul significatives, et le stockage des métadonnées réseau sur plusieurs mois peut devenir coûteux. Consultez notre article sur la forensique mémoire pour des techniques d'investigation complémentaires au NDR.
À retenir : Le NDR complète le SIEM et l'EDR en apportant une visibilité réseau indépendante, particulièrement efficace pour détecter le mouvement latéral, les communications C2 chiffrées et les exfiltrations de données. Le déploiement stratégique sur les points de capture critiques (périmètre, inter-segments, accès ressources sensibles) et l'intégration avec le SIEM et le SOAR sont les clés d'une valeur opérationnelle maximale. Zeek en open source constitue un excellent point d'entrée pour les organisations à budget contraint.
Avez-vous une visibilité sur le trafic réseau interne de votre organisation, ou votre SOC est-il aveugle à tout ce qui se passe entre le pare-feu et les endpoints ?
Perspectives et prochaines étapes
L'avenir du NDR sera marqué par la convergence avec le XDR, l'extension aux environnements cloud-native et l'amélioration continue des modèles d'IA pour réduire les faux positifs. La détection dans le trafic chiffré va continuer de progresser avec des modèles de plus en plus sophistiqués capables de profiler les applications et les protocoles à partir des seules métadonnées. Pour commencer votre projet NDR, identifiez vos trois points de capture réseau prioritaires, déployez Zeek en mode pilote et évaluez la valeur des données réseau avant d'investir dans une solution commerciale complète.
Besoin d'un accompagnement pour déployer un NDR dans votre environnement ? Contactez nos architectes réseau pour un audit et un dimensionnement sur mesure.
Articles connexes
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !