Passer au contenu
Français
Se connecter
Stoïk
  • Il n'y a aucune suggestion car le champ de recherche est vide.

Gestion des flux métiers : règles d'exclusions avec un EDR

 

La gestion des flux applicatifs via des règles d’exclusion est une approche propre aux antivirus traditionnels, mais elle ne s’applique pas à un EDR comme CrowdStrike ou SentinelOne. 

  1. Différence de fonctionnement entre antivirus et EDR
  2. Prévention intelligente et gestion réactive des exclusions
  3. Les exclusions ne doivent pas être faites en amont

1. Différence de fonctionnement entre antivirus et EDR

  • Antivirus : analyse de manière proactive l’ensemble des fichiers dormants du système (qu’ils soient exécutés ou non).

    • Cela génère un volume important de scans et nécessite des exclusions nombreuses pour éviter les faux positifs sur des fichiers inactifs.

  • EDR (CrowdStrike, SentinelOne) : se concentre uniquement sur les fichiers réellement exécutés et les comportements dynamiques du système (processus, connexions, actions utilisateurs, etc.).

    • Aucun scan massif de l’ensemble du disque n’est effectué en continu.

    • Les fichiers inactifs ne sont pas analysés (sauf scan manuel).

2. Prévention intelligente et gestion réactive des exclusions

CrowdStrike intègre une série de mécanismes préventifs pour limiter les faux positifs sans intervention manuelle :

  • Des listes d’exclusion préconfigurées sont appliquées automatiquement lors du déploiement.

  • En cas de détection douteuse sur une application métier, le programme est :

    • Temporairement bloqué

    • Puis analysé par notre SOC avant toute action définitive

❗ Afin d'éviter de potentielles interruptions métiers indésirables, l'isolation complète est réalisée uniquement manuellement après analyse par notre équipe SOC, ou par vous.

3. Les exclusions ne doivent pas être faites en amont

Tenter d’anticiper les exclusions avant même la détection représente un risque majeur :

  • Cela revient à exclure à l’avance des comportements potentiellement malveillants, simplement parce qu’ils sont associés à un logiciel métier connu.

  • Résultat : vous risquez de neutraliser la capacité de détection de l’EDR, en laissant passer certaines attaques sous le radar.

👉 Chez Stoïk, les exclusions sont gérées uniquement en réaction à une détection réelle, sur la base de l’analyse du SOC. 

En savoir plus sur le paramétrage de l'EDR par le SOC Stoïk

 

Conclusion : les exclusions dans un EDR sont beaucoup moins nombreuses et effectuées uniquement lorsqu'un blocage est constaté.

Il n'est ni nécessaire, ni souhaitable, d'ajouter des règles d'exclusion "préventives" comme avec un antivirus classique.

 

Exemple concret : Un de nos clients (acteur national de la distribution) comptait plus de 3 000 postes, avec plusieurs milliers d’exclusions dans son antivirus précédent.

➡️ Avec CrowdStrike : aucune exclusion n'a été nécessaire.