Un attaquant entré sur un poste de travail ne reste presque jamais sur ce poste. Son objectif se trouve ailleurs : un contrôleur de domaine, un serveur de fichiers, une base de données, un système métier. Pour l’atteindre, il se déplace de machine en machine à travers le réseau interne. Cette phase, appelée mouvement latéral, est le moment où une intrusion se transforme en compromission majeure, et c’est précisément le moment où la plupart des dispositifs de sécurité cessent de voir.
L’EDR observe ce qui se passe sur les machines équipées d’un agent. Le SIEM corrèle les journaux que les sources veulent bien produire. Mais ce qui circule entre les machines, sur le réseau lui-même, reste souvent invisible. C’est le territoire du NDR, le Network Detection and Response. Cet article décrit ce que le NDR détecte réellement, où il complète l’EDR et le SIEM, comment il fonctionne à l’ère du chiffrement généralisé, et comment l’intégrer dans une architecture de détection-réponse cohérente avec les attentes de la directive NIS2.
Qu’est-ce que le NDR, en une phrase
Le NDR (Network Detection and Response) est une catégorie d’outils de sécurité qui analyse le trafic réseau, en temps réel et sur l’historique, pour détecter les comportements malveillants qui transitent par le réseau et déclencher ou faciliter une réponse. Là où l’EDR raisonne au niveau du poste et le SIEM au niveau des journaux, le NDR raisonne au niveau des communications : qui parle à qui, comment, quand, en quel volume, vers quelle destination.
Cette définition tient en une distinction simple. Une attaque laisse trois types de traces : sur les machines (que l’EDR observe), dans les journaux (que le SIEM agrège), et sur le réseau (que le NDR examine). Aucune des trois ne couvre les deux autres. Une organisation qui ne dispose que d’EDR voit l’intérieur de ses postes administrés, mais reste aveugle au trafic de ses équipements non gérés et aux flux internes que personne ne surveille.
Le NDR descend d’une lignée plus ancienne. Le NIST décrit depuis longtemps les systèmes de détection et de prévention d’intrusion, les IDS et IPS, dans son guide SP 800-94 (Guide to Intrusion Detection and Prevention Systems). Le NDR moderne hérite de cette logique d’observation du trafic, mais il y ajoute deux apports décisifs : la modélisation comportementale, qui détecte des écarts par rapport à un trafic normal appris, et des capacités de réponse, là où l’IDS historique se contentait souvent d’alerter sur des signatures connues.
Pourquoi le réseau est un angle mort
La sécurité défensive s’est massivement déplacée vers le poste de travail au cours de la dernière décennie. L’EDR est devenu la brique de référence, à juste titre, et nous l’avons détaillé dans notre comparatif EDR, MDR et XDR. Mais cette concentration sur l’endpoint crée plusieurs angles morts que seule l’observation réseau permet de combler.
Les équipements qui ne peuvent pas recevoir d’agent
Un agent EDR s’installe sur un système d’exploitation administrable. Or une part croissante du parc ne rentre pas dans cette catégorie : systèmes industriels et OT, objets connectés et capteurs IoT, imprimantes et multifonctions, caméras et contrôles d’accès, stockage en réseau, équipements réseau eux-mêmes, terminaux invités et appareils personnels non gérés. Ces actifs ne reçoivent aucun agent, ne produisent souvent aucun journal exploitable, et constituent pourtant des points d’entrée ou des relais réguliers. Le NDR les observe par leur trafic, sans rien installer dessus. C’est fréquemment le seul moyen pratique de détecter une compromission sur ces actifs non administrables.
Les agents désactivés par l’attaquant
Un attaquant qui prend le contrôle d’une machine cherche souvent à neutraliser l’agent de sécurité présent. Une fois l’EDR désactivé ou contourné, la machine devient muette du point de vue endpoint. Mais elle continue à communiquer sur le réseau : pour scanner ses voisins, pour atteindre un serveur de commande, pour exfiltrer. Le NDR conserve la visibilité là où l’EDR l’a perdue. Cette complémentarité est structurelle : l’attaquant doit utiliser le réseau pour progresser, et c’est précisément là qu’il ne peut pas se rendre invisible.
Les flux internes que personne ne regarde
La plupart des organisations surveillent leur périmètre, c’est-à-dire les flux entrants et sortants à travers le pare-feu. Mais le trafic interne, dit est-ouest, échappe largement à cette surveillance. Or le mouvement latéral est par nature un trafic interne. Un poste de comptabilité qui se met soudainement à interroger des dizaines d’autres postes, ou un serveur de fichiers contacté par une machine qui n’a aucune raison fonctionnelle de le faire, sont des signaux est-ouest qu’aucun pare-feu périmétrique ne lèvera. Le NDR est conçu pour observer ce trafic latéral.
Ce que le NDR détecte réellement
L’intérêt du NDR ne se résume pas à voir le réseau ; il tient aux scénarios d’attaque qu’il permet de repérer, souvent invisibles ailleurs. Trois familles dominent.
Le mouvement latéral. Une fois entré, l’attaquant se déplace. Il utilise des protocoles légitimes (RDP, SMB, WinRM, SSH) pour rebondir de machine en machine, technique référencée dans le cadre MITRE ATT&CK sous la tactique Lateral Movement (TA0008), et plus précisément sous des techniques comme Remote Services (T1021). Ces connexions sont individuellement banales : un administrateur légitime fait la même chose. Ce qui les trahit, c’est leur enchaînement et leur anomalie statistique. Un compte qui ouvre des sessions distantes sur des machines qu’il n’a jamais contactées, à un rythme inhabituel, dessine un motif que le NDR détecte par comparaison au comportement normal.
Le balisage vers un serveur de commande. Un poste compromis cherche généralement à recevoir des instructions d’une infrastructure contrôlée par l’attaquant. Ce dialogue, dit commande et contrôle et référencé sous la tactique Command and Control (TA0011) de MITRE ATT&CK, prend souvent la forme d’un balisage régulier : la machine contacte une destination à intervalles fixes, avec des volumes faibles et constants. Cette régularité périodique vers un domaine jamais contacté auparavant est l’une des signatures comportementales les plus exploitées par le NDR, y compris sur trafic chiffré, car elle relève des métadonnées de flux et non du contenu.
L’exfiltration de données. La phase finale d’une attaque consiste souvent à sortir des données. Elle se traduit par un volume sortant inhabituel, vers une destination inattendue, parfois à une heure où l’organisation est inactive. Le NDR détecte ce déséquilibre : un poste qui envoie soudainement un volume sortant sans rapport avec son usage habituel, ou un serveur interne qui établit une connexion sortante vers Internet alors que rien ne le justifie. La détection de l’exfiltration est l’un des arguments les plus concrets en faveur de l’observation réseau, car cette activité est par construction un événement réseau.
Au-delà de ces trois familles, le NDR contribue aussi à la découverte d’actifs inconnus. En observant le trafic, il révèle des équipements que personne n’avait inventoriés, un objectif qui rejoint le contrôle 13 du référentiel CIS sur la surveillance et la défense réseau (Network Monitoring and Defense). On ne protège pas ce qu’on ne connaît pas, et le NDR aide à connaître.
Comment le NDR fonctionne techniquement
Trois mécanismes se combinent dans un NDR moderne. Les comprendre évite de surestimer ou de sous-estimer l’outil.
La capture du trafic. Le NDR a besoin de voir le trafic. Il l’obtient par des points de capture : ports miroir sur les commutateurs, prises réseau dédiées, ou sondes placées aux endroits stratégiques de l’architecture. Le placement de ces points conditionne tout. Un NDR qui ne voit que le trafic périmétrique manque le mouvement latéral ; un NDR aveugle aux segments les plus sensibles manque l’essentiel. La conception du plan de capture est un projet en soi, indissociable de l’architecture réseau et de sa segmentation.
La détection par comportement. Le cœur du NDR moderne est la modélisation du trafic normal. L’outil apprend, sur une période d’observation, ce qui constitue le fonctionnement habituel : quels postes parlent à quels serveurs, selon quels protocoles, à quels volumes, à quels horaires. Une fois cette base établie, il détecte les écarts significatifs. Cette approche comportementale complète, sans la remplacer, la détection par signatures héritée de l’IDS, qui reste utile pour reconnaître des outils d’attaque connus. La détection comportementale est ce qui permet de repérer une attaque inédite, dont aucune signature n’existe encore.
La réponse. Le R de NDR désigne les fonctions de réponse. Selon l’outil et l’intégration, elles vont de l’alerte enrichie jusqu’à des actions automatisées : isolement d’un segment, blocage d’un flux via le pare-feu ou la solution de contrôle d’accès réseau, déclenchement d’un playbook d’orchestration. En pratique, la réponse automatique sur le réseau exige une grande prudence, car bloquer un flux légitime peut interrompre une activité critique. La plupart des organisations matures privilégient une réponse semi-automatique, où l’analyste valide l’action proposée.
NDR à l’ère du chiffrement généralisé
Une objection revient systématiquement : si la majorité du trafic est chiffrée, le NDR ne voit-il pas le contenu, et donc ne sert-il à rien ? La réponse est non, mais elle suppose de comprendre comment le NDR a évolué.
Le chiffrement (TLS, et de plus en plus QUIC) empêche effectivement l’inspection du contenu des flux dans la plupart des cas. Déchiffrer à grande échelle est coûteux, complexe, et soulève des questions juridiques et de confidentialité sérieuses, en particulier au regard des obligations issues du RGPD. La tendance n’est donc pas au déchiffrement généralisé, mais au raisonnement sur les métadonnées.
Or les métadonnées de flux restent visibles, même sur trafic chiffré : adresses source et destination, ports, protocoles, volumes, durées, horaires, fréquences, taille et cadence des paquets, caractéristiques de la négociation chiffrée. Ces métadonnées suffisent à détecter l’essentiel des scénarios évoqués plus haut. Un balisage régulier vers un domaine inconnu reste détectable par sa périodicité, indépendamment du contenu chiffré. Une exfiltration se trahit par son volume et sa destination, pas par son contenu. Le mouvement latéral se lit dans les motifs de connexion, pas dans les charges utiles.
Le NDR moderne a donc fait du chiffrement une contrainte assumée plutôt qu’un obstacle rédhibitoire. Il raisonne sur la forme du trafic plutôt que sur son fond. C’est une force autant qu’une limite : il détecte des comportements suspects sans avoir besoin de violer la confidentialité du contenu légitime, ce qui simplifie d’ailleurs sa mise en conformité avec les exigences de protection des données.
Où placer le NDR dans l’architecture de détection
Le NDR n’a de sens que comme brique d’un ensemble. Trois articulations méritent d’être clarifiées.
NDR et EDR : la couverture complémentaire. L’EDR voit l’intérieur des machines administrées ; le NDR voit le trafic, y compris des machines non administrées. Ensemble, ils ferment une grande partie des angles morts. Un attaquant qui contourne l’agent endpoint laisse des traces réseau ; un attaquant qui chiffre soigneusement ses flux exécute malgré tout du code observable sur les postes équipés. La corrélation entre une alerte EDR et une anomalie NDR sur la même machine, à la même période, élève fortement le niveau de confiance d’une détection.
NDR et SIEM : la source de corrélation. Le NDR produit des alertes et des métadonnées de flux à forte valeur. L’architecture la plus courante les envoie vers le SIEM, où elles rejoignent les journaux d’authentification, d’EDR, de pare-feu et d’applications. Le SIEM corrèle alors une connexion réseau anormale, une authentification suspecte et une création de compte pour reconstituer une chaîne d’attaque qu’aucune source isolée ne révèle. Le NDR devient ainsi l’une des sources les plus précieuses du SIEM, parce qu’il couvre une dimension, le réseau, que les journaux d’application ignorent.
NDR et Zero Trust : la vérification continue. Une architecture Zero Trust repose sur le principe de ne jamais accorder une confiance implicite à un flux du seul fait qu’il vient de l’intérieur. La microsegmentation réduit les chemins de mouvement latéral, mais elle ne supprime pas le besoin d’observer ce qui circule. Le NDR fournit cette observation continue du trafic est-ouest, complémentaire du contrôle d’accès. Il permet de vérifier que la segmentation tient et de détecter les tentatives de la contourner.
Le NDR face à NIS2 et aux référentiels
La question revient invariablement : le NDR est-il exigé par la réglementation ? La réponse est mesurée. La directive NIS2 (directive UE 2022/2555) ne nomme aucune catégorie de produit. Elle impose un résultat : détecter les incidents, y répondre, et notifier rapidement les autorités compétentes. Nous avons détaillé ces obligations dans notre guide NIS2 pour les entreprises, et leur déclinaison française dans l’analyse de la loi de transposition.
Le NDR n’est donc pas obligatoire en tant que tel. Mais il contribue directement à la capacité de détection attendue, en particulier sur le périmètre réseau et sur les actifs non couverts par l’EDR. Côté référentiels, le contrôle 13 des CIS Controls v8, consacré à la surveillance et à la défense réseau, formalise précisément les attentes que le NDR satisfait : collecter et analyser le trafic, détecter les anomalies, surveiller le périmètre et le trafic interne. L’ANSSI et son CERT-FR documentent par ailleurs régulièrement des modes opératoires d’attaquants dont la détection passe par l’observation réseau.
La pression réglementaire est réelle et croissante. Cybermalveillance.gouv.fr indique dans son rapport d’activité 2024 avoir enregistré plus de 420 000 demandes d’assistance et atteint 5,4 millions de visiteurs uniques sur l’année, en hausse de 47 pour cent. Le rançongiciel y figure parmi les principales menaces visant les entreprises et concentre plus d’un tiers des recherches d’assistance. Or le rançongiciel moderne procède presque toujours par mouvement latéral avant de chiffrer, comme nous l’analysons dans notre étude des vecteurs d’attaque ransomware 2026. La détection réseau est exactement le moyen d’intercepter cette phase intermédiaire, avant l’irréversible.
Limites et pièges du NDR
Le NDR n’est pas une solution miracle, et plusieurs limites doivent être posées honnêtement.
Sans analystes, le NDR ne produit que du bruit. Comme tout outil de détection comportementale, il génère des alertes qui doivent être qualifiées. Une plateforme déployée sans équipe pour traiter les alertes, qu’elle soit interne ou fournie par un prestataire MDR, ne crée aucune valeur de sécurité. La détection efficace suppose la chaîne complète : capture pertinente, règles maintenues, analystes capables de distinguer l’anomalie bénigne de l’attaque réelle.
Le placement des points de capture détermine la couverture. Un NDR ne voit que le trafic qu’on lui donne à voir. Une architecture réseau complexe, multi-sites, fortement virtualisée ou massivement présente dans le cloud, complique sérieusement la capture exhaustive. Les flux entre machines virtuelles d’un même hôte, ou entre conteneurs, peuvent échapper aux points de capture traditionnels et exigent des approches spécifiques.
La phase d’apprentissage produit des faux positifs. La modélisation du trafic normal demande une période d’observation, et les premiers temps d’exploitation génèrent un volume d’alertes élevé qu’il faut calibrer. Une mise en production prématurée, sans accompagnement de cette phase d’ajustement, décourage les équipes et discrédite l’outil.
Le NDR ne remplace pas la prévention. Détecter une attaque sur le réseau, c’est constater qu’une compromission est déjà en cours. Le NDR est une capacité de détection, pas une barrière. Il s’intègre dans une posture où la prévention (durcissement, segmentation, gestion des accès) réduit la surface, et où la détection prend le relais pour les attaques qui passent malgré tout. L’observation réseau alimente aussi le travail de renseignement sur la menace décrit dans notre article sur la cyber threat intelligence.
Comment décider d’adopter un NDR
La décision se pose en termes de couverture, pas de mode. Trois questions pratiques aident à trancher.
Première question : disposez-vous d’une visibilité sur votre trafic interne est-ouest ? Si la réponse est non, et que votre parc comprend des actifs non administrables ou des segments sensibles non surveillés, le NDR comble un angle mort réel. Deuxième question : avez-vous la capacité humaine, interne ou externalisée via un prestataire de détection-réponse, de qualifier les alertes que le NDR produira ? Sans cette capacité, l’investissement reste théorique. Troisième question : votre architecture permet-elle des points de capture pertinents ? Un environnement entièrement opaque à la capture limite mécaniquement l’apport.
Pour une organisation qui dispose déjà d’un EDR mature et d’un SIEM exploité, l’ajout d’un NDR est souvent la prochaine brique logique : elle ferme la dimension réseau, la moins couverte des trois. Pour une organisation encore dépourvue d’EDR, la priorité reste généralement l’endpoint d’abord, le réseau ensuite. Et dans tous les cas, l’exploitation peut être confiée à un SOC externalisé ou un MSSP qui opère le NDR aux côtés des autres sources.
Le NDR ne révolutionne pas la détection : il complète un dispositif. Mais il le complète sur le terrain où l’attaquant est le plus contraint, le réseau, qu’il doit emprunter pour progresser et qu’il ne peut pas rendre totalement invisible. C’est ce qui en fait, en 2026, une brique de plus en plus difficile à ignorer pour un RSSI qui veut détecter avant l’irréversible.
Références
[1] MITRE ATT&CK, tactiques Lateral Movement (TA0008) et Command and Control (TA0011). [2] NIST, SP 800-94, Guide to Intrusion Detection and Prevention Systems (IDPS). [3] CIS Controls v8, contrôle 13 : Network Monitoring and Defense. [4] ANSSI / CERT-FR, publications sur les modes opératoires d’attaquants et la détection. [5] Directive (UE) 2022/2555 (NIS2), articles relatifs à la détection et à la notification des incidents.
Sources primaires : MITRE ATT&CK, NIST SP 800-94, CIS Controls, CERT-FR, EUR-Lex (NIS2), Cybermalveillance.gouv.fr.