EDR/XDR : détection continue conforme à NIS 2 (art. 21) et DORA (art. 10)

Ce que demande la loi

Deux textes imposent désormais des capacités de détection et de gestion d’incidents solides et mesurables :

• NIS 2 – Article 21 : les entités « essentielles » et « importantes » doivent mettre en place des mesures de gestion des risques en matière de cybersécurité couvrant notamment la gestion des incidents, l’évaluation de l’efficacité des mesures, l’hygiène cyber et le contrôle d’accès. Autrement dit : être capable de détecter, analyser, contenir et documenter les incidents, et d’en apporter la preuve. Voir le texte consolidé sur EUR‑Lex — Directive (UE) 2022/2555 (NIS 2).
• DORA – Article 10 (Détection) : les entités financières doivent disposer de mécanismes de détection à plusieurs couches, avec des seuils d’alerte, des critères de déclenchement et des alertes automatiques vers les équipes de réponse. Ces capacités s’intègrent au dispositif de gestion des incidents du Chapitre III (classification et notification). Voir le règlement sur EUR‑Lex — Règlement (UE) 2022/2554 (DORA). Une présentation structurée de l’art. 10 est disponible ici : Judict — DORA Article 10. La CSSF rappelle par ailleurs l’entrée en application au 17 janvier 2025 et la prééminence de DORA sur les circulaires qui chevauchent ses exigences : CSSF — Entrée en application de DORA.

Pour guider la mise en œuvre concrète des mesures de l’article 21, l’ENISA publie des lignes techniques avec exemples de preuves et cartographies vers les standards : ENISA — NIS2 Technical Implementation Guidance. Ces orientations détaillent, entre autres, la détection et la réponse aux incidents (opérationnelles et preuves attendues). Pour une vue d’ensemble structurée côté conformité, consultez aussi notre présentation du règlement DORA.

La solution technique (état de l’art)

EDR/XDR (Endpoint/Extended Detection & Response) est aujourd’hui la brique centrale de détection continue exigée par NIS 2 et DORA :

• Couverture : agents déployés sur postes, serveurs et workloads cloud (EDR), enrichis par la corrélation de journaux réseau/identité/SaaS via une plateforme XDR.
• Détection en temps réel : télémétrie fine (processus, commandes, modules chargés, connexions) et modèles de détection (règles, ML, comportements) pour identifier TTPs de l’ATT&CK (découverte, élévation de privilèges, mouvement latéral).
• Réponse guidée : isolement réseau de l’endpoint, arrêt de processus, suppression de persistance, collecte automatisée d’artefacts forensiques (chronologies, hachages, sockets).
• Chaîne de preuves : horodatage, intégrité des journaux, conservation et export des artefacts pour investiguer et justifier les notifications (NIS 2 / DORA).
• Intégration SOC/SIEM/SOAR : corrélation inter‑sources, playbooks d’escalade, et rapports orientés conformité (alertes classées, MTTA/MTTR, journal d’actions).

Référentiels de contrôle alignés :

• ISO/IEC 27001:2022 : Annexe A.8.16 (activités de surveillance), A.8.7 (protection contre les malwares), A.8.12 (journaux d’événements), A.5.15 (gestion des accès) — l’EDR/XDR fournit la surveillance, la journalisation et des contrôles de confinement.
• NIST CSF 2.0 : Fonctions Detect (DE.AE — anomalies & événements, DE.DP — détection continue) et Respond (RS.AN/RS.MI — analyse et atténuation).
• CIS Controls v8 : C13 (Network Monitoring & Defense), C8 (Audit Log Management), C6 (Access Control Management) — la télémétrie EDR/XDR alimente ces contrôles.

Bonnes pratiques publiques complémentaires : le BSI cadre les IDS/EDR comme « alarmes » réseau/systèmes et décrit l’importance de l’escalade et de la conservation des données d’attaque pour l’attribution et la conformité : BSI — Guide IDS (vue d’ensemble), BSI — Concepts, BSI — Aspects organisationnels/juridiques.

Comment Luxgap déploie cela

Notre approche est pensée « conformité prouvable » dès le jour 1 :

• Notre SOC managed (24/7) : intégration EDR/XDR multi‑éditeurs, corrélation via SIEM, scénarios de détection mappés à MITRE ATT&CK et aux exigences NIS 2 art. 21/DORA art. 10. Les playbooks SOAR incluent : isolement d’hôte, blocage de binaire, extraction d’artefacts et génération d’un rapport d’incident formaté (chronologie, indicateurs, actions), réutilisable pour les notifications réglementaires.
• Notre gouvernance ISO 27001 : nos Lead Implementers définissent avec vous la politique de détection, les seuils d’alerte, les indicateurs (MTTA/MTTR, taux de couverture agents), la rétention et l’intégrité des logs. On établit la matrice de preuves attendues par les autorités (ex. efficacité des mesures NIS 2 art. 21(2)(f)). Pour cadrer la certification, découvrez ISO 27001 au Luxembourg.
• Nos consultants DPO et CISO externalisés : cadrage des impacts données personnelles (journaux EDR), minimisation/retention, et alignement avec les circuits de notification (NIS 2/DORA) et la communication client imposée par DORA Chap. III.

Concrètement, nous livrons un runbook conformité : correspondance entre alertes/types d’incidents et obligations (critères de gravité DORA, gestion/notification NIS 2), avec modèles de rapports et d’exports d’artefacts.

Cas concret au Luxembourg ou en UE

Une PSF de support luxembourgeoise soumise à DORA et potentiellement à NIS 2 (via prestations MSP) disposait d’antivirus classiques et de journaux épars. En six semaines : déploiement EDR sur 1 200 endpoints (couverture > 95 %), intégration XDR + SIEM, playbooks d’isolement et collecte automatique d’artefacts. Résultat : première détection de mouvement latéral (T1021) contenue en < 15 minutes, rapport d’incident exportable en un clic, avec chronologie, IOC et actions—utilisé tel quel pour la notification prudentielle interne et la préparation des obligations Chapitre III de DORA. Les preuves d’efficacité (taux de blocage, délais d’escalade) ont été versées au dossier NIS 2 art. 21(2)(f), conformément aux orientations ENISA.

Premiers pas concrets

1. Cartographier la surface couverte : inventaire des endpoints/serveurs et taux d’agents EDR installés. Objectif ≥ 95 % de couverture, gap list horodatée (preuve d’efficacité NIS 2 art. 21(2)(f)).
2. Définir les seuils et playbooks : lier chaque type d’alerte EDR/XDR à un seuil de gravité et à un playbook d’escalade. Aligner ces seuils avec DORA art. 10 (détection) et la classification Chapitre III.
3. Assurer l’intégrité et la rétention des journaux : signer/hacher, centraliser dans un SIEM, définir des périodes de conservation documentées (ISO 27001 A.8.12). Export test mensuel du « pack de preuves » (alertes, actions, horodatages).
4. Tester la réponse technique : exercice mensuel de containment (isolement endpoint, suppression de persistance) et vérification des temps MTTA/MTTR, avec compte‑rendu mappé à NIST CSF Detect/Respond.
5. Aligner gouvernance et notification : valider la chaîne d’escalade vers le DPO/CISO, préparer les modèles de rapports conformes (NIS 2 art. 21 — gestion des incidents ; DORA Chap. III) et les points de contact réglementaires (ex. CSSF pour DORA). Pour le cadrage opérationnel local, consultez aussi DORA Luxembourg.

Sources officielles

• EUR‑Lex — Directive (UE) 2022/2555 (NIS 2), art. 21
• EUR‑Lex — Règlement (UE) 2022/2554 (DORA), notamment art. 10 et Chap. III
• ENISA — NIS2 Technical Implementation Guidance (26 juin 2025)
• CSSF — Entrée en application de DORA (rappel et articulation avec les circulaires)
• BSI — Guide de mise en œuvre des systèmes de détection d’intrusion (IDS/EDR) — aperçu

Besoin d’un cadrage rapide ? Luxgap peut réaliser en deux semaines un contrôle de conformité détection : couverture EDR/XDR, seuils d’alerte, preuves exportables et préparation des notifications réglementaires.