L’intégration entre ESET PROTECT et Sekoia Defend marque un franchissement supplémentaire vers la convergence EDR/XDR au sein des architectures SOC modernes. En connectant la télémétrie endpoint d’ESET aux capacités de détection pilotées par CTI de Sekoia, ce partenariat apporte une réponse technique concrète à la fragmentation des outils de sécurité.
Architecture technique : flux de données et ingestion
Côté ESET, la plateforme PROTECT — disponible en déploiement Cloud ou On-Premises — exporte la télémétrie des agents endpoint au format JSON structuré via un canal Syslog sécurisé (TLS). Les événements sont acheminés vers un collecteur configuré avec une clé d’ingestion dédiée Sekoia, puis transmis à Sekoia Intake.
Dans le pipeline de traitement Sekoia Defend, les données subissent plusieurs étapes : normalisation au format commun, enrichissement par les flux de renseignement sur les menaces (CTI), puis évaluation par des règles de détection avancées au format Sigma. Ce processus permet de corréler des événements issus de multiples sources et d’identifier des patterns d’attaque que les solutions siloées peineraient à détecter.
Détection enrichie et réponse automatisée
L’un des apports majeurs de cette architecture réside dans la contextualisation des alertes. Plutôt que de remonter des événements bruts, Sekoia Defend fournit aux analystes une alerte enrichie avec l’intégralité du contexte : indicateurs de compromission (IoC), tactiques MITRE ATT&CK associées, historique de l’entité et score de risque.
La réponse automatisée s’appuie sur des playbooks intégrés qui interagissent avec les API d’ESET PROTECT pour déclencher des actions sur les endpoints : isolation de machine, kill de processus, collecte forensique ou blocage d’exécutable. Ce mécanisme réduit significativement le Mean Time to Respond (MTTR) et allège la charge cognitive des analystes N1/N2.
Cas d’usage : SOC internes et MSSP
Pour un SOC interne, l’intégration élimine la nécessité de basculer entre la console ESET et la plateforme SIEM/XDR. L’analyste dispose d’un plan de travail unifié avec toutes les données contextuelles nécessaires à l’investigation. Pour un MSSP gérant plusieurs clients sous ESET PROTECT, l’architecture multi-tenant de Sekoia Defend permet d’agréger les télémétries par client tout en maintenant une séparation stricte des données.
« En combinant la richesse de la télémétrie endpoint d’ESET avec nos capacités de détection et de réponse automatisée, alimentées par la CTI, nous donnons aux analystes le contexte nécessaire pour réduire le bruit, affiner leurs décisions et répondre aux menaces à la vitesse machine », résume Vikraman Selvarajan, Directeur mondial des alliances stratégiques chez Sekoia.
Interopérabilité et souveraineté numérique européenne
Ce partenariat entre deux acteurs européens — ESET (Slovakia) et Sekoia (France) — s’inscrit dans une logique de construction d’un écosystème de sécurité ouvert et interopérable. Wolf Schumacher, VP Partenariats chez ESET, souligne que cette intégration « associe notre expertise en télémétrie endpoint à forte valeur analytique aux capacités XDR avancées de Sekoia », avec en filigrane un argument de souveraineté : des technologies de confiance conçues en Europe.
Pour les organisations soumises à des contraintes réglementaires fortes (NIS2, DORA, secteur financier et santé), cette dimension européenne représente un critère de sélection croissant dans leurs appels d’offres SOC.
