Que sont les services de détection et de réponse gérées (MDR) ?

L'efficacité de la détection et de la réponse gérées (MDR) dépend de plusieurs éléments clés, dont chacun joue un rôle essentiel dans le cadre de sécurité global.

· Pile de sécurité détenue par le fournisseur : au cœur des services MDR se trouvent une pile technologique gérée et mise en œuvre par le fournisseur. Cette pile est conçue pour la surveillance, la détection et l'atténuation active des menaces en temps réel. Elle inclut des outils tels que l'EDR, qui sont essentiels pour la collecte et l'analyse des données télémétriques de sécurité auprès de différentes sources (réseaux, endpoints, services cloud, etc.).

· Expertise du personnel : l'un des principaux éléments des services MDR est l'expertise humaine qui les sous-tend. Le personnel, compétent en matière de surveillance, de détection et de recherche de menaces, ainsi qu'en matière de renseignements sur les menaces et de réponse aux incidents, interagit quotidiennement avec des données clients. Il s'assure que chaque aspect du paysage des menaces fait l'objet d'un suivi et d'un traitement continus.

· Processus et contenu de détection prédéfinis : les services MDR s'appuient sur du « contenu de détection spécialisé », une expression qui fait référence au vaste éventail d'outils et de méthodes employés pour identifier les menaces. Qu'il s'agisse de règles, de signatures ciblant les malwares connus, de capacités de détection des anomalies, de modèles comportementaux susceptibles d'indiquer une violation de sécurité ou d'algorithmes d'IA et de Machine Learning, le contenu de détection est continuellement mis à jour pour suivre le rythme de l'évolution des cybermenaces.

· Capacités de réponse à distance : au-delà des alertes et notifications de base, les services MDR proposent des activités d'atténuation, d'investigation et de confinement à distance. Les organisations peuvent ainsi répondre rapidement et efficacement aux menaces, même lorsqu'elles ne disposent pas de l'expertise nécessaire en interne. Ces mesures de réponse incluent la restauration des systèmes à leur état antérieur à une attaque et la résolution complète de tous les incidents.

· Priorisation et recherche des menaces : les services MDR font la distinction entre évènements anodins et véritables menaces grâce à une priorisation gérée. Des chasseurs de menaces humains recherchent de manière proactive des indicateurs d'attaque, afin que toutes les menaces, même les plus subtiles, soient identifiées et traitées.

L'expression « services de détection et de réponse gérées (MDR) » est une expression générique qui désigne plusieurs services ayant émergé pour aider les organisations à choisir une solution adaptée à leurs besoins uniques en matière de cybersécurité. Voici quelques-uns de ces services de cybersécurité, parmi les plus courants, répertoriés selon leur domaine d'intervention.

· Les services gérés de détection et de réponse au niveau des endpoints (MEDR) mettent l'accent sur les services MDR au niveau des endpoints, autrement dit les appareils tels que les ordinateurs portables, les ordinateurs de bureau et les téléphones mobiles. Ils emploient des outils spécialisés dans la protection des endpoints, offrant une défense ciblée contre diverses menaces telles que les malwares et les ransomwares.

· Les services gérés de détection et de réponse au niveau des réseaux (MNDR) se concentrent sur la sécurité des réseaux, protégeant des éléments comme les routeurs, les commutateurs et les pare-feu. Ils sont conçus pour surveiller le trafic réseau et apporter une protection contre les menaces ciblant spécifiquement les infrastructures réseau.

· Les services gérés de détection et de réponse étendues (MXDR) élargissent les capacités des endpoints, des réseaux, des services cloud et éventuellement des appareils de l'IdO. Il s'agit essentiellement d'une version complète des services MDR, intégrant diverses facettes de la sécurité au sein d'un service unifié. Il convient de noter que les services MXDR ne sont pas une entité distincte des services MDR, mais plutôt une extension de ces derniers. Là où les services MEDR et MNDR proposent une sécurité ciblée dans des domaines spécifiques, les services MXDR rassemblent ces éléments, offrant une approche plus intégrée et plus globale de la détection et de la réponse gérées.

Pour une organisation qui évalue des services MDR, le choix entre MEDR, MNDR et MXDR ne sera pas évident, car il dépend de ses besoins de sécurité spécifiques, de son infrastructure existante et de la couverture souhaitée.

De nos jours, la plupart des organisations sont confrontées à des défis cybersécuritaires qui vont bien au-delà du simple déploiement des technologies de sécurité. Les exigences qui pèsent sur les équipes de sécurité concernent non seulement la gestion des menaces, mais aussi l'utilisation efficace des ressources et le maintien de la continuité des opérations. Les services MDR sont apparus comme une solution globale à plusieurs problèmes, tels que :

· la lassitude liée aux alertes : les organisations utilisent généralement divers outils de sécurité qui génèrent de multiples alertes et de nombreux faux positifs. Cela peut donner lieu à un volume important de notifications, qui submergent les équipes de sécurité. Les services MDR filtrent les faux positifs et mettent en lumière les menaces réelles, réduisant ainsi le risque de passer à côté d'un incident critique ;

· la complexité des outils : bien souvent, les technologies de sécurité avancées nécessitent un long apprentissage et vont de pair avec un déploiement et une gestion complexes. Les services de détection et de réponse gérées représentent une solution plus accessible et plus fonctionnelle pour les organisations, améliorant leur position de sécurité globale sans qu'il leur soit nécessaire de disposer d'une expertise interne spécialisée ;

· les compétences et ressources limitées : de nombreuses organisations, en particulier les plus petites, ne disposent pas des ressources et des compétences spécialisées nécessaires à la mise en œuvre d'une cybersécurité efficace. Les services MDR leur apportent une expertise sécuritaire qui leur serait autrement inaccessible, prenant la forme d'analyses d'experts et de mesures de réponse personnalisées ;

· les inquiétudes liées à la conformité et à la confidentialité : les réglementations et normes de confidentialité évoluent sans cesse, et les organisations s'exposent à des risques juridiques et à des atteintes à leur réputation si elles ne maintiennent pas l'intégrité et la confidentialité de leurs données. Les services MDR constituent la solution la plus viable pour s'assurer qu'une organisation satisfait pleinement aux exigences de ce type ;

· la surveillance continue : les cybermenaces peuvent survenir à tout moment, mais pour de nombreuses organisations, gérer en interne, 24 h/24 et 7 j/7, un centre des opérations de sécurité pleinement doté en personnel n'est pas envisageable. Les services MDR relèvent ce défi en offrant une surveillance et une réponse continues ;

· les menaces avancées : la cybersécurité est actuellement confrontée à des menaces qui évoluent rapidement, à l'instar des APT, des exploits zero-day, des ransomwares et des manœuvres de phishing sophistiquées. Les services MDR mettent continuellement à jour leurs renseignements sur les menaces et, de plus, recourent à des mesures proactives telles que la recherche de menaces. Cette approche permet aux organisations de bénéficier d'une défense préventive, ainsi que d'un niveau de vigilance et d'expertise difficile à maintenir à l'aide des seules ressources internes.

Pour les équipes de direction, la décision d'intégrer des services de détection et de réponse gérées à leur stratégie de sécurité est motivée par les avantages significatifs que leur apportent ces services, en améliorant l'efficacité et l'efficience de leurs efforts cybersécuritaires. Ces avantages sont les suivants :

· efficience opérationnelle : les services MDR optimisent les opérations de sécurité, réduisant considérablement la charge de travail des équipes internes. En regroupant diverses fonctions de sécurité au sein d'un système cohérent, ces services rationalisent le processus d'identification, d'évaluation et d'atténuation des menaces, libérant des ressources internes et permettant aux équipes de se concentrer sur d'autres missions critiques de l'entreprise ;

· détection et réponse plus rapides : en tirant parti d'analyses avancées et de processus automatisés, les services MDR peuvent rapidement identifier les menaces et initier une réponse, limitant les conséquences potentielles et garantissant la continuité des opérations ;

· amélioration de la position de sécurité : les services MDR ne se contentent pas de répondre aux menaces à mesure qu'elles surviennent ; ils renforcent également la capacité des organisations à prédire les futurs défis cybersécuritaires et à s'y préparer ;

· évolutivité et flexibilité : évolutifs, les services MDR conviennent aux entreprises de toutes tailles. Ils s'adaptent à l'évolution des besoins des organisations, par exemple lorsque leurs opérations se développent pour suivre les progrès technologiques ou s'implanter sur de nouveaux marchés ;

· rentabilité : la mise en œuvre de services MDR peut être une solution rentable, en particulier pour les PME. Ils donnent souvent accès à des ressources et à une expertise sécuritaires de premier plan pour un coût bien inférieur à celui de la mise en place et du maintien d'une équipe interne ;

· accès à des technologies et à une expertise avancées : en lien avec le point précédent, les services MDR permettent aux organisations d'accéder aux outils de pointe et aux compétences de haut niveau nécessaires à leur mise en œuvre sans avoir à réaliser d'importants investissements dans la technologie et la formation ; et

· amélioration de la gestion de la conformité et des risques : en fournissant des conseils d'experts et en veillant à ce que les mesures de sécurité soient conformes aux exigences légales et sectorielles, les services MDR réduisent le risque de non-conformité et les conséquences financières et réputationnelles qui pourraient en découler.

Les services MDR se distinguent en améliorant et en élargissant les capacités des outils classiques (EDR, XDR, SIEM gérés, MSSP, etc.). Examinons les principales différences entre solutions traditionnelles et services MDR.

MDR versus EDR (détection et réponse au niveau des endpoints)

L'EDR se concentre sur la surveillance et l'analyse des comportements des endpoints et recourt à des réponses automatisées basées sur des règles et des modèles définis. Bien qu'efficace pour enregistrer l'activité des endpoints, l'EDR peut devenir complexe et gourmand en ressources. Les services MDR complètent les outils EDR en introduisant l'expertise humaine à des fins d'analyse et de prise de décisions, offrant des processus matures et des renseignements plus vastes sur les menaces. Cette intégration permet aux organisations de tirer parti des capacités EDR de manière optimale sans avoir à subir la gestion de solutions EDR complexes.

MDR versus XDR (détection et réponse étendues)

L'XDR étend les capacités de l'EDR (voir ci-dessus) en agrégeant les données provenant des endpoints, des réseaux, du cloud et d'autres sources pour une analyse plus complète de la sécurité. Les services MDR renforcent les fonctionnalités de l'XDR en intégrant l'expertise humaine à des fins de recherche proactive des menaces, de surveillance continue (24 h/24 et 7 j/7) et de réponse stratégique.

MDR versus SIEM gérés (systèmes gérés de gestion des informations et des évènements de sécurité)

Les SIEM gérés agrègent et analysent des données provenant de divers dispositifs de sécurité et sources réseau. Bien que puissantes, les solutions SIEM peuvent être complexes, nécessitant une grande expertise pour interpréter les données et y réagir efficacement. Les services MDR relèvent ces défis en proposant une approche plus rationalisée, fournissant des informations claires, exploitables et moins complexes. Ces services garantissent que les données et les alertes sont interprétées avec précision et traitées rapidement.

MDR versus MSSP (fournisseurs de services de sécurité gérés)

Les MSSP offrent une large gamme de services de sécurité, dont la surveillance et la validation des alertes. Toutefois, ils ne pratiquent généralement pas la réponse active aux menaces, laissant cette responsabilité au client. Les services MDR vont au-delà du modèle MSSP traditionnel non seulement en identifiant les menaces, mais aussi en y répondant activement.

Les fournisseurs de cybersécurité proposent diverses fonctionnalités à différents niveaux de qualité et à différents coûts, ce qui peut compliquer le choix d'une solution adaptée pour votre organisation. Voici quelques questions générales à prendre en compte lors de l'évaluation des fournisseurs, d'après Gartner et d'autres sources d'études de marché réputées.

· Quelles sont l'expérience et l'expertise du fournisseur considéré ? Le fournisseur doit avoir fait ses preuves en matière de fourniture de services MDR fiables et efficaces à des clients issus de divers secteurs et régions. Il doit également avoir une connaissance approfondie des différentes technologies et sources de télémétrie, telles que les endpoints, les réseaux, les clouds et les applications, afin d'être en mesure de détecter un large éventail de menaces et d'y répondre.

· Quelles sont ses capacités de réponse ? Le fournisseur doit être capable de prendre des mesures rapides et décisives afin de contenir et d'éliminer les menaces à votre place ou, au minimum, vous fournir des mécanismes simples qui vous permettront d'approuver ou d'initier vous-même des actions.

· Les services du fournisseur sont-ils clairs et cohérents ? Privilégiez un fournisseur qui propose une description claire et cohérente de ses services et qui s'engage à communiquer de manière régulière et transparente sur l'état et les résultats de ses services, ainsi que sur les problèmes et difficultés susceptibles de survenir.

· Le fournisseur dispose-t-il d'un processus d'intégration bien établi ? Le fournisseur doit disposer d'un processus d'intégration global qui tienne compte de votre infrastructure et des caractéristiques de votre entreprise. Les services proposés doivent être adaptés à votre environnement et à vos exigences, et le fournisseur doit comprendre le contexte et les priorités de votre organisation.

· Qui sont les experts qui composent l'équipe du fournisseur ? Choisissez un fournisseur capable de prouver qu'il dispose d'une équipe de cyberexperts qualifiés et certifiés, car ce sont eux qui analyseront, investigueront et bloqueront les menaces avant qu'elles se transforment en incidents. Recherchez un partenaire MDR qui défend une culture de l'apprentissage, en veillant à ce que son équipe soit formée aux dernières tendances et évolutions du paysage des cybermenaces.

Même lorsque les réponses à toutes les questions ci-dessus vous conviennent, vous pouvez demander au fournisseur des références d'anciens clients ou de clients actuels et solliciter une démonstration ou un essai de ses services de détection et de réponse gérées (MDR). Par ailleurs, n'hésitez pas à faire des recherches et à comparer différents fournisseurs en vous basant sur des avis ou des classements indépendants provenant de sources fiables, qui pourront vous fournir des évaluations objectives et impartiales.