C’est pour cette raison, je pense, que les systèmes de détection et de réponse (EDR, Endpoint Detection and Response) managés sont si importants. Ils permettent en effet aux entreprises de déceler et d’isoler à moindre coût les points de terminaison infectés avant que cela ne provoque de réels dommages.

Ainsi, les responsables de la sécurité des informations peuvent repérer les cibles les plus vulnérables, telles que les PC, les appareils mobiles et les terminaux installés sur des points de vente. Les attaques des cybercriminels sont de plus en plus sophistiquées. Ils choisissent des terminaux qu’ils utilisent comme têtes de pont pour accéder ensuite à des éléments de plus grande valeur, comme les bases de données et les serveurs.

Les points de terminaison sont les cibles privilégiées des pirates, car ils sont très nombreux, ils contiennent une multitude de vulnérabilités logicielles et ils sont sujets aux erreurs humaines. C’est d’ailleurs pour cela qu’ils peuvent saper la stratégie de sécurité d’une entreprise, aussi solide soit-elle. Lorsque les pirates ont pris le contrôle des points de terminaison, ils peuvent facilement se déplacer latéralement à travers le réseau en lançant des attaques et en mettant en danger les informations critiques que détient l’entreprise.

Qu’est-ce qu’un système de détection et de réponse ?
Le système de sécurité du NIST (National Institute of Standards and Technology) du Département du commerce américain suggère qu’un programme de sécurité efficace devrait suivre une méthodologie incluant non seulement des fonctions de prévention, mais également la détection et les réponses. De nos jours, en effet, les pirates peuvent aisément contourner les contrôles préventifs en place.

C’est pourquoi les fonctions de détection et de réponse représentent un atout supplémentaire important dans une stratégie de cybersécurité solide, pour identifier et mettre fin aux attaques avant qu’elles ne causent de graves dégâts. L’EDR est une technologie émergente s’appuyant sur des agents de point de terminaison inviolables qui captent et enregistrent l’activité du système central, puis l’analysent pour y rechercher toute activité suspecte indiquant la présence d’un logiciel malveillant ou d’un attaquant.

Lorsqu’un attaquant est identifié, le point de terminaison peut être placé en quarantaine pour bloquer l’attaque, jusqu’à résolution du problème.

Si de nombreuses entreprises internationales adoptent l’EDR, elle reste souvent hors de portée des entreprises de taille moyenne, car elle requiert un investissement considérable, des processus de gestion sophistiqués et des compétences en sécurité difficiles à trouver pour gérer la technologie.

Mais en réalité, ces obstacles à l’adoption de l’EDR disparaissent si l’on envisage une solution EDR entièrement managée. Les systèmes EDR entièrement managés sont plus abordables et à la portée d’une entreprise moyenne, grâce à des tarifs basés sur la consommation.

Il n’y a que ce que les ressources limitées d’un service de sécurité interne peut gérer seul – et cela ne suffit peut-être pas pour détecter des attaquants et se défendre.

Pourquoi la sécurité managée est-elle la meilleure méthode ?
Cet argument est étayé, je pense, par ce que nous savons de l’utilisation croissante des services d’externalisation de la sécurité :

• Près des trois quarts des personnes interrogées lors d’une récente enquête de Forrester ont indiqué qu’elles ont recours à des tiers pour 20 à 80 % de leur sécurité, et les plus gros demandeurs d’aide extérieure envisagent de faire encore davantage appel à des prestataires externes.

• Dans une enquête réalisée l’année dernière par CIO, CSO et Computerworld, 56 % des personnes interrogées déclarent que leurs entreprises recrutent des consultants externes qui les aident à mettre en œuvre leur stratégie de sécurité des informations, et 40 % disent faire appel à des fournisseurs de services de sécurité managés (MSSP).

• Une étude sur les statistiques d’externalisation IT (IT Outsourcing Statistics 2016/2017) de Computer Economics révèle que l’externalisation de la sécurité informatique enregistre le taux de croissance le plus élevé de toutes les fonctions externalisées et qu’aucune entreprise ayant déjà recours à l’externalisation de la sécurité n’a l’intention de réduire ce mode de fonctionnement. La sécurité informatique figure également parmi les trois fonctions d’externalisation présentant le plus gros potentiel d’amélioration de service.

Beaucoup d’organisations changent de stratégie et remplacent leurs méthodes essentiellement préventives par des fonctions rapides de détection et de réponse aux menaces, ce qui requiert d’autres compétences et d’autres solutions. Les services informatiques des entreprises répondent à ce besoin de compétences spéciales et variées en utilisant davantage l’externalisation.

On me demande fréquemment comment trouver la bonne solution EDR. Je recommande alors de chercher des solutions EDR qui font partie d’une suite d’outils de sécurité plus étendue, capable d’exploiter les avantages d’une technologie d’analyse de sécurité intégrant l’apprentissage machine.

Si vous décidez de travailler avec un fournisseur de services de sécurité managés, choisissez des prestataires qui proposent un service de réponse et de surveillance d’alertes EDR en continu (24h/24 et 7j/7), ainsi qu’un forfait mensuel d’heures de « chasse aux menaces » –
c’est-à-dire de recherche proactive des menaces avancées – pour bénéficier d’une défense hautement proactive. Choisissez également des prestataires offrant une intégration de processus précise entre leurs propres centres d’opérations de sécurité (SOC) et vos propres équipes de sécurité, afin d’obtenir les meilleurs résultats possibles en matière de sécurité.

Les pirates trouvent toujours le moyen passer à travers les outils exclusivement préventifs, via des services cloud, des terminaux mobiles, voire les emails de partenaires commerciaux. Les entreprises doivent comprendre qu’adopter une solution EDR pour assurer leur sécurité n’a rien d’anodin.