Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Les services gérés de détection et de réponse au service de la cybersécurité

septembre 2019 par Jan van Vliet, VP EMEA chez Digital Guardian

Face au nombre croissant de cyber menaces de plus en plus complexes, les entreprises cherchent à améliorer leur sécurité afin d’agir rapidement. Gartner prédit que 15 % des organisations utiliseront des services gérés de détection et de réponse (MDR) d’ici 2020, contre moins de 5 % aujourd’hui.

La mise en place de fonctionnalités de détection et de réponse avancée aux menaces est une tâche complexe qui exige des investissements importants. Les fournisseurs de services gérés de détection et de réponse (MDR) vont pourtant jouer un rôle de plus en plus critique pour les entreprises ; c’est pourquoi un nombre croissant d’entre elles se tournent vers cette option. Mais quels sont donc les éléments à prendre en compte avant de choisir un fournisseur ?

Définir un cahier des charges exhaustif

Dans un premier temps, les entreprises vont devoir définir précisément quels sont les objectifs qu’elles souhaitent atteindre. En effet, pour qu’un service géré de détection et de réponse (MDR) soit efficace, celui-ci doit s’adapter aux besoins spécifiques et fournir une solution personnalisée. Il est donc essentiel de définir quels actifs (réseaux et applications) l’entreprise souhaite protéger, afin de déterminer si un fournisseur lui propose les fonctionnalités adéquates. Lors d’un entretien avec un fournisseur potentiel, il est conseillé de présenter des cas concrets d’application et les défis spécifiques à l’entreprise afin de s’assurer de la logique de son approche, de son adaptabilité aux préoccupations de l’entreprise mais aussi pour vérifier que ce futur partenariat n’obligera pas à opter pour une solution générique. Enfin, il faut s’assurer de comprendre quel sera l’impact sur le fonctionnement des solutions existantes (temps de latence, interopérabilité…).

Identifier et anticiper les besoins spécifiques

La deuxième étape consiste à faire le point sur les besoins actuels et initiatives technologiques à venir de l’entreprise. Il est important de garder en tête que toute stratégie de sécurité doit également prendre en compte les personnes et les processus. A voir, donc, si le fournisseur potentiel est également en mesure de proposer une formation aux collaborateurs dans le cadre de ses services.

Ne pas se laisser éblouir par les technologies proposées

La plupart des fournisseurs proposent des technologies avancées, comme la détection et la réponse aux menaces sur les terminaux, l’analyse comportementale, des outils d’investigation spécialisés… Il existe cependant, d’autres points à contrôler. Par exemple, le fournisseur évaluera-t-il en permanence les performances de l’entreprise par rapport à ses objectifs de sécurité  ? Est-il également en mesure de combiner les données provenant d’outils de détection de sécurité, de flux d’informations sur les menaces, de sources de données tierces avec la base de données des actifs informatiques pour non seulement localiser une menace, mais aussi déterminer ses risques par rapport à d’autres en file d’attente ?

Alors que les fournisseurs se concentrent souvent sur les menaces avancées telles que les mouvements latéraux des hackers, le vol d’identifiants, le processus d’escalade, ainsi que les activités de commandes et de contrôle, un bon fournisseur ne négligera pas non plus des attaques moins sophistiquées pouvant potentiellement passer à travers ses filets.

S’interroger sur les certifications de sécurité et la transparence

Il est important d’avoir la certitude que le fournisseur garanti la sécurité à tous les niveaux. Demander une copie de sa certification SOC 2, de tout autre audit de sécurité tiers, ou encore visiter ses installations peut être une bonne façon de s’en assurer. Il doit également être en mesure de fournir les qualifications de ses analystes en sécurité. Les réglementations relatives aux données et à la confidentialité devront être respectées. Il est donc également important de déterminer si le fournisseur choisi peut s’aligner sur ces exigences de conformité

Identifier les fournisseurs spécialistes du secteur

Une entreprise est susceptible de faire face à des menaces spécifiques en fonction du secteur dans lequel elle évolue. Les entreprises de fabrication sont radicalement différentes de celles de services professionnels ou du bâtiment. Cela signifie qu’il faut donc privilégier un fournisseur expérimenté et spécialisé en matière de détection et de réponse aux menaces propres à un secteur, en plus des menaces génériques telles que l’hameçonnage. Il convient de souligner l’importance d’établir que le MDR est la compétence essentielle du fournisseur de services et qu’il ne s’agit pas simplement d’une société de technologie générique essayant de surfer sur de nouveaux besoins.

Évaluer le niveau de réactivité

Il est primordial de s’assurer que le fournisseur sélectionné peut opérer avec rapidité et que ses pratiques offrent le niveau de réponse attendu. Par exemple en évaluant le suivi des menaces en dehors des heures ouvrables ou encore en demandant à voir le protocole de réponse aux menaces en cas d’attaque réussie… Il faut que les informations complètes relatives aux événements de sécurité soient communiquées rapidement, de façon compréhensible et exploitable.

Tester la capacité de prestation de bout en bout 

Un fournisseur de services gérés de détection et de réponse (MDR) doit être capable de réagir à différents types d’attaques, dès le moment où l’attaque a lieu, et jusqu’au moment où l’incident a fait l’objet d’une enquête approfondie et où l’entreprise est à nouveau opérationnelle. Souple et compétent, il sera d’une aide précieuse en temps de crise. Il est donc primordial de travailler avec un partenaire capable de personnaliser son service en fonction des besoins spécifiques. Idéalement, un fournisseur pouvant proposer des stratégies et des workflows prédéfinis pour permettre d’évaluer et de résoudre rapidement les incidents de sécurité à l’aide des meilleures pratiques.

Tous les fournisseurs de services gérés de détection et de réponse (MDR) ne proposent pas les mêmes services ou technologies. Les entreprises devront donc choisir judicieusement celui qui convient le mieux à leur taille, aux contrôles de sécurité en place et à leurs propres besoins.




Voir les articles précédents

    

Voir les articles suivants