Est-il utile d’utiliser un service de détection et de réponse gérées pour votre entreprise ?

décembre 2020 par Tim Bandos, vice-président de la cybersécurité chez Digital Guardian

Le nombre de cybermenaces poursuit sa croissance à un rythme alarmant. Des ransomwares et chevaux de Troie d’accès à distance aux attaques d’hameçonnage et de wipers, il est déjà assez difficile de garder une trace de tous les types d’attaques, et encore plus de se défendre contre tous. Cette liste de menaces de plus en plus longue, combinée à un manque de ressources internes, conduit de plus en plus d’organisations à rechercher une aide extérieure. Les services de détection et de réponse gérées (MDR) sont de plus en plus populaires ; mais avec autant de fournisseurs à disposition, il peut être difficile de choisir le bon. Cet article examinera ce que sont les MDR et les principaux avantages qu’ils apportent avant de proposer quelques points importants à prendre en compte pour bien choisir son partenaire de MDR.

En quoi consiste le MDR ?

Le MDR propose un service de cybersécurité externalisé destiné aux organisations qui doivent améliorer leur capacité à détecter et à répondre rapidement aux cybermenaces, mais qui ne disposent pas des ressources internes pour le faire elles-mêmes.

Le marché propose actuellement un large choix de fournisseurs, d’outils et de solutions. Mais bien que de nombreux fournisseurs proposent leurs propres outils personnalisés pour détecter et répondre aux menaces, toutes les offres de MDR ont tendance à partager les mêmes caractéristiques :

• Les services sont fournis à l’aide des technologies et outils propres du fournisseur de MDR, mais sont déployés dans les locaux des utilisateurs

• Ils reposent essentiellement sur une gestion des événements de sécurité et des analyses avancées

• Ils nécessitent généralement des professionnels de la sécurité pour surveiller le réseau cible 24 heures sur 24 (bien qu’une certaine automatisation soit utilisée)

Quels sont les principaux avantages ?

C’est le cas pour toute forme de service externalisé : le principal avantage du MDR est sa capacité à fournir aux clients une équipe complète d’experts en sécurité du jour au lendemain, à un prix abordable. Le monde étant toujours aux prises avec une pénurie majeure de compétences en cybersécurité, c’est un avantage absolument inestimable. Le MDR permet également aux clients d’accéder à une vaste gamme d’outils et de solutions de cybersécurité avancées dont le coût serait autrement prohibitif. Beaucoup proposent même des implémentations entièrement personnalisées en fonction des besoins spécifiques des clients, ce que même les équipes internes les plus importantes et les mieux dotées en ressources ont souvent du mal à concrétiser.

Les fournisseurs de MDR ne se contentent pas de détecter les menaces, ils aident également à les empêcher et à les arrêter. Toutefois, plutôt que de signaler toutes les menaces découvertes, ils prennent le temps d’en évaluer d’abord l’authenticité, pour minimiser les fausses alarmes pour les clients et éviter la fatigue des alertes. Si une menace réelle est découverte, les fournisseurs de MDR travailleront directement avec le client et fourniront la puissance de feu nécessaire pour atténuer cette menace le plus rapidement possible.

Les différences entre MDR vs MSS

À première vue, le MDR ressemble beaucoup aux services de sécurité gérés (MSS). Cependant, en y regardant de plus près, des différences claires apparaissent entre les deux.

La première différence majeure est le niveau de couverture. Les fournisseurs de services MDR utilisent les journaux d’événements qui sont automatiquement fournis par leurs propres outils ou des outils spécifiques pris en charge par le fournisseur. Ils sont installés sur site et surveillés à distance. Inversement, le MSS peut fonctionner avec une gamme beaucoup plus large de contextes et de journaux différents, mais il appartient au client d’envoyer les données au fournisseur MSS.

La prochaine différence concerne la réponse aux incidents. Avec le MDR, la réponse aux incidents à distance est généralement incluse dans ce que vous payez pour le service de base, vous n’avez donc besoin d’une rétention distincte que si vous souhaitez également une réponse aux incidents sur site. De leur côté, de nombreux fournisseurs de MSS exigent une rétention distincte pour la réponse aux incidents sur site et à distance.

Enfin, il y a la touche personnelle. La nature du MDR met beaucoup plus les clients en contact quotidien avec de vrais professionnels et analystes de la sécurité. À l’inverse, la grande majorité des communications entre les clients et les fournisseurs de MSS se fait par e-mail ou via des portails dédiés.

Le MDR correspond-il à votre entreprise ?

Si vous envisagez d’utiliser un MDR pour renforcer les capacités de sécurité de votre entreprise, il est important de considérer quelques points avant de prendre votre décision finale.

Comme tout dans la vie, toutes les solutions MDR ne se valent pas. Le type d’outils, de technologie et de services offerts peut varier énormément d’un fournisseur à l’autre, alors assurez-vous de prendre le temps d’examiner minutieusement tous les partenaires potentiels et de vérifier qu’ils sont bien adaptés. Rappelez-vous également que les fournisseurs de MDR doivent venir compléter votre programme de sécurité existant. Si vous avez déjà une variété d’outils ou d’experts en place, essayez de sélectionner un fournisseur qui s’en différencie. Enfin, bien que la conformité ne soit pas l’objectif principal du MDR, les réglementations en matière de données et de confidentialité doivent tout de même être respectées, alors vérifiez que le fournisseur choisi est capable de respecter toutes les obligations de conformité de votre entreprise.

Le paysage des menaces de cybersécurité continue d’évoluer et de croître à un rythme terrifiant, et la capacité d’un grand nombre d’entreprises à poursuivre le combat à l’aide de leurs seules ressources internes se trouve de plus en plus limitée. Si votre entreprise est dans ce cas, une solution MDR peut offrir un excellent moyen de renforcer vos défenses de manière rapide et économique. Cependant, il est essentiel de choisir le bon partenaire, alors assurez-vous de faire preuve d’une diligence raisonnable avant de signer votre contrat.