Détection et réponse gérées (MDR)

Les services de détection et réponse gérées (MDR) sont un ensemble de technologies de cybersécurité basées sur le réseau, l'hôte et les points finaux qu'un fournisseur tiers gère pour une organisation cliente. Le fournisseur installe généralement la technologie dans les locaux de l'organisation cliente et fournit des services externes et automatisés supplémentaires par le biais de logiciels.

Les MDR améliorent la cybersécurité en recherchant les menaces et en y répondant une fois détectées. Ils permettent également aux utilisateurs de se connecter aux experts en sécurité du fournisseur, qui peuvent aider à renforcer les compétences en matière de sécurité du service informatique de l'entreprise cliente. Cela les rend idéaux pour les entreprises qui n'ont pas d'équipe désignée pour la détection des menaces en interne.

Les services de détection et de réponse gérés gagnent en popularité, en partie à cause du manque croissant de compétences en cybersécurité. Gartner a prédit en 2018 que 15 % des moyennes et grandes entreprises utiliseraient des services de MDR en 2020, contre 1 % en 2018.

Quels problèmes la MDR résout-elle ?

Les services de MDR jouent un rôle actif dans l'amélioration de la stratégie de sécurité informatique d'une entreprise. Ils s'occupent de la détection des menaces, de la réponse aux incidents, de la surveillance continue et de l'analyse des actifs informatiques.

Les services MDR abordent ces tâches d'une manière qui atténue les problèmes courants auxquels les départements informatiques modernes sont généralement confrontés, tels que :

• Un volume d'alertes élevé -- Les MDR peuvent aider les entreprises à gérer le volume même des alertes de cybersécurité qui doivent être vérifiées sur une base individuelle. Un trop grand nombre d'alertes peut submerger les petites équipes de sécurité et les amener à négliger d'autres responsabilités.
• Analyse des menaces -- De nombreuses alertes ne se présentent pas immédiatement comme une menace et nécessitent une analyse approfondie pour déterminer leur statut. Les services MDR fournissent des outils d'analyse avancés et l'accès à des experts en sécurité pour aider à cela, en interprétant les événements et en fournissant des recommandations d'amélioration.
• Pénurie de compétences -- La CIA a récemment estimé que d'ici 2022, il y aura un déficit de main-d'œuvre en sécurité de 1,8 million. Symantec a également constaté que quatre professionnels de la sécurité sur cinq interrogés déclarent se sentir épuisés et dans un état de surcharge chronique. Les services MDR peuvent atténuer ce phénomène en donnant accès à leur équipe d'experts, qui travaillent généralement 24 heures sur 24 et 7 jours sur 7 pour surveiller un réseau et être disponibles pour des consultations.
• Détection et réponse aux points d'extrémité (EDR) -- Les entreprises peuvent manquer de fonds, de temps ou de compétences pour former les employés aux outils EDR. Les services MDR sont fournis avec des outils EDR et les intègrent dans les processus de détection, d'analyse et de réponse, ce qui élimine le besoin d'une sécurité interne étendue des points d'extrémité.

Comme pour de nombreux modèles X-as-a-service (XaaS) qui externalisent les processus informatiques modernes, les entreprises échangent un certain contrôle contre plus de commodité et des prix plus flexibles. Les services MDR présentent effectivement certains inconvénients par rapport aux produits de sécurité gérés plus anciens et selon l'utilisation que le client entend faire de ces services. Cependant, leur principal avantage est qu'ils sont adaptés de manière unique aux problèmes actuels et émergents auxquels sont confrontées les entreprises informatiques aujourd'hui.

MDR vs. sécurité gérée classique

Les produits de sécurité gérée MDR et classique remplissent tous deux la même fonction générale ; assister de manière externe les entreprises en matière de cybersécurité. Cependant, il existe quelques différences fondamentales entre les services MDR et les services de sécurité gérés classiques, notamment :

• Compliance -- les services de sécurité gérés classiques, parfois appelés fournisseurs de services de sécurité gérés (MSSP), sont généralement beaucoup plus axés sur les rapports de conformité et aident les entreprises à répondre aux exigences de conformité. Les services MDR se concentrent rarement sur ce point.
• Format des journaux -- les MSSP sont généralement capables de travailler avec une plus grande variété de journaux d'événements et de contextes. Les MDR, en revanche, n'utilisent principalement que les journaux fournis avec leurs outils.
• Interaction humaine -- Les MSSP gèrent toute communication avec le prestataire par le biais de portails en ligne et d'e-mails. Les MDR disposent d'équipes d'experts -- parfois appelés centre d'opérations de sécurité (SOC) -- qui peuvent être joints par plusieurs canaux en temps réel.
• Méthodes de détection -- En raison de la composante humaine qu'offrent les MDR, ils peuvent appliquer une analyse plus approfondie aux alertes et détecter de nouvelles menaces. Les MSSP sont moins impliqués dans l'analyse et se concentrent donc davantage sur les menaces connues et fréquentes en utilisant un système basé sur des règles.
• Visibilité du réseau -- Les MDR peuvent détecter les événements et les mouvements au sein d'un réseau client, alors que les MSSP se concentrent principalement sur le périmètre.

Chaque option a ses forces et ses faiblesses. Les MSSP sont bons pour gérer la technologie de sécurité fondamentale comme les pare-feu et effectuer des tâches de sécurité quotidiennes. Les MDR sont des services plus spécialisés conçus pour gérer les réseaux modernes complexes et les nouvelles vulnérabilités qu'ils présentent.

Les entreprises peuvent utiliser les deux produits en tandem pour maximiser les avantages de chacun.

Common caractéristiques des offres MDR

Les MDR sont relativement nouveaux, et donc chaque entreprise diffère quelque peu dans ce qu'elle fournit dans ses offres MDR. Les fournisseurs se concentreront généralement sur les technologies basées sur le réseau, les points d'extrémité ou les journaux. Un MDR basé sur le réseau se concentrerait sur les menaces dans un pare-feu, tandis qu'un produit basé sur les points d'extrémité travaillerait avec un logiciel antimalware.

Quoi que soit le niveau de réseau auquel le service travaille, il réunit les rapports de plusieurs technologies à ce niveau pour exécuter ces fonctions :

• Détection des menaces, dans laquelle le SOC surveille continuellement les données et hiérarchise les alertes pour analyse.
• L'analyse des menaces, dans laquelle le personnel du SOC affine les menaces potentielles et détermine la source et la portée de la menace.
• La réponse aux menaces, dans laquelle le fournisseur notifie le client d'un incident et propose ses recommandations d'analyse pour résoudre le problème.

L'étape qui présente le plus de variations entre les fournisseurs est celle de la réponse. Chaque fournisseur décide du moment où son travail prend fin et où le client prend en charge le problème. Some providers might also offer additional features for a price, like on-premises expert consultation or additional on-premises hardware.

When choosing a provider, customers should consider:

• The size of their organization.
• The skill level and size of security teams.
• The technology they already have.
• The compliance regulations they must adhere to.