Qu'est-ce que la gestion de la détection et de la réponse ?

Les services MDR (Managed Detection and Response) désignent des services de cybersécurité externalisés, conçus pour protéger vos données et vos ressources même si une menace échappe à la détection des contrôles de sécurité habituellement mis en place dans une entreprise.

Une plate-forme de sécurité MDR est considérée comme un contrôle de sécurité avancé, opérationnel 24 h/24 et 7 j/7. Il inclut souvent une série d'activités de sécurité fondamentales, notamment une sécurité gérée dans le cloud pour les entreprises qui ne possèdent pas de SOC en interne. Les services MDR associent des analyses avancées, la Threat Intelligence et une expertise humaine en matière d'investigation et de réponse aux incidents, et sont déployés au niveau de l'hôte et du réseau.

Quels problèmes une solution MDR permet-elle de résoudre ?

Face à la multiplication des menaces de cybersécurité, de plus en plus sophistiquées et diversifiées, les entreprises éprouvent des difficultés à se doter des ressources de pointe et du personnel hautement qualifié requis pour leur SOC. Pour pallier à ce manque, les fournisseurs de services MDR proposent une panoplie de services de bon rapport coût-performances, conçus pour renforcer les défenses de cybersécurité d'une entreprise et minimiser les risques, sans investissement initial en cybersécurité.

Comme ils allient des analystes chevronnés, des outils de sécurité de pointe et des bases de données mondiales sans cesse actualisées, ces services sont bien supérieurs à ce que pourraient se permettre la plupart des entreprises en interne, que ce soit en termes de budget, de niveau de compétence ou de ressources. Cette formule permet de suivre plus facilement le rythme et l'évolution constante des tactiques et techniques des cybercriminels.

Les services MDR offrent une alternative aux entreprises qui cherchent à s'équiper des dernières solutions de sécurité avancées grâce à l'intégration d'outils EDR (Endpoint Detection and Response) — dont l'apprentissage et la gestion ont toujours été problématiques pour les équipes SecOps. L'entreprise bénéficie ainsi de capacités optimales de surveillance, de détection et d'analyse des menaces, sans être confrontée aux nombreuses difficultés et dépenses nécessaires pour conserver une équipe de sécurité interne bien dotée en personnel et toujours au fait des dernières données sur les menaces.

Les services MDR ne se résument pas à des fonctionnalités avancées de détection et de réponse. Ils fournissent également une Threat Intelligence proactive et des informations sur les menaces avancées aux équipes de sécurité souvent débordées. Les niveaux de détection sont améliorés, tandis que la durée d'implantation des compromissions est réduite. Les services MDR peuvent également résoudre les problèmes de conformité en fournissant des rapports complets aux parties prenantes et en respectant les exigences d'un large éventail de réglementations et de normes en matière de conservation des journaux. 

Pourquoi choisir des services MDR plutôt que des MSSP ?

Les services MDR sont souvent comparés aux services offerts par les fournisseurs de services de sécurité managés (MSSP). Bien que similaires à certains égards, ils présentent également des différences en termes de technologies, expertise et relations. Les services MDR sont généralement proactifs et se focalisent sur les menaces. Les MSSP sont plus réactifs et se concentrent sur les vulnérabilités. À la différence des services MSSP, les services MDR sont axés sur la détection, la réponse et la traque des menaces plutôt que sur la surveillance des alertes de sécurité. Les MSSP gèrent les pare-feu, mais ne fournissent pas nécessairement le même niveau de recherche, d'analyse et d'investigation des menaces que les services MDR. Les MSSP identifient les problèmes de sécurité, mais sont incapables de fournir des précisions sur la menace, comme c'est le cas des services MDR. Les MSSP utilisent des plates-formes de gestion et de surveillance des journaux, d'analyse des vulnérabilités et souvent de gestion des incidents et des événements de sécurité (SIEM) pour avertir les organisations de l'existence de menaces. Les analyses automatisées et les réponses aux menaces avancées, aux malwares sans fichier et aux autres compromissions que propose une solution MDR peuvent compléter les services MSSP. Les services MDR reposent sur des communications plus directes, telles que des échanges oraux ou écrits avec des analystes, au lieu de passer par un portail. Les MSSP utilisent principalement le portail et la messagerie pour communiquer, avec éventuellement un accès par chat et téléphone aux analystes.

Voici une comparaison des fonctionnalités et services généralement offerts par des fournisseurs MDR et MSSP. Notons toutefois que les solutions MDR n'offrent pas toutes les mêmes niveaux de fonctionnalités et d'outils :


Services MDR
MSSP

Détection des menaces et réponse 24 h/24, 7 j/7

Certains, pas tous

Gestion des pare-feux et de l'infrastructure de sécurité

Oui

Traque des menaces managée et proactive pour les menaces inconnues sur le réseau et les terminaux

Non

Détection, tri et investigation numérique complète des menaces, basés sur la Threat Intelligence

Non

Équipe d'experts en détection des menaces, disponibles par téléphone, e-mail ou SMS

Non

Accès à des analyses et à une Threat Intelligence mondiales

Non

Technologies de sécurité des terminaux et du réseau intégrées

Non

Avantages d'un service MDR

Déjà en butte à une déferlante de campagnes d'attaque et de menaces de sécurité, les entreprises sont également confrontées à des budgets de sécurité en hausse et à un marché de l'emploi qui manque cruellement d'analystes en sécurité qualifiés. Renforcer la protection, la conformité et les compétences sans devoir faire appel à du personnel et à des outils supplémentaires est un des objectifs recherchés par toutes les entreprises, quelle que soit leur taille. Une plate-forme MDR peut fournir des services de sécurité performants, capables de réaliser et soutenir les objectifs d'une entreprise :

  • Surveillance 24 h/24, 7 j/7 et mécanismes de communication améliorés avec des analystes SOC expérimentés
  • Supervision des défenses de votre entreprise par des analystes de sécurité expérimentés, sans devoir acquérir des ressources et du personnel à temps plein
  • Service managé complet de détection et de réponse aux menaces sur les terminaux
  • Détection des menaces améliorée et couverture de détection étendue
  • Investigations poussées des alertes et des incidents, et application de mesures de réponse
  • Traque proactive des menaces
  • Threat Intelligence améliorée, basée sur des indicateurs et des comportements capturés à partir d'informations collectées partout dans le monde
  • Réponse aux menaces améliorée
  • Diminution des interventions dues à des compromissions
  • Investigations numériques plus poussées et performantes
  • Gestion des vulnérabilités
  • Réponse aux incidents graves et gestion des journaux
  • Charge de gestion quotidienne de la sécurité allégée pour votre personnel et moins lourde pour votre budget
  • Maintien du contrôle sur l'accès et la personnalisation des défenses de votre entreprise
  • Conformité et génération de rapports améliorées
  • Investissement en sécurité réduit, retour sur investissement accru

Explorer d'autres thèmes de sensibilisation à la sécurité