Qu’est-ce qu’un service MDR (Managed Detection and Response) ?

Sophos MDR Rapport de Sophos sur les ransomwares

Un service MDR est un service de détection et de réponse entièrement managé, disponible 24 h/24 et 7 j/7, assuré par des experts spécialisés dans la détection et la réponse aux cyberattaques que les solutions technologiques seules ne peuvent empêcher. En combinant l’expertise humaine avec des technologies de protection et des modèles avancés de Machine Learning, les analystes MDR peuvent détecter, investiguer et neutraliser les attaques humaines, empêchant ainsi les violations de données et les ransomwares.

Les services MDR sont de plus en plus prisés et Gartner prévoit que d’ici 2025, la moitié des entreprises y auront recours.

Pourquoi les services MDR sont-ils importants ?

La réalité est que la technologie ne peut pas bloquer toutes les attaques. Les attaquants d’aujourd’hui, bien financés, exploitent des identifiants volés, les erreurs de configuration de sécurité et des outils informatiques légitimes pour contourner les technologies de cybersécurité. Et en prime, ils ne cessent d’innover et d’industrialiser leurs approches.

Le seul moyen de détecter et de neutraliser de manière fiable des attaquants déterminés est une surveillance continue dite « eyes on glass » 24 h/24 et 7 j/7, opérée par des professionnels en opérations de sécurité. Il n’est pas réaliste pour la plupart des entreprises d’assurer elles-mêmes cette couverture 24 h/24 et, par conséquent, les entreprises se tournent de plus en plus vers des fournisseurs spécialisés dans des services MDR.

Qu’offrent les services MDR ?

S’ils sont tous différents les uns des autres, les services MDR comportent en général les éléments suivants :

  • Surveillance et réponse aux menaces par des experts, 24 h/24 et 7 j/7
  • Chasse aux menaces dirigée par des experts
  • Confinement des menaces : les attaques sont interceptées, bloquant leur propagation
  • Service complet de réponse aux incidents : les menaces sont entièrement éliminées
  • Analyse détaillée des attaques (RCA) pour prévenir toute récidive
  • Contrôles d’intégrité pour garantir un niveau de sécurité élevé
  • Rapports hebdomadaires et mensuels

Comment fonctionne un service MDR ?


Le processus de détection et de réponse comporte six étapes principales :

  1. Collecte des données : les données télémétriques de sécurité sont recueillies à partir des systèmes qui composent l’ensemble de l’écosystème informatique : postes de travail, pare-feu, réseau, Cloud, messagerie et solutions de gestion d’identité. Plus les analystes peuvent voir de choses, plus ils peuvent répondre rapidement.
  2. Détection des menaces : les renseignements sur les menaces et le contexte commercial sont ajoutés aux données pour obtenir une vue plus complète. Les événements de sécurité connexes sont regroupés en clusters pour une investigation complète et efficace.
  3. Chasse aux menaces : les analystes hautement qualifiés détectent de manière proactive les menaces qui parviendraient à contourner les produits de sécurité. Ils recherchent les tactiques, techniques et procédures (TTP) couramment utilisées par les cybercriminels et les menaces susceptibles de contourner les différents outils de sécurité.
  4. Investigation : ils déterminent l’étendue et la gravité de la menace et définissent les méthodologies de réponse à mettre en œuvre.
  5. Remédiation : ils interrompent l’attaque pour l’empêcher de se propager, tout en supprimant les logiciels malveillants et en isolant les systèmes touchés.

  6. Neutralisation : ils réalisent une analyse détaillée de l’attaque (RCA) afin d’éliminer complètement l’attaquant et d’éviter toute récidive.

     

Par qui sont utilisés les services managés de détection et réponse ?

Toute entreprise, dans tout secteur, peut utiliser des services MDR, qu’il s’agisse d’une petite entreprise aux ressources informatiques limitées ou d’une grande entreprise disposant d’un SOC interne. La question est en réalité : comment les entreprises travaillent-elles avec les services MDR ? Il existe trois principaux modèles de réponse MDR :

  • L’équipe MDR gère entièrement la réponse aux menaces pour le compte du client.
  • L’équipe MDR travaille avec l’équipe interne, en co-gérant la réponse aux menaces.
  • L’équipe MDR alerte l’équipe interne et fournit des conseils en matière de remédiation.

Chaque organisation est différente et doit choisir le modèle de réponse MDR qui correspond le mieux à ses besoins.

Quels sont les principaux types de fournisseurs de services MDR ?

Il existe trois principaux types de fournisseurs de services MDR :

  1. Fournisseurs BYOT (Bring Your Own Technology) : ces fournisseurs recueillent des informations sur la sécurité à partir de sources multiples, mais ils ne proposent généralement que des alertes, et non des actions. De plus, la profondeur et la rapidité de leurs informations sont limitées.
  2. Éditeur unique : la deuxième catégorie est celle des fournisseurs qui proposent des services MDR pour leurs propres produits de sécurité. Dans ce cas, les outils technologiques et le service MDR sont intégrés, mais le client est contraint de remplacer ses outils de cybersécurité existants, et les services proposés sont limités aux actions qui peuvent être menées par les produits du fournisseur.
  3. Fournisseurs de services flexibles : les fournisseurs de services totalement flexibles combinent les avantages des deux approches. Ils peuvent recourir à une combinaison de vos produits de sécurité existants (sans qu’il soit nécessaire de les démonter et de les remplacer) et de leur propre produit de sécurité (qui offre des capacités de réponse approfondies).

Quels sont les avantages d’un service MDR ?

  1. Des cyberdéfenses supérieures  : l’un des principaux avantages du recours à un fournisseur externe de services MDR par rapport à un programme de sécurité interne est la protection renforcée contre les ransomwares et d’autres cybermenaces avancées. Avec un service MDR, vous bénéficiez de l’expérience riche et étendue des analystes du fournisseur. Un fournisseur MDR sera amené à gérer un volume et une variété d’attaques bien plus importants que n’importe quelle entreprise isolée, lui conférant ainsi un niveau d’expertise qu’il est presque impossible de reproduire en interne.
  2. Optimisation des capacités informatiques : la détection et la réponse aux menaces prennent du temps et les attaques sont imprévisibles. La nature urgente du travail peut empêcher les équipes de se concentrer sur des défis plus stratégiques — et souvent plus intéressants. Travailler avec un service MDR vous permet de libérer vos ressources informatiques pour soutenir des initiatives centrées sur l’activité de l’entreprise.
  3. Tranquillité d’esprit 24/7 : une attaque peut survenir à tout moment. Les adversaires sont plus actifs aux moments où votre équipe informatique est le moins susceptible d’être en ligne, comme les soirs, les week-ends et les périodes de fêtes. C’est pourquoi il est important que la détection et la réponse aux menaces soient effectuées 24 h/24 ; si vous ne le faites que pendant les heures de bureau, vous laissez votre entreprise exposée. En proposant une couverture 24 h/24 et 7 j/7, les services MDR offrent une sérénité considérable. Pour les équipes informatiques, une telle tranquillité d’esprit leur permet tout simplement de passer de bien meilleures nuits. Elles peuvent se détendre en sachant que la responsabilité revient au fournisseur du service MDR. Pour les dirigeants et les clients, une couverture 24 h/24 et 7 j/7 fournie par des experts et un niveau de cyber-préparation élevé et permanent offrent une puissante garantie que les données et l’entreprise seront bien protégées.
  4. Augmentez l’expertise, pas les effectifs : la détection et la réponse aux menaces sont des opérations très complexes. Les individus gravitant dans cet univers doivent posséder un ensemble de compétences spécifiques et de pointe. Cette combinaison rare de compétences, aggravée par une pénurie notable de talents, rend le recrutement d’analystes des menaces difficile — voire impossible — pour de nombreuses organisations. Un service MDR vous fournit l’expertise nécessaire pour renforcer vos capacités opérationnelles de sécurité sans avoir à augmenter votre équipe.
  5. Améliorez votre cybersécurité ROI : Maintenir une équipe de chasseurs de menaces 24 h/24 et 7 j/7 coûte cher. Pour assurer une couverture sans interruption, vous devez compter sur un minimum de cinq ou six membres du personnel de cybersécurité qui travaillent par roulement. En tirant parti des économies d’échelle, un service MDR offre un moyen rentable de sécuriser votre entreprise et d’étirer un peu plus votre budget de cybersécurité.

De plus, en améliorant votre protection, les services MDR réduisent également considérablement le risque d’être victime d’une violation de données coûteuse et évitent les coûts financiers liés à la gestion d’un incident majeur. Sachant que le coût moyen de remédiation d’une attaque de ransomware dans les entreprises de taille moyenne s’élève à 1,4 million de dollars en 2021⁶, le fait d’investir dans la prévention est une décision financière judicieuse.

En choisissant un fournisseur qui s’intègre à vos technologies de sécurité actuelles, vous pouvez augmenter votre retour sur vos investissements existants. De plus, les services MDR permettent aux organisations de répondre à de nombreux critères de cybercontrôle qui sont essentiels à l’assurabilité et à l’obtention de primes et d’offres de couverture de qualité supérieure.

En quoi les services MDR se distinguent-ils des services EDR (Endpoint Detection and Response) et XDR (Extended Detection and Response) ?

Il ne faut pas confondre MDR avec EDR (Endpoint Detection and Response) ou XDR (Extended Detection and Response).

Les technologies MDR, EDR et XDR prennent toutes en charge et mettent en œuvre la détection et la réponse aux menaces. EDR et XDR sont des outils qui permettent aux analystes internes de rechercher et d’analyser les compromissions potentielles, tandis qu’avec le service MDR, ce sont les analystes du fournisseur de sécurité qui recherchent, investiguent et neutralisent les menaces au nom du client.

Comme leur nom l’indique, les outils EDR utilisent les données télémétriques provenant des technologies de protection Endpoint, tandis que les outils XDR étendent les sources de données à toute l’infrastructure informatique (dont le pare-feu, la messagerie, le Cloud et les solutions de sécurité mobile) afin d’offrir une meilleure visibilité et un meilleur contexte. Chez Sophos, nous exploitons nos solutions EDR et XDR de pointe pour mettre en œuvre notre service MDR.

Quelle est la différence entre un service MDR et un système SIEM (Security Information and Event Management) ?

  • Le système SIEM est une technologie qui collecte des données à partir de vos outils de sécurité actuels. Le système SIEM regroupe et analyse ensuite ces informations afin d’identifier les anomalies liées aux menaces.
  • Le service MDR est géré par des humains qui combine analyse des données télémétriques, expertise approfondie en matière de menaces et capacités d’investigation et de réponse.

Quelle est la différence entre un service MDR et un MSSP (Managed Security Services Provider) ?

Les fournisseurs de services MDR sont spécialisés dans la détection et la réponse aux menaces. Ce qui n’entre pas dans le champ du MDR, ce sont les actions de gestion quotidienne de la cybersécurité, telles que le déploiement de vos technologies de sécurité, la mise à jour des politiques, l’application de correctifs ou l’installation de mises à jour. Les fournisseurs de services managés (MSP) offrent des services de gestion de la sécurité informatique aux entreprises qui recherchent un soutien dans ce domaine.

Comment choisir le bon fournisseur de services MDR ?

Les organisations qui souhaitent avoir recours à des services MDR doivent se poser les questions suivantes :

  • Quelles sont l’étendue et la qualité des services offerts par le fournisseur ? Quel est son niveau de connaissance et d’expertise en matière de menaces ?
  • Quels modèles de services propose-t-il et comment répond-il à vos besoins ?
  • Combien de personnes sont chargées de fournir le service ?
  • Quelle expérience possède-t-il dans votre secteur d’activité ?
  • Que fait-il pour assurer une couverture 24 heures sur 24 et 7 jours sur 7 ? Dispose-t-il de centres d’opérations de sécurité (SOC) dans le monde entier ?
  • Quel est son délai moyen de détection et de réponse aux menaces ?
  • Dans quelle mesure ses solutions s’intègrent-elles à vos investissements de sécurité existants ?
  • Que pensent ses clients de ses services ?
  • Quels résultats ses services fournissent-ils lors d’évaluations indépendantes ?
  • Prévoit-il une clause de garantie contre les violations ? Le cas échéant, quel est le montant de la couverture à laquelle votre organisation peut prétendre ?

Sophos MDR obtient les meilleurs résultats en matière de sécurité

Sophos Managed Detection and Response  est le premier service MDR au monde. Avec Sophos MDR, vous pouvez protéger vos ordinateurs, serveurs, réseaux, charges de travail Cloud, comptes de messagerie, etc. Pour bénéficier de Sophos MDR au plus vite, contactez-nous dès aujourd’hui.

Discuter avec un expert

Sujet connexe : Qu’est-ce que la sécurité Endpoint ?

Plus d’actualités sur la cybersécurité