MDR : tout ce qu’il faut savoir

La réponse la plus simpliste serait : toute entreprise qui n’a pas de SOC (Security Operation Center). Sauf que toutes les entités ne se tournent pas vers les services MDR pour la même raison. Nous constatons que nos clients choisissent principalement d’investir dans des services MDR car :

• Ils ne disposent pas d’une équipe d’analystes SOC et, à ce titre, souhaitent sous-traiter les opérations de surveillance à une tierce partie spécialisée dans ce domaine.
• Ils disposent d’une équipe d’analystes SOC aux capacités limitées. Le recours à un fournisseur de cybersécurité de type MSS (Managed Security Services) leur permet de bénéficier d’une surveillance 24/7 des alertes de sécurité.
• Ils disposent d’une équipe SOC qui peut assurer elle-même la surveillance 24/7. Ils souhaiteraient néanmoins confier la détection des menaces avancées ou inconnues à une société spécialisée afin de permettre à leurs experts de se concentrer sur l’analyse des alertes critiques et sur la réponse aux incidents. C’est souvent la volonté de retenir les analystes qui est à l’origine de cette décision. Le marché de l’emploi étant en tension dans la cybersécurité, il en effet difficile de trouver des analystes SOC, et encore plus compliqué de les garder. Ainsi, faire appel à un MSSP* permet de réduire leur niveau de sur-sollicitations et d’offrir des missions plus diversifiées et plus passionnantes aux analystes.

 Certaines entreprises ont construit leur propre SOC et sont parfaitement satisfaites de cette solution. Pour d’autres, il n’est pas possible de faire ce choix, notamment pour les raisons mentionnées plus haut : temps, compétences, investissement.

Pour être en mesure de fonctionner 24/7, une entreprise a besoin d’au moins six analystes par équipe, ce qui représente une grosse masse salariale chaque année. A ces coûts s’ajoutent ceux du recrutement, mais aussi des logiciels. Il faut également prendre en compte le temps de mise en place nécessaire pour être opérationnel.

En résumé, toutes les entreprises n’ont pas les moyens de construire leurs propres SOC. Elles se tournent donc vers des fournisseurs de services de cybersécurité. Mais là, encore, le choix n’est pas simple.

 Du personnel qualifié

Un fournisseur de MDR dispose des ressources humaines dont l’entreprise manque. En tant que client, il a accès à une équipe entièrement dédiée à la détection des menaces et à la réponse aux incidents de sécurité. A cela s’ajoutent aussi les compétences nécessaires pour maintenir à jour les logiciels, ce qui représente un gain de temps non négligeable.

A noter : Il n’est pas simple de fournir un bon service en matière de MDR. Il est recommandé de faire autant attention à l’expertise qu’au service fourni par le prestataire choisi. Les analystes du marché rédigent régulièrement des rapports pour aider les entreprises à faire leurs choix. Le dernier en date, le Gartner Market Guide for Managed Detection and Response Services a été publié en août 2020 et mentionne Orange Cyberdefense comme fournisseur représentatif de services de MDR.

Les renseignements sur les menaces

Les fournisseurs de MDR ont de nombreux clients. Cela leur permet d’avoir une vue globale sur l’état de la menace à un temps T. Il est difficile de recréer cette vision mondiale au sein du SOC d’une seule entreprise. Aussi, il ne s’agit pas seulement d’avoir les données, mais d’avoir le temps de les analyser. Les fonctions de recherche et de développement sont essentielles pour révéler le potentiel des renseignements sur les menaces.

     Le temps

Tout fournisseur de MDR mature dispose d’équipes d’experts travaillant 24/7**, ce qui offre une surveillance optimale aux clients. Il est conseillé de rester vigilant face aux fournisseurs qui auraient recours à l’automatisation ou à des experts qui ne sont pas analystes en sécurité. Cela peut parfois entraîner une expérience inégale en dehors des heures de bureau.

 Notre analyse ne serait pas juste si nous nous concentrions uniquement sur les côtés positifs des services de MDR. Voici ce que vous devez savoir en tant que client :

Un fournisseur de MDR n’aura jamais le même niveau de compréhension de votre business que vous. C’est pourquoi la coordination entre votre fournisseur de services de MDR et vos propres experts est essentielle pour intégrer le contexte commercial au service et le personnaliser au fil du temps, encore et encore.

De plus, un fournisseur de MDR n’a souvent pas le même niveau d’accès aux systèmes informatiques que le personnel interne et, de ce fait, peut ne pas être en mesure de répondre à un incident aussi rapidement que souhaité. Cela doit être pris en compte dès le début de la collaboration, afin de trouver des moyens pertinents de réduire le temps de réponse en cas d’attaque. A titre d’illustration, il est parfois conseillé de fournir au MSSP la possibilité d’isoler les endpoints (ou terminaux) compromis par une attaque.

Aussi, comme dans tout secteur, les services proposés sont différents selon les fournisseurs de cybersécurité et parfois inégaux. Il existe en effet de nombreuses manières de fournir un service de détection et de réponse managé. Et, selon la méthode utilisée, le résultat sera évidemment différent.

Certains MSSP se concentrent par exemple sur l’envoi d’alertes, ce qui laisse l’entreprise en charge de les investiguer. Sauf si cela est souhaité par le client, il est conseillé d’être vigilant sur la qualité de l’analyse des alertes car celle-ci peut être très chronophage.

Sans collaboration étroite avec les clients, les services de MDR ne fonctionnent pas de manière optimale. Ils ne sont pas assez personnalisés et ne résolvent donc pas assez de problèmes. La première chose à faire quand vous commencez avec un service de MDR est de construire les bases de cette collaboration avec votre fournisseur de MDR. La seule chose que vous ne sous-traiterez jamais, c’est votre connaissance approfondie de votre entreprise, et c’est ce dont votre fournisseur de MDR a besoin.

La seconde étape consiste à déterminer les combinaisons de détection choisies. De nombreuses entreprises fonctionnent encore sur la combinaison SOC/SIEM (Security Information Management System) managés car il s’agit de l’organisation la plus naturelle. Vous souhaitez une analyse proactive de la sécurité des logs, vous avez besoin d’un SIEM et d’une équipe  SOC pour la gérer.

Il existe aussi d’autres manières de faire. Le Gartner a fait part de nouvelles idées (en 2015). Selon l’analyste, pour atteindre une visibilité et une maturité complètes, le SIEM seul ne suffisait plus. La crise sanitaire et la généralisation du télétravail ont notamment montré qu’il était extrêmement important de sécuriser les endpoints. Les solutions de détection et de réponse des endpoints (EDR), couplées aux services MDR, sont devenues beaucoup plus pertinentes.

Nous constatons également une augmentation de la demande de solutions de détection au niveau du réseau (NDR, Network Detection Response) afin de surveiller des réseaux plus diversifiés, mais aussi le cloud.

Le cadre de détection en illustration vise à :

• Veiller à ce que le client comprenne l’étendue de la surveillance et les endroits où nous pouvons manquer de visibilité.
• Identifier les possibilités d’accroître cette visibilité – en ajoutant des règles de détection supplémentaires, en plaçant de nouveaux capteurs sur le réseau ou en déployant davantage l’EDR.
• Modéliser l’impact de l’ajout d’un nouveau service ou aider à convaincre les parties prenantes de l’entreprise de fournir des données supplémentaires.

Ce cadre est développé par nos 11 CyberSOC, répartis dans le monde entier (Royaume-Uni, Suède, Pologne, Russie, Chine, Inde, France, Pays-Bas et Allemagne). Nos services d’assistance sont eux présents dans 160 pays. Nous offrons donc une protection mondiale avec une expertise locale.

Si vous voulez en savoir plus, contactez-nous.

Notes :

*MSSP : Managed Security Service Provider

**Les services de SOC managés et les services de réponses à incidents travaillent 24/7. Les services EDR (microSOC) pas encore.