Qu'est-ce que la Managed Detection and Response (MDR) ?
La Managed Detection and Response (MDR), ou détection et réponse gérées, est une solution de cybersécurité entièrement gérée qui combine des experts en sécurité, une Threat Intelligence et des outils avancés pour fournir aux entreprises une protection contre les menaces 24 heures sur 24 et 7 jours sur 7.
Si la menace croissante que représentent les problèmes de cybersécurité pour les particuliers et pour les entreprises du monde entier est bien documentée, ce qui l'est peut-être moins, c'est l'ampleur des difficultés rencontrées par certaines entreprises pour maintenir des défenses et des mécanismes de réponse efficaces.
Selon une étude de Kaspersky, 41 % des professionnels de l'InfoSec déclarent que les équipes de cybersécurité de leur entreprise manquent « quelque peu » ou « considérablement » de personnel. Cela signifie que les professionnels de la sécurité sont très sollicités, et que les entreprises ont de plus en plus de mal à attirer et à retenir un nombre suffisant de personnes possédant les bonnes compétences. Ce phénomène touche tous les types d'entreprises, le Forum économique mondial ayant constaté par ailleurs que le manque de compétences constitue le plus grand défi en matière de cyberrésilience pour 52 % des entreprises publiques. Dans le même temps, moins de la moitié des petites entreprises déclarent avoir les compétences nécessaires pour répondre à une cyberattaque et s'en remettre.
C'est pour cette raison que de nombreuses entreprises se tournent vers des services gérés afin d'accéder aux solutions et à l'expertise dont elles ont besoin pour assurer la sécurité de leurs données, de leurs systèmes, de leurs applications et de leurs clients. Et si l'un des moyens les plus efficaces d'y parvenir réside dans la MDR, ce n'est que récemment que les entreprises ont compris l'importance de la sécurité MDR pour leurs activités. Une étude de Gartner a en effet révélé qu'en 2023, seules 30 % des entreprises avaient activement recours aux fonctionnalités de perturbation et d'endiguement des menaces à distance des fournisseurs MDR ; cependant, ce taux devrait passer à 50 % d'ici 2025. Et ce n'est pas trop tôt : en effet, Kaspersky MDR a traité plus de 430 événements de sécurité en 2023, la plupart des incidents critiques ayant été détectés au sein d'agences gouvernementales et d'entreprises industrielles et financières. Le paysage des cybermenaces est en constante évolution, et il est difficile pour de nombreuses entreprises de suivre la cadence.
Comment la MDR fonctionne-t-elle ?
Alors, dans la pratique, comment la MDR fonctionne-t-elle ? Il s'agit d'une forme de cybersécurité, fournie en tant que service géré et conçue pour accélérer l'identification et la correction des menaces et minimiser l'ampleur de l'impact que celles-ci peuvent avoir sur les entreprises. Des compétences sur le plan de la sécurité humaine et des technologies de pointe sont combinées au sein de la MDR, ce qui permet de réaliser des économies substantielles en matière de coûts et de ressources.
Les bons services MDR comprennent généralement cinq fonctionnalités principales :
Hiérarchisation des événements
La combinaison de l'inspection des événements de sécurité par du personnel qualifié et de l'évaluation des événements conformément à des règles automatisées préétablies permet d'identifier les événements les plus importants ou les plus risqués. Les faux positifs et les événements qui ne sont pas susceptibles de représenter un problème sont dépriorisés, tandis que les problèmes les plus importants sont placés en tête de file d'attente pour être traités par les autres services MDR et évalués de manière plus détaillée.
Recherche de menaces
Si l'automatisation est un outil extrêmement puissant pour identifier les menaces, elle ne peut pas être considérée comme une solution miracle. Les « chercheurs de menaces » très expérimentés sont parfaitement capables de repérer les activités anormales et les types de comportement que les cybercriminels adoptent lorsqu'ils planifient une violation des données ou une attaque. Grâce aux efforts conjugués de l'humain et du numérique, les menaces peuvent être détectées beaucoup plus rapidement, ce qui permet de prendre des mesures correctives plus vite.
Enquête sur les menaces
Une fois que les menaces ont été identifiées, l'étape suivante consiste à les explorer en profondeur et à aller au fond des choses. Les services d'enquête gérés permettent de définir la nature, le moment et la localisation d'un incident et d'identifier les systèmes, les données, les applications et les utilisateurs qui ont été ou qui pourraient être affectés. Toutes ces informations sont essentielles pour déterminer les moyens les plus efficaces et les plus appropriés pour mettre fin à une menace.
Aide aux réponses
Travailler avec un partenaire en matière de sécurité MDR permet aux entreprises d'avoir accès à des conseils ainsi qu'à des solutions. Les experts peuvent s'appuyer sur leur propre expérience et sur les informations recueillies dans le cadre de leur recherche de menaces et de leur enquête sur les menaces pour donner des conseils sur la meilleure façon d'aborder le problème. Il peut être question d'éliminer une menace sur le point de se manifester, ou de savoir comment réagir à une attaque qui s'est déjà produite et comment se remettre de celle-ci.
Remédiation gérée
Les processus de remédiation, lorsqu'ils sont nécessaires, visent à supprimer toutes les traces d'une menace et à redonner aux systèmes, aux applications et aux données leur état initial, c'est-à-dire leur état avant l'attaque. Cette opération peut impliquer toute une série de processus, comme la suppression des programmes malveillants, le nettoyage des registres, le rejet des accès non autorisés, la restauration des systèmes et d'autres mesures. Les mesures employées varient en fonction de la nature de la menace ou de l'attaque et sont choisies en concertation avec les professionnels de la sécurité MDR.
En quoi la MDR diffère-t-elle des logiciels antivirus traditionnels ?
La plus grande différence entre les services MDR et une sécurité traditionnelle fondée sur des antivirus est que la MDR est proactive, alors que les antivirus sont réactifs.
En règle générale, les systèmes antivirus s'appuient sur la détection de signatures, ce qui signifie que les différentes versions des programmes malveillants ont leurs propres empreintes digitales, qui sont recherchées par les systèmes. Cependant, de plus en plus de cybercriminels développent des versions de programmes malveillants uniques qui ne ressemblent à aucune autre et qui, par conséquent, ne peuvent pas être détectées grâce à ces empreintes digitales. Dans tous les cas, l'antivirus ne peut détecter ces versions qu'une fois qu'elles sont déjà présentes, et il est alors souvent trop tard pour prévenir tout dommage.
Les outils MDR, quant à eux, font tout leur possible pour rechercher de manière proactive, 24 heures sur 24 et 7 jours sur 7 les infections par des programmes malveillants sur les systèmes, et en atténuer les effets.
Quelle est la différence entre la MDR et l'EDR ?
L'EDR, dont le sigle signifie Endpoint Detection and Response (ou détection et réponse au niveau des terminaux), fonctionne avec les règles automatisées utilisées lors de l'étape de hiérarchisation de la MDR. Le déploiement d'une solution EDR permet d'enregistrer des événements et des modèles de comportement sur tous les terminaux, qui sont ensuite évalués en fonction des règles automatisées établies par les équipes de sécurité. Toute activité ou tout modèle suspect détecté est ensuite signalé aux équipes de sécurité pour leur permettre de mener une enquête plus approfondie.
Pour de nombreuses entreprises, l'EDR est donc un élément constitutif de la MDR, qui intervient aux côtés d'experts en sécurité informatique compétents et de procédures et méthodologies bien établies.
La MDR est-elle la même chose que la XDR ?
Pas tout à fait. Pour faire simple, la XDR (Extended Detection and Response, ou détection et réponse étendues), fait passer les principes de la MDR au niveau supérieur. La XDR intègre une grande quantité de données collectées à partir d'une série de sources différentes, afin de rendre la recherche de menaces et l'enquête sur les menaces encore plus informées et proactives. Elle s'appuie également sur des outils plus avancés, notamment la prévention des pertes de données et la gestion des identités et des accès (IAM), pour obtenir une visibilité totale du paysage des menaces dans l'ensemble d'une entreprise.
Quels sont les principaux avantages de la MDR ?
Les services MDR peuvent transformer l'approche de la sécurité d'une entreprise de différentes manières et améliorer ses performances dans quasiment tous les domaines des opérations de sécurité. Les avantages de la sécurité MDR comprennent, sans s'y limiter, les aspects suivants :
Réduction du temps de détection
Certaines entreprises mettent plusieurs mois à détecter un incident de sécurité, alors que pendant ce temps, des dégâts considérables ont pu être causés aux systèmes, aux applications et aux données, parfois même à l'insu des entreprises. La MDR peut réduire ce délai non seulement à quelques jours voire à quelques heures, mais également à quelques minutes, de sorte que l'impact potentiel d'une attaque peut être considérablement réduit.
Amélioration de la posture de sécurité
Les services MDR peuvent rendre une entreprise plus forte et plus résistante en cas d'attaque, car les risques qu'une violation ait des conséquences graves sont beaucoup plus faibles. Ils permettent également de garantir une optimisation de la configuration globale de la sécurité de l'entreprise, y compris si les besoins de l'entreprise et les profils d'attaque évoluent.
Détection continue des menaces
La capacité des outils MDR à rechercher des menaces 24 heures sur 24, 7 jours sur 7 et 365 jours par an permet de veiller à ce que les menaces et les programmes malveillants ne puissent pas se « cacher » dans les systèmes, prêts à être activés à l'avenir. Les modèles et le comportement des données peuvent être analysés en permanence, de sorte que les activités anormales peuvent être signalées avant même qu'un acte malveillant ne soit commis.
Réponse aux menaces et remédiation plus rapides
Les trois points mentionnés précédemment permettent de répondre aux menaces et de prendre des mesures correctives beaucoup plus rapidement qu'il ne serait possible de le faire en temps normal. Dans le cadre de la MDR, le fait d'avoir connaissance d'un problème plus tôt permet de répondre plus rapidement à cette menace, ce qui signifie que les activités de remédiation appropriées peuvent être appliquées à la zone touchée de manière beaucoup plus opportune.
Réduction de la charge de travail du personnel de sécurité
Lorsque le personnel de sécurité est déjà en sous-effectif, le fait de lui imposer plusieurs technologies de sécurité différentes peut accroître encore la pression et le stress qui pèsent sur son temps précieux. Cette situation peut conduire à des incidents passant inaperçus et à une mauvaise utilisation des outils à disposition, simplement par manque de temps. En confiant une grande partie de cette tâche à des services gérés et à des experts tiers qualifiés, il est possible de réduire cette pression et de maximiser l'efficacité de l'équipe interne au quotidien.
Réduction du risque de fatigue liée aux alertes
L'utilisation de technologies de sécurité augmente considérablement le nombre d'alertes et d'incidents dont l'équipe de sécurité a connaissance et doit s'occuper. En plus d'être routinière, répétitive et sujette aux erreurs humaines, cette méthode complique également la tâche du personnel de sécurité qui doit identifier les problèmes les plus urgents qui doivent être résolus avant les autres. Les processus de hiérarchisation des services MDR résolvent ce problème en analysant et en signalant les problèmes les plus urgents et en se chargeant du triage des événements pour le compte de l'équipe de sécurité.
Que devriez-vous rechercher dans les services MDR ?
Le marché des services MDR est dynamique : L'étude de Gartner indique que le marché de la MDR croît à un taux de 48 % et devrait atteindre 2,2 milliards de dollars d'ici 2025. Cela signifie qu'il existe de nombreux fournisseurs d'outils MDR, ce qui peut compliquer l'identification de celui qui correspond le mieux à vos besoins et à vos défis particuliers. Dans le cadre de votre processus de sélection, nous vous recommandons de prêter attention à ces quatre caractéristiques :
Compétences MDR supplémentaires
Il est probable que vous disposiez déjà d'une base de compétences considérable au sein de votre équipe de sécurité, mais comme le suggère le déficit de compétences global, il se peut également que vous deviez renforcer certains aspects. Il convient donc d'identifier ces lacunes dès le début de votre processus de sélection de fournisseurs et de rechercher un fournisseur spécialisé dans ces compétences et aptitudes, afin qu'il puisse renforcer et compléter votre équipe.
Connaissances et capacités de sécurité MDR
Les bons services MDR disposent de connaissances récentes sur le paysage actuel de la sécurité. Ils ont connaissance des dernières menaces émergentes et comprennent la plupart des facteurs sous-jacents de la cybercriminalité, y compris les circonstances géopolitiques et culturelles en jeu. Ces connaissances, associées à leurs compétences et à leurs capacités en matière de sécurité, apportent une valeur ajoutée à la plupart des équipes de sécurité internes.
Prestations et collaboration des services MDR
Même si l'expertise et les compétences d'éventuels services de sécurité MDR peuvent vous convenir, ces derniers doivent également s'adapter à votre équipe, à vos technologies et à votre entreprise au sens large. Ils doivent être en mesure de faire preuve d'un engagement fort en faveur d'une communication claire, afin que les informations et les idées circulent facilement entre les deux parties. Ce faisant, l'équipe de sécurité interne peut être en mesure de se familiariser beaucoup plus rapidement avec la nouvelle approche. Les services MDR doivent également être en mesure de démontrer leur engagement à assurer une protection 24 heures sur 24 et 7 jours sur 7, permettant ainsi de préserver la sécurité des systèmes en dehors des heures de travail normales de l'équipe de sécurité.
Solutions complètes
En fin de compte, il convient de rechercher une sécurité MDR qui couvre toutes les bases. Une solution comme Kaspersky Managed Detection and Response offre des technologies de protection avancées, une recherche proactive des menaces, une réponse automatisée et guidée, ainsi qu'une expertise mondialement reconnue à laquelle vous pouvez faire appel en toute confiance. Cela permet non seulement de minimiser le risque de cybermenaces, mais également de maximiser l'investissement en sécurité informatique dans la MDR.
Kaspersky Managed Detection and Response et Kaspersky Incident Response ont été classés parmi les leaders technologiques de 2023 par Quadrant Knowledge Solutions, ce qui témoigne du haut niveau d'efficacité de ces solutions dans la protection des entreprises contre les cybercriminels.
Articles connexes :
