Composer avec les définitions imprécises des services de détection et de réponse managés

1 MILLIARD €
Le piratage en France coûterait plus de 1 milliard d'euros.

Les équipes de sécurité du monde entier ont de plus en plus de mal à faire face à la multiplication ininterrompue des cybermenaces. Un centre des opérations de sécurité (SOC) moyen gère plus de 10 000 alertes par jour. De nombreuses équipes de SOC, véritablement dépassées par ce nombre, ne parviennent même pas à trier la moitié des alertes qu’elles reçoivent.

De plus, la plupart des équipes de SOC manquent de temps et d’expertise pour effectuer une analyse complète lorsqu’une alerte se transforme en incident, ce qui conduit à un niveau de réactivité médiocre et à une phase de récupération inefficace. En raison de ces difficultés, les organisations se tournent de plus en plus vers des services de détection et de réponse managés (MDR) qui les aident à chasser les cybermenaces, à les atténuer et à les contenir.

Les services MDR sont encore nouveaux dans le secteur de la cybersécurité, et ils connaissent une croissance rapide. Le marché des services MDR devrait représenter 2,2 milliards de dollars en 2025, pour un taux de croissance annuel composé (TCAC) de 16,7 %. D’après Gartner, 50 % des organisations recourront à des services MDR en 2025. Les services MDR enregistrent une croissance aussi rapide parce qu’ils permettent de répondre aux défis urgents auxquels les équipes de cybersécurité des organisations de toutes tailles et de tous secteurs sont actuellement confrontées : la question n’est pas de savoir SI une entreprise sera victime d’une attaque, mais QUAND.

Les équipes de sécurité doivent partir de l’hypothèse que le réseau a été compromis et mettre au point une approche proactive afin de détecter les menaces qui ont jusqu’ici échappé aux solutions intégrant des technologies telles que l’EDR (détection et réponse sur les endpoints). Des capacités de détection seules ne suffiront pas à protéger une organisation. Une fois qu’une équipe de sécurité a identifié un problème, il est essentiel qu’elle puisse y répondre à l’aide d’un plan rapide et efficace. Les adversaires opèrent en continu et il n’existe aucun moyen de prédire à quel moment une attaque se produira. Les organisations ont donc besoin d’opérations de sécurité ininterrompues (24 h/24, 7 j/7) pour détecter les menaces et réagir en conséquence. Toutefois, ces opérations sont très gourmandes en ressources et de nombreuses organisations ne disposent tout simplement pas de telles capacités en interne. C’est pour cette raison qu’elles se tournent vers les services MDR.

Que sont les services MDR ?

Une fois l’importance des services MDR bien comprise, la question qui se pose ensuite est la suivante : en quoi les services MDR consistent-ils exactement ? Il existe de nombreuses définitions différentes des services MDR au sein du secteur. D’après le cabinet d’analyse Forrester, la détection et la réponse managées (MDR) correspondent à « la mise en œuvre de techniques d’analyse avancées, d’une recherche proactive de menaces et d’une automatisation de la réponse, basée sur des schémas d’escalade prédéfinis par un fournisseur de services de sécurité managés ». Gartner propose une description similaire : « Les services MDR permettent aux organisations de bénéficier en continu (24 h/24, 7 j/7) de capacités dédiées de surveillance, de détection et de réponse aux menaces par le biais d’une approche clé en main. »

S’équiper de services MDR peut prendre différentes formes. Toutefois, les éléments suivants semblent faire consensus dans le secteur quand il s’agit de définir les caractéristiques fondamentales des services MDR :

réponse proactive ; recherche de cybermenaces ; et opérations continues (24h/24, 7j/7).

Pourtant, une zone grise relativement importante demeure. Les mots à la mode et le jargon ont toujours fait partie intégrante du domaine de la cybersécurité - il s’agit d’un secteur disruptif, dans lequel de nouvelles technologies arrivent sans cesse sur le marché en réaction à l’évolution constante du paysage des menaces. Ainsi, le recours à des termes ronflants est en quelque sorte inévitable. Les personnes qui travaillent dans le secteur depuis de nombreuses années lèvent bien souvent les yeux au ciel en entendant partout que l’intelligence artificielle, ou plus récemment les condensateurs de flux, sont la solution à tous problèmes.

Les services MDR peuvent parfois sembler être l’exemple le plus récent de cette tendance : l’absence de normalisation des termes, des processus et des technologies compliquent énormément la tâche des organisations qui souhaitent évaluer et sélectionner correctement les services, outils ou technologies des différents fournisseurs. De plus, ces services se révèlent souvent être des usines à alertes qui ne font que surcharger davantage les équipes de sécurité et n’apportent en réalité que peu de valeur ajoutée : les RSSI sont mécontents de leurs investissements et l’organisation n’est pas mieux protégée qu’auparavant.

Il est temps de se mettre d’accord, au sein du secteur, sur ce qu’est la « recherche de menaces », sur ce qui constitue une « réponse », sur les métriques qui doivent être communiquées aux clients et sur d’autres indicateurs clés en lien avec les services MDR.

Que faut-il rechercher dans un service MDR ?

Pour évaluer l’offre de potentiels fournisseurs de services MDR, il est important d’examiner leurs services dans trois domaines clés : la réponse, la recherche de menaces et la disponibilité continue (24 h/24, 7 j/7). Ce sont là les trois capacités principales que toute entreprise devrait rechercher.

Réponse

Les services MDR sont souvent présentés comme étant fournis par une équipe d’analystes de sécurité chevronnés qui gardent en permanence un œil sur les organisations. Ces experts promettent de contribuer à la protection de des données grâce à des opérations de sécurité éprouvées et complètes, capables de détecter toutes les attaques – y compris celles qui échappent aux contrôles déjà mis en place – et d’y répondre. Sur le papier cela semble formidable, mais il est important de bien comprendre ce qu’ils entendent véritablement par « réponse ». Malheureusement, pour de trop nombreux fournisseurs, la réponse consiste simplement à informer le client de la survenue d’un incident – en lui laissant la lourde tâche de la gestion de l’attaque. Voici quelques questions importantes à poser à un fournisseur de services MDR :

1.       de quelles capacités de réponse proactive disposez-vous ?

2.       à quel point ces mesures de réponse sont-elles automatisées ?

3.       quel est le rôle du client dans la mise en œuvre des mesures de réponse ?

4.       en quoi consiste le processus d’approbation relatif aux mesures de réponse ?

Recherche de menaces

La recherche de cybermenaces est un élément déterminant des services MDR. Pour être correctement effectuée, elle nécessite de disposer d’un niveau d’expertise élevé et de renseignements pertinents et contextualisés sur les menaces. La recherche de menaces devrait intégrer une vision contextualisée des cybercriminels potentiels et des tactiques, techniques et procédures (TTP) qu’ils mettent en œuvre, ainsi qu’une bonne compréhension de l’entreprise à protéger et de son environnement informatique. Pour évaluer un fournisseur de services MDR, demandez-lui spécifiquement comment il définit la recherche de menaces, comment il la mesure et quels sont les indicateurs de performance qu’il fournit. Voici quelques questions supplémentaires que vous pouvez lui poser :

1.       à quel point la recherche de menaces est-elle automatisée ?

2.       comment les renseignements sur les menaces sont-ils intégrés au programme de recherche de menaces ?

3.       quels sont les objectifs et les résultats du programme de recherche de menaces ?

4.       quels sont les éléments qui déclenchent la recherche de menaces ?

Opérations continues 

À première vue, il peut sembler facile de déterminer si un fournisseur de services MDR garantit un fonctionnement en continu (24 h/24, 7 j/7), mais les normes en la matière varient énormément. En posant les bonnes questions, une organisation peut se faire une très bonne idée du modèle opérationnel utilisé, du niveau des effectifs et de la localisation des analystes chargés de protéger ses données. Il est fondamental de demander à tout fournisseur de services MDR :

1.      quel est son processus d’intervention en dehors des heures ouvrées ;

2.      quel est le niveau minimal des effectifs en dehors des heures ouvrées ;

3.      s’il fonctionne en continu, en s’adaptant à votre fuseau horaire ; et

4.      s’il dispose d’un SOC distant, d’un SOC en cosourçage ou de plusieurs SOC géographiquement indépendants. Autrement dit, s’il dispose d’une équipe d’analystes travaillant à distance mais servant une clientèle unique, ou de multiples SOC dans différentes régions du monde servant des clients dans les zones correspondantes.

Les services de détection et de réponse managés fournissent des capacités essentielles aux organisations qui ne disposent ni de l’expertise ni des ressources nécessaires à la mise en place en interne d’un centre des opérations de sécurité avancé et disponible 24 h/24, 7 j/7 – ou à celles qui souhaitent tout simplement concentrer leurs efforts sur d’autres domaines. Les services MDR font non seulement office de filet de sécurité là où d’autres contrôles de sécurité échouent, mais ils fournissent aussi une visibilité continue sur les évènements qui se produisent dans l’environnement d’une organisation et sur le paysage de menaces qui lui est propre, ainsi que sur l’évolution de tous ces éléments à tout moment.

Les résultats de ces services étant d’une importance cruciale, le processus de sélection doit être particulièrement rigoureux. Mais, faute de normes communes au secteur, il revient aux entreprises de poser les bonnes questions pour évaluer de potentiels partenaires. Les éléments essentiels des services MDR, tels que la réponse, la recherche de cybermenaces et les opérations continues (24 h/24, 7 j/7) ne peuvent être de simples « cases à cocher » si l’on souhaite décider de manière éclairée avec qui l’on va collaborer. Posez les questions utiles, vérifiez la marchandise, prenez la bonne décision.


A découvrir