Afin d’améliorer leur posture de sécurité, de nombreuses entreprises ont adopté une solution Managed Detection and Response (MDR) ou Endpoint Detection and Response (EDR), leur offrant une vision approfondie du niveau de protection de leur Système d’Information (SI) et leur permettant de maintenir ce niveau ou même de le faire évoluer. Des services managés ou de l’accompagnement en Professional Services peuvent être fortement bénéfiques pour améliorer les compétences des équipes internes qui, par la suite, leur permettront de mieux appréhender ce qui doit être sous leur contrôle ou ce qui peut être mandaté à un partenaire de confiance.

Les composants d’une solution Detection&Response efficace

Toutes les solutions de « Detection and Response » s’appuient sur :
– Un collecteur de logs qui récupère les évènements de toutes les sources,
– Un « Security Information and Event Management » (SIEM) en charge de la première phase d’analyse des logs et effectue des corrélations,
– Un « Security Operation Center » (SOC), une équipe d’experts et d’analystes spécialisés dans la cybersécurité.

Depuis quelques temps l’Intelligence Artificielle (IA) ainsi que le Machine

Learning (ML) sont venus se greffer sur cette branche de la cybersécurité. Mais il faut plutôt considérer l’IA/ML comme des outils supplémentaires qui visent à simplifier et à alléger la charge du SOC plutôt que de se reposer uniquement sur sa capacité. Il en va de même pour les systèmes Security Orchestration, Automation, and Response (SOAR) qui aident les analystes du SOC en automatisant certaines tâches, voir des actions spécifiques de correction au travers de scripts prédéfinis.

Le MDR dans le paysage cybersécurité d’aujourd’hui

Depuis quelques années, les solutions MDR (et par extension, les NDR, EDR, xDR, etc.) sont devenues incontournables pour n’importe quel RSSI qui souhaite opter pour une protection optimale du SI de son organisation. Auparavant considérées comme des solutions complexes et fastidieuses, parfois difficile à appréhender et configurer, le développement de nouvelles interfaces graphiques et la mise en place de certaines normes, en particulier vis-à-vis du format des logs, a permis à cette branche de la cybersécurité de se développer et de grandir.

Déployer une solution MDR vous permet de réduire la charge de vos équipes sans pour autant compromettre votre posture de sécurité. Par exemple, imaginez que vous soyez informé quasiment en temps réel d’une vulnérabilité sur un système d’exploitation, qu’il soit embarqué dans un terminal utilisateur (endpoint) ou dans un équipement réseau. Ou encore qu’il vous soit possible de détecter qu’une attaque est en train de se dérouler en périphérie ou à l’intérieur même de votre système d’information. C’est dans cette optique qu’une solution MDR prend tout son sens et joue un rôle majeur dans l’analyse et la gestion des menaces. Sans ce type de solution pour votre infrastructure, vos systèmes sont peut-être déjà vulnérables ou même sous le coup d’une attaque indétectée !

Adopter une solution MDR.

Les RSSI peuvent crouler sous les informations de toutes parts qui parfois sèment la confusion et le doute sur le dimensionnement et le choix des fonctionnalités de la solution MDR qui va correspondre à leurs besoins métier.
Une bonne pratique consiste à choisir un partenaire de services de sécurité de confiance qui mènera un audit approfondi du SI métier grâce des évaluations de l’infrastructure réseau (connues sous le nom « Network Security Assessment »), des applications cloud en jeu (Cloud Security Assessment) et potentiellement une conformité du système sur un domaine particulier, par exemple les terminaux de paiement par carte si votre SI en possède (PCI-DSS Compliance).

Grâce aux conclusions de ce rapport, il sera possible d’avoir une vue précise de l’état de vulnérabilité du SI. Cela permettra d’adopter la posture de sécurité adéquate en termes de protection MDR ainsi que dans d’autres domaines de la cybersécurité. Une fois ces données en mains, vous pourrez collaborer avec un partenaire de sécurité (MSSP) avec lequel vous construirez une posture de sécurité précise, appréhendable et sur mesure en termes de protection et de défense contre les cyberattaques

Avec le soutien de ce partenaire en charge de vous fournir ces prestations en tant que services managés, vos équipes internes pourront se concentrer sur les domaines qui relèvent de votre département IT. Bien évidemment il est préférable de choisir un partenaire proposant un SOC 24/7 et des SLA sur le périmètre d’équipements dont il aura la responsabilité : la cybercriminalité ne prend pas de repos !