robsonphoto - stock.adobe.com

Externalisation de la détection et réponse aux menaces de cybersécurité

La grande majorité des entreprises n’ont pas et n’auront probablement jamais de capacités de détection et de réponse aux menaces de cybersécurité en interne. Mais le besoin n’en est pas moins là. D’où le développement de services spécialisés.

Cet article est extrait d'un de nos magazines. Téléchargez gratuitement ce numéro de : Information Sécurité: Information sécurité 23 : Pourquoi confier la surveillance de sa cybersécurité à un prestataire

Palo Alto Networks vient d’annoncer l’ouverture, par sa Unit 42, d’un service de détection et de réponse – ou MDR, pour Managed Detection and Response.

Ce n’est pas le premier éditeur ou équipementier à s’engager dans cette voie, et de loin. Bitdefender a annoncé, mi-juillet, son service MDR Foundations, pensé pour les organisations aux ressources limitées. Kudelski Security a lui aussi récemment renforcé son offre avec l’ouverture d’un nouveau centre de service, baptisé Cyber Fusion Center, à Madrid. Mandiant a, de son côté, lancé en bêta son service MDR pour les clients CrowdStrike Falcon et SentinelOne Singularity Endpoint mi-juin. Cybereason et Kaspersky proposent aussi des services de MDR. Sophos a ouvert les siens à l’automne 2019.

Un mouvement engagé il y a plusieurs années

Plus tôt encore, en 2015, F-Secure avait racheté un spécialiste du test d’intrusion, nSense, avant d’annoncer le lancement d’un service de détection rapide. Depuis, F-Secure a continué de dérouler agressivement sa stratégie dans le domaine des services, d’abord avec le rachat d’Inverse Path début 2017, puis celui de Digital Assurance, et enfin l’acquisition de MWR Infosecurity en juin dernier. En 2018, Trend Micro s’est à son tour lancé sur le terrain des services de sécurité managés.

Toutes ces initiatives ont un point commun : elles soulignent le besoin d’offres combinant produits et services managés pour répondre à des besoins que les fournisseurs classiques des PME, voire TPE, ont du mal à satisfaire. Et auxquels, seules, elles s’avèrent dans l’incapacité de faire face. Quels besoins ? Disposer d’une supervision de la sécurité de son système d’information 24/7. Et cela tant lorsque les capacités internes sont absentes que lorsqu’elles sont insuffisantes pour atteindre cet objectif.

« Utilisez les services de MDR pour obtenir des capacités de centre opérationnel de sécurité moderne […], fournies à distance, lorsqu’il n’existe pas de capacités internes. »
GartnerGuide de marché, automne 2021

Pour Gartner, qui l’expliquait dans un guide de marché publié à l’automne 2021 et mis à jour au mois d’avril, c’est l’objectif principal : « utilisez les services de MDR pour obtenir des capacités de centre opérationnel de sécurité moderne 24 heures sur 24 et 7 jours sur 7, fournies à distance, lorsqu’il n’existe pas de capacités internes ou lorsque l’organisation a besoin d’accélérer ou d’augmenter les capacités de sécurité opérationnelles existantes ». Le cabinet estime que 50 % des organisations utiliseront des services de MDR à l’horizon 2025.

Accélérer la détection et la réaction

Déployer des outils de détection, c’est bien, mais sans personne pour garder un œil dessus puis agir en cas d’incident, cela ne sert pas à grand-chose. Globalement, Gartner explique ainsi que les services de MDR sont « conçus pour réduire les délais entre détection d’une menace et réponse ».

Les services de MDR ne sont toutefois qu’une partie de l’ensemble plus vaste de services de sécurité managés disponibles sur le marché, comme la gestion de l’exposition, ou encore la réponse à incident.

Si les offreurs de cybersécurité se sont tournés graduellement vers les services de MDR, c’est parce que leurs outils sont essentiels pour ceux-ci : ce sont eux qui fournissent les données de télémétrie (ou au moins certaines) nécessaires à la détection et à la qualification des menaces, après contextualisation des événements observés. Cela implique également l’utilisation du renseignement sur les menaces, qu’il ait été développé en interne ou acheté auprès de tiers. Le positionnement du Français Sekoia.io, et l’approche écosystème plus large visible dans la filière française de la cybersécurité, montrent ici toute leur pertinence.

Sous-traiter, mais sans rester les bras croisés

L’externalisation de la détection et de la réponse ne doit toutefois pas être vue comme une solution miracle. Certes, relève Gartner, les organisations clientes ont tout intérêt à demander à leur prestataire d’assurer confinement et blocage de la menace une fois qu’elle a été détectée. Mais sa neutralisation complète « est la responsabilité du client ». En outre, si un EDR peut aider au confinement de la menace, cela peut avoir un impact sur des fonctions métiers légitimes selon l’état de propagation de la menace. Et cette connaissance de l’architecture fonctionnelle de l’environnement relève de l’organisation cliente des services de MDR.

Gartner relève qui plus est qu’il est « essentiel d’affiner les processus de sécurité si l’on espère améliorer les résultats globaux ». En outre, « il est important de permettre aux ressources internes de travailler avec les prestataires. Cela permettra d’améliorer les résultats et de maintenir de bonnes relations de travail avec ceux-ci ».

Le cabinet recommande également de souscrire un contrat de réponse à incident de type retainer : s’ils offrent des revenus réguliers aux prestataires de services, ces contrats permettent d’accélérer la réponse en cas d’incident. Lorsque comptent le plus les délais.

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)