Au fur et à mesure que la cybermenace évolue, les entreprises doivent faire évoluer leurs contre-mesures afin de s’adapter. Des outils comme l’EDR et le MDR permettent aux entreprises de se protéger, mais que recouvrent ces acronymes ?
Aujourd'hui, les entreprises sont confrontées à une menace permanente, polyforme et dynamique. Les attaquants utilisent des technologies avancées pour concevoir des intrusions sophistiquées afin de contourner les protections conventionnelles. Les périmètres de sécurité, si bien définis soient-ils, ne suffisent plus à protéger les organisations, et le développement de meilleures capacités de défense et de confinement sont souvent hors de portée des entreprises de petite et moyenne taille.
Et ce n’est pas seulement la pénurie de moyens qui freine ces entreprises, la pénurie d'experts qualifiés en cybersécurité pèse également sur leurs potentialités. Par conséquent, il existe une énorme demande de produits et de services pour rechercher de manière proactive les menaces émergentes, détecter et réagir plus rapidement et surtout mettre fin aux incidents futurs.
MDR ou l’avènement de la cybersécurité outsourcée
Dans ce contexte, le marché de la sécurité a vu l’émergence de nouvelles offres allant de la sécurité prise en main et gérée en interne aux offres de sécurité outsourcées et complètement gérée par des prestataires. C’est dans ce cadre que l’EDR (Endpoint Detection and Response) et le MDR (Managed Detection and Response) permettent de répondre à des besoins différents et d’adapter la détection, l’analyse et les contre-mesures aux capacités (humaines et matérielles) des entreprises.
Les solutions EDR (Endpoint Detection and Response) reposent sur des agents ou des capteurs installés sur les points finaux. Ils collectent et envoient les données comportementales à une base de données centrale pour analyse. Ils sont alors en mesure d'identifier des tendances et de détecter des anomalies, qui peuvent ensuite être automatisées pour envoyer des alertes en vue de mesures correctives ou d'une enquête plus approfondie. Toute cette solution est gérée en interne.
Les solutions MDR reposent sur des architectures similaires : des capteurs, des sondes et des agents sont déployés pour recueillir des données à partir des systèmes d'un client. Les données sont ensuite analysées pour déceler toute preuve de compromission et le client est avisé lorsqu'un incident potentiel est détecté. Contrairement à l’EDR, le système de détection et de réponse est géré par un prestataire dans les cas du MDR.
MDR, une bonne solution en l’absence d’expertise en interne
Selon le rapport Answers to Questions About 3 Emerging Security Technologies for Midsize Enterprises, le Gartner définit le MDR comme « la location d'yeux entraînés » que vous ne pouvez pas trouver vous-même. Il s'agit de débusquer les 10% d’incidents qui contournent les défenses traditionnelles et les mesures de protection des terminaux.
« Ce type de service offre généralement la surveillance, la détection et la réponse aux menaces 24 heures sur 24, 7 jours sur 7, explique Guillaume Gamelin Country Manager France chez F-Secure. Il soulage l'entreprise en termes de gestion des menaces et des incidents et constitue une bonne solution en l'absence d’expertise en interne ».
Le Cloud est aujourd’hui le meilleur moyen de se protéger
« Nous avons de très grands clients qui prennent conscience que l’ouverture vers le Cloud n’est pas une brèche, mais plutôt un gain de sécurité. Aujourd’hui c’est le meilleur moyen d’être plus réactifs en termes de sécurité », prévient Guillaume Gamelin.
Aujourd’hui, avec l’IA et l’apprentissage profond, la combinaison homme-machine est la meilleure réponse possible. « L’IA se fait grâce au Cloud, affirme Guillaume Gamelin. C’est là-haut dans le Cloud que tout se passe. Plus nous avons d’informations qui remontent en temps réel plus nous avons la possibilité de détecter des malveillances. Un antivirus qui serait complètement coupé d’Internet, fonctionnerait à 50% de ses capacités de détection. »
Source : F-Secure