Lagestion de la détection et de la réponse (MDR) est un élément essentiel de la cybersécurité des entreprises, et son adoption croît rapidement. Le marché mondial de la MDR devrait passer de 1,89 milliard de dollars en 2024 à 8,59 milliards de dollars en 2032, à un taux de croissance annuel composé de 20,8 %. Cela montre bien que la cybersécurité occupe une place de plus en plus importante dans la stratégie des entreprises et dans les discussions au sein des conseils d'administration.
Cependant, tous les services MDR n'offrent pas la protection significative recherchée par les acheteurs. Certains peuvent offrir une couverture limitée, des alertes automatisées sans contexte ou des solutions rigides prêtes à l'emploi. Le plus important est de bien comprendre le champ d'application, les limites et les options de l'accord de MDR. Cet article vise à sensibiliser les RSSI et les directeurs de la cybersécurité aux zones grises qui peuvent être mal définies, afin qu'au cours du processus d'évaluation, vous sachiez quelles questions poser et quels problèmes potentiels surveiller.
Le marché du MDR évolue rapidement avec un nombre croissant de fournisseurs et de modèles de services. Les organisations s'appuient de plus en plus sur ces services pour gérer la détection des menaces, le confinement initial et le triage des alertes. Malgré cette croissance, l'évaluation des offres de MDR peut s'avérer difficile en raison du manque de transparence et des différents niveaux de service fournis.
Comme l'explique Erik Montcalm, Senior VP of Security Services and Technologies, "je pense que c'est un marché difficile, plein de termes confus et contradictoires, avec beaucoup de zones d'ombre". Cette complexité souligne pourquoi les RSSI et les directeurs de la sécurité doivent aborder les contrats MDR avec un examen minutieux et des critères d'évaluation clairs.
Comme le note Montcalm, "certains contrats de MDR prévoient la transmission d'alertes au lieu d'une véritable réponse". Cela signifie que le fournisseur de services de sécurité peut assurer une surveillance suffisante, mais laisser l'enquête et l'endiguement à l'équipe interne. Si ce partage des responsabilités n'est pas bien compris et pris en compte, il peut en résulter des retards dans les réponses ou des incidents complètement manqués.
Un écueil important se présente lorsque votre fournisseur de services de gestion de la sécurité appose une étiquette blanche sur son service de sécurité, revendant ainsi la solution d'un autre fournisseur sans y ajouter sa propre expertise. M. Montcalm explique ce scénario courant :
"Si votre MSSP est essentiellement un intermédiaire vers Sophos ou une autre solution, il vous est difficile de parler aux véritables personnes qui donnent suite à vos alertes. Dans ce cas, le MSSP n'est pas l'expert en sécurité, ce qui est pire que si vous vous adressiez directement à Sophos".
Cet arrangement crée une confusion quant à la personne à contacter et introduit des délais entre la détection d'un événement de sécurité et les personnes qui s'en occupent effectivement. Votre organisation peut recevoir des alertes, mais l'expertise humaine nécessaire à la prise de décision est diluée et externalisée.
Les accords rigides et prêts à l'emploi empêchent souvent toute personnalisation significative. Même de petits ajustements aux alertes, aux playbooks ou à la journalisation peuvent être difficiles, voire impossibles à mettre en œuvre.
M. Montcalm souligne l'importance de planifier la croissance et la flexibilité. "Au fur et à mesure que votre maturité augmente, vous pouvez avoir besoin de plus en plus de personnalisation et ce qui ne semble pas être une grosse affaire la première année peut devenir une très grosse affaire la deuxième ou la troisième année".
Les organisations doivent confirmer à l'avance si des ajustements, des playbooks personnalisés ou des ajustements d'alerte sont proposés et quels sont les coûts associés. Dans le cas contraire, vous risquez de vous retrouver avec un service standardisé qui ne s'aligne pas sur votre environnement au fur et à mesure de son évolution.
Un MDR efficace nécessite une visibilité sur les terminaux, les systèmes d'identité, les services cloud et les outils SIEM. Les lacunes dans l'intégration peuvent laisser des zones d'ombre critiques dans votre posture de sécurité. Montcalm explique comment analyser cette limitation :
"La plupart des fournisseurs de MDR acceptent tous les journaux que vous leur envoyez. Cela ne signifie pas qu'ils les analyseront et en feront quelque chose d'utile. La journalisation est désormais bon marché dans un monde en nuage. Il est donc préférable de se demander ce que vous allez faire de ces sources de logs spécifiques pour moi".
Votre évaluation devrait inclure des questions sur les journaux qui sont exploitables, corrélés entre les systèmes et utilisés activement dans la surveillance, et pas seulement stockés pour des analyses médico-légales potentielles.
Les services MDR varient considérablement en termes de coût, d'implication humaine et d'automatisation. Une plus grande automatisation réduit le prix mais peut compromettre le jugement sur des menaces complexes. À l'inverse, l'analyse humaine est plus coûteuse mais permet d'obtenir des informations plus nuancées. Montcalm présente un indicateur clé :
"La chasse proactive aux menaces fondée sur des hypothèses est très importante, mais elle est aussi plus coûteuse. Si vous voyez un fournisseur qui est quatre fois moins cher que les autres, je commencerais à poser des questions pointues".
L'automatisation est précieuse pour les tâches répétitives, mais les analystes humains restent essentiels pour l'investigation, le confinement et l'évaluation contextuelle des menaces. Vous devez comprendre où l'un s'arrête et où l'autre commence. M. Montcalm prévient : "Si vous ne voyez pas les gens dans le processus, cela vaut la peine d'approfondir la question." L'efficacité du MDR dépend souvent des compétences de ces opérateurs humains, et pas seulement des outils. En fin de compte, cependant, l'objectif est la clarté.
"Je pense que les problèmes commencent lorsque l'on suppose une chose et que l'on en reçoit une autre. La chasse aux menaces n'est peut-être pas la chasse aux menaces, la surveillance n'est peut-être pas la surveillance, et l'automatisation n'est peut-être pas l'automatisation telle que vous l'entendez. Il y a plusieurs permutations de chaque, mais tant que vous savez ce que vous obtenez, je ne pense pas que ce soit un problème".
Lors de l'évaluation des fournisseurs de services de MDR, posez les questions suivantes pour percer les affirmations marketing et comprendre le véritable service offert.
Le marché du MDR est rempli de termes ambigus et d'offres standardisées qui peuvent ne pas correspondre aux besoins de votre organisation. Dans cet environnement complexe, la clarté est la mesure la plus importante qu'un responsable de la sécurité puisse prendre. En comprenant parfaitement ce que votre fournisseur de MDR propose, ce qui est standardisé par rapport à ce qui est personnalisable, et où l'expertise humaine est appliquée, vous pouvez éviter les pièges et prendre une décision en connaissance de cause.
N'évaluez pas les fournisseurs uniquement en fonction du prix, mais en posant des questions précises, en vérifiant leurs capacités et en clarifiant toutes les attentes. Une compréhension claire du champ d'application, des limites et des options vous aidera à identifier un partenaire qui renforcera réellement votre posture de cybersécurité.
Pour aider les acheteurs à trouver le service MDR le mieux adapté à leurs besoins, lisez le SecureOps Buyer's Guide to Co-Managed MDR Services (Guide de l'acheteur pour les services MDR co-gérés).