EN QUOI CONSISTENT LES SERVICES MDR ? À l’heure actuelle, une pénurie chronique d’experts en cybersécurité et des compétences associées touche les entreprises de toutes tailles, et ce dans tous les secteurs d’activité à travers le monde. La situation est d’autant plus critique que les cyberadversaires affinent leurs techniques et lancent des attaques de manière toujours plus rapide et efficace. Les entreprises ont du mal à s’éloigner des approches préventives de la sécurité pour répondre aux besoins en matière de détection précoce, de Threat Hunting proactif et d’intervention rapide et efficace 24 heures sur 24, 7 jours sur 7. Constituer une équipe de sécurité dédiée pour assurer ces missions et lui donner les moyens d’agir peut être envisageable pour les grandes entreprises dotées de budgets conséquents. Il n’en reste pas moins que la plupart des entreprises n’auront pas les ressources suffisantes pour mener à bien ce type d’initiative. Les services de détection et d’intervention managées (MDR, Managed Detection and Response) ont émergé pour répondre à cette demande du marché. Ils aident les entreprises par l’implémentation ou l’amélioration de fonctions de détection des menaces, de réponse à incident, de gestion de la sécurité et de surveillance continue. Les fournisseurs de services MDR s’appuient entre autres sur les technologies de détection et d’intervention sur les endpoints (EDR, Endpoint Detection and Response) pour disposer d’une visibilité sur les événements liés à la sécurité de l’entreprise, permettant la détection des menaces et l’investigation des incidents. Des analystes surveillent l’apparition d’alertes et participent aux interventions requises. Les formes possibles d’intervention incluent l’investigation des alertes (tri), l’application des mesures nécessaires pour réduire les répercussions et les risques (atténuation) et, enfin, l’élimination totale des menaces et la restauration des endpoints au dernier état correct connu (correction).