Article réservé aux abonnés Archimag.com

Cybersécurité : MDR, l'expertise humaine avant tout

  • managed-detection-response-cybersecurite-tendance.jpg

    mdr-cybersecurite-services-tendance
    Le marché du MDR connaît une forte croissance : + 48,9 % entre 2020 et 2021. (DCStudio/Freepik)
  • Aussi discrètes que dévastatrices, les cyberattaques constituent l’une des principales menaces pour les organisations. Pour les éviter, les acteurs de la cybersécurité sont de plus en plus nombreux à proposer le service Managed detection & response (MDR). Comment se présente cette offre ? Réponses.

    mail Découvrez toutes les newsletters thématiques gratuites d'Archimag dédiées aux professionnels de la transformation numérique, des bibliothèques, des archives, de la veille et de la documentation.

    Dans son dernier rapport sur la gestion des cyberrisques, l’assureur Hiscox révèle que sur les huit pays étudiés, dont la France, les cyberattaques constituent la menace numéro un des entreprises, devant la pandémie, le ralentissement économique et le manque de compétences.

    Rançongiciel, hameçonnage, vol de données, exploitation de failles de sécurité des logiciels, interception de communication… Aujourd’hui, les cyberattaques prennent de multiples formes et continuent à se développer, tandis que les entreprises en subissent les dégâts.

    Selon la dernière étude du cabinet Asterès, le coût des cyberattaques réussies sur les systèmes d’information des organisations françaises s’élève à deux milliards d’euros en 2022. Outre l’aspect financier, ces méfaits peuvent aussi générer des pertes de clients, une atteinte réputationnelle ou encore des menaces en termes de solvabilité.

    Depuis le 24 avril 2023, les entreprises (personnes physiques ou morales) victimes d’une cyberattaque ont 72 heures pour porter plainte afin d’être indemnisées par leur assureur. "Ce délai débute à partir de la découverte par la victime des pertes et dommages occasionnés par la cyberattaque, et non à partir de la date de la cyberattaque elle-même", précise la direction de l’information légale et administrative (Dila).

    Lire aussi : Les entreprises et administrations françaises au cœur de la Directive NIS 2

    Au niveau des profils, tous les types d’organisations sont concernés, même si une tendance se dessine. "Les entreprises dont le chiffre d’affaires est compris entre 90 000 et 450 000 euros peuvent désormais s’attendre à autant de cyberattaques que celles qui gagnent entre 900 000 euros et 8,1 millions d’euros par an", estime l’assureur Hiscox. "Ces chiffres concordent avec les avertissements des agences internationales, selon lesquels les pirates agissant au moyen de ransomwares délaissent les cibles les plus importantes pour se tourner vers des entreprises de taille moyenne."

    Parmi l’arsenal de solutions pour se prémunir de ces menaces, l’offre de Managed detection & response (détection et réponses gérées ou MDR) se développe de plus en plus. Le cabinet Gartner estime que d’ici 2025, 60 % des organisations utiliseront de manière active "les capacités de perturbation et de confinements des cyberattaques des fournisseurs de MDR", contre 30 % à l’heure actuelle. Ce segment de marché connaît une forte croissance dans le monde de la cybersécurité (+ 48,9 % entre 2020 et 2021).

    Plusieurs couches de protection

    Mais en quoi consiste le MDR ? Ce service de sécurité informatique fournit aux clients une surveillance continue 24 heures sur 24 et 7 jours sur 7. L’offre se compose de différents piliers indispensables, fondés sur des outils techniques et l’expertise humaine.

    "Malheureusement, l’automatisation et l’intelligence artificielle ne suffisent pas", confirme Tony Audoin, directeur channel chez Kaspersky. "Nous avons besoin d’analystes qui scrutent, recherchent et anticipent les incohérences comportementales." 

    Chez Eset, acteur européen de la cybersécurité, le MDR combine plusieurs aspects : "nous travaillons avec une base d’antivirus que nous qualifions aujourd’hui de modern endpoint," explique Benoît Grünemwald, porte-parole et directeur des affaires publiques de l’éditeur. "Sur cette couche de protection indispensable, nous allons rajouter un endpoint detection & response (EDR). Ces deux solutions constituent un socle minimal auquel s’agrègent des fonctionnalités supplémentaires".

    C’est à ce stade que le MDR prend tout son sens : des centres d’opérations de sécurité (ou Soc) apportent en plus une analyse et une réponse d’équipes d’experts.

    Lire aussi : Hacking éthique, cybersécurité, empreinte numérique... Rencontre avec Baptiste Robert

    Une étroite collaboration nécessaire

    La société Vectra propose une plateforme basée sur l’IA. "Lorsqu’un attaquant entre dans un système, il peut être difficile à détecter parce qu’il se comporte presque comme un utilisateur normal", indique Christophe Jolly, directeur régional Europe du Sud chez Vectra. "Mais certains de ses comportements peuvent le trahir. Des algorithmes mathématiques vont donc carburer pour identifier les petites traces qu’il laisse dans sa progression, pointer du doigt l’utilisateur ou le groupe réseau qui pose problème et en informent le Soc." 

    Le centre d’opérations va ensuite déterminer la nature de l’attaque et lancer ou non une investigation. "La chaîne de réponses à un incident implique nécessairement de pouvoir échanger avec d’autres personnes", poursuit Christophe Jolly. "Car seul l’humain peut décider des réponses à apporter".

    L’offre de MDR ne peut se construire qu’en étroite collaboration avec les organisations. De manière générale, le prestataire de service téléguide les équipes internes pour mener les opérations et n’intervient pas directement sur le réseau informatique. Si des réponses automatisées peuvent être mises en place, elles peuvent s’avérer aussi dangereuses : mise à l’arrêt de la production, mauvaise qualification de l’incident, etc.

    L’extension du service de sécurité

    Eset dispose de 13 laboratoires à travers le monde. "Cela nous permet de “suivre le soleil”", explique Benoît Grünemwald ; "quand une partie du globe s’endort, une autre se réveille pour surveiller les menaces". Et si certains ont des spécialités, la plupart des laboratoires sont homogènes afin d’apporter un maximum de protection quoi qu’il arrive.

    Lire aussi : Cybersécurité : bientôt une loi sur la cyber-solidarité pour l’Europe

    Même constat chez Kaspersky : "Disposer d’une équipe internationale est important, car les attaques ne viennent pas uniquement de France ou d’Europe", explique Tony Audoin. "Elles proviennent du monde entier. Il ne faut pas cloisonner."

    D’autant plus que la tendance est à la professionnalisation des cyberattaquants. "Le recours au logiciel malveillant est juste la partie immergée de l’iceberg", reprend Benoît Grünemwald. "Si la détonation a souvent lieu un vendredi soir à 21 heures, les différentes phases de l’attaque sont de plus en plus furtives et peuvent demeurer longtemps dans le système d’information du client. C’est là que le service de MDR trouve tout son sens."

    Adapté aux enjeux des PME et ETI

    Depuis la crise du Covid-19 et la généralisation du télétravail, les pratiques ont évolué. "Les attaquants ont très bien compris que le cloud ou certaines applications SaaS sont des portes d’entrée très intéressantes", indique Christophe Jolly de Vectra. "Ces outils amènent de nouveaux enjeux de sécurité, dont les entreprises ne mesurent pas forcément tous les risques associés." 

    Pour les acteurs de la cybersécurité, l’heure est donc à l’évangélisation. Certains proposent systématiquement le service de MDR. "À partir d’une centaine de postes, nous observons une prise de conscience", constate Benoît Grünemwald. Et Tony Audoin de compléter : "certaines organisations font appel à un service de MDR pour se libérer justement de cette sensibilisation et se consacrer à d’autres tâches."

    Tous s’accordent à dire que cette offre répond particulièrement bien aux enjeux des PME et ETI qui disposent de plus petites équipes informatiques et qu’elle permet de pallier des manques de compétences, d’équipement ou de temps. "Aujourd’hui, les équipes IT souhaitent bénéficier de services, de solutions et d’aides au quotidien," conclut Tony Audoin. "Et cela concerne toutes les typologies d’entreprises."

    Cet article vous intéresse? Retrouvez-le en intégralité dans le magazine Archimag !
    organiser-projet-digitalisation
    La digitalisation et l’automatisation des processus sont devenues des enjeux de performance, voire de survie pour les entreprises comme pour les collectivités. Qu’il s’agisse de mettre en conformité vos processus documentaires ou de les rendre plus efficients, la mise en œuvre de ces chantiers interroge. Découvrez comment établir votre feuille de route !
    Acheter ce numéro  ou  Abonnez-vous
    À lire sur Archimag
    Les podcasts d'Archimag
    Rencontre avec Stéphane Roder, le fondateur du cabinet AI Builders, spécialisé dans le conseil en intelligence artificielle. Également professeur à l’Essec, il est aussi l’auteur de l’ouvrage "Guide pratique de l’intelligence artificielle dans l’entreprise" (Éditions Eyrolles). Pour lui, "l’intelligence artificielle apparaît comme une révolution pour l’industrie au même titre que l’a été l’électricité après la vapeur".