Cybersecurity
Governance, Resilience, IAM, PAM, DLP, SIEM, SOC
MDR… Par-delà la course aux armements
Selon Gartner, une entreprise sur deux aura basculé vers le MDR (Managed Detection and Response) à l’horizon de 2025. Ou comment répondre à la complexité des solutions EDR et XDR. Un service plutôt que la technologie. Analyse.
Et le MDR ? « EDR, XDR… ces technologies reflètent la réalité du moment : les cybercriminels ne cessent d’intensifier et d’affiner leurs techniques et les défenseurs doivent impérativement adopter une approche de détection et de réponse aux incidents innovante s’ils veulent garder une, voire plusieurs longueurs d’avance. Oui à la technologie, mais peut-elle suffire ? », questionne Nicolas Boucquillon, Regional Manager, Cyber Security Management.
La cybersécurité est souvent assimilée à une course aux armements entre attaquants et défenseurs. Désormais, cette course s’étend au-delà du endpoint. Maintenant que les entreprises ont adopté le travail à distance et opté pour l’infrastructure dans le cloud, développant ainsi la surface d’attaque, seule une plateforme intégrée peut fournir la visibilité et les défenses automatisées requises pour tous les actifs. En combinant protection des terminaux, des réseaux et des applications, on facilite la détection, on renforce le triage et on s’assure d’une vraie réponse. Toutefois, sur le terrain, ce n’est pas aussi évident…
EDR et XDR, des points communs et des différences
EDR et XDR permettent de déployer une politique de cybersécurité efficace et d’accroître le niveau de protection. Les technologies Les technologies EDR et XDR sont en ce sens toutes deux conçues pour :
- permettre aux entreprises d’anticiper au mieux les menaces cyber
- fournir une réponse rapide et efficiente en cas d’incident
- détecter, analyser, corréler toutes les données collectées à des fins d’apprentissage et de capitalisation
À l’inverse, ces solutions diffèrent sur les points suivants :
- l’EDR n’apporte de la visibilité que sur les terminaux d’une entreprise, quand le XDR est capable de couvrir tout le réseau, ce qui permet une anticipation et une détection des attaques nettement plus complètes ;
- le XDR apporte une couche d’automatisation supplémentaire à celle de l’EDR, au profit d’un niveau d’investigation des menaces plus performant
Des compétences, une équipe…
Le champ d’action est large. Déjà, un EDR n’est pas un simple agent antivirus que l’on déploie sur un parc. En dépit des efforts des éditeurs pour proposer des interfaces conviviales et l’aide apportée par les AI pour filtrer les données, manipuler un EDR va au-delà de la simple gestion de parc.
Exploiter un tel outil n’a rien d’anodin. C’est une solution de sécurité qui demande des compétences, une expertise que toutes les entreprises n’ont pas. Les éditeurs d’EDR argumentent que leurs solutions n’ont pas besoin d’administration. Mais la réalité du terrain montre qu’il faut une équipe derrière pour traiter les alertes.
« L’EDR est une extension de la protection ; il s’attaque au changement de comportement des acteurs de la menace, explique Anthony Merry, Senior Director Marketing, Sophos. Par exemple, l’utilisation d’outils légitimes ou le fait de rester caché avant de mener une attaque. Cela nécessite un rôle et des compétences distincts qui diffèrent de ceux d’un administrateur informatique ordinaire pour vraiment tirer parti de la puissance de la solution. Certaines entreprises s’adaptent à ce changement, pouvant compter des employés disposant du temps et des compétences nécessaires pour effectuer des activités de chasse aux menaces. D’autres entreprises découvrent qu’elles sont rapidement dépassées ; elles ont besoin de l’aide d’un partenaire. La solution, alors, s’appelle MDR (Managed Detection and Response). »
Vue d’ensemble
Recontextualisons. Les cybercriminels affinent constamment leurs techniques, adoptant de plus en plus une approche progressive de leurs cibles. Certains types d’attaques ne peuvent être stoppés par une détection uniquement sur les points de terminaison ou sur les serveurs, assure Pieter Molen, Technical Director Benelux, Trend Micro. « Ce n’est plus comme dans le passé où, avec une simple solution anti-virus, on pouvait arrêter un ‘virus’ et on était tranquille. La diversité des solutions informatiques s’élargit, qu’il s’agisse de serveurs sur site ou dans le cloud, de développement d’applications DevOps, mais aussi d’IoT. Bref, de plus en plus de choses entrent dans le domaine informatique. Ainsi, ces dispositifs qui relevaient auparavant du domaine physique, comme les IRM dans les hôpitaux et l’automatisation industrielle. C’est pourquoi, outre l’antivirus traditionnel, une solution de détection et de réponse aux points d’extrémité -les EDR- n’est malheureusement plus suffisante. Pour avoir une vue d’ensemble, il faut également inclure terminaux, serveurs, solutions de cloud computing, applications et certainement le réseau. Place au XDR ! »
Changement d’époque. Au cours des dernières années, on a observé une explosion d’attaques dites zero-day. Les solutions antivirus que nous connaissons depuis des années fonctionnent sur un modèle de signature et de seuils, constate Nicolas Boucquillon. Ces techniques, bien qu’efficaces -à l’époque- ne suffisent plus à arrêter des attaques telles que les ransomwares. « Il est donc nécessaire de se tourner vers des solutions qui proposent une analyse comportementale des endpoints. Ces dernières, bien qu’intuitives, sont en effet difficiles à maintenir et exploiter à leur plein potentiel. De plus, la plupart des attaques ont lieu lors de week-ends, nuits et jours fériés, ce qui ne facilite pas l’intervention des équipes IT. A quoi bon avoir une alarme si personne ne l’entend sonner ! »
XDR, interprétation d’un concept
C’est une course en avant, une course sans fin. Les vendeurs EDR commencent tous à se positionner en tant que vendeurs XDR, commente Bart Manteleers, Head of Business Development, Orange Cyberdéfense. Et, bien évidemment, chacun a sa propre interprétation du concept ! « Ces interprétations sont ensuite appuyées par de belles démonstrations. Cependant, la réalité est que l’IA a une valeur ajoutée dans ce domaine, car elle permet à l’analyste de sécurité de travailler beaucoup plus efficacement en fournissant plus de contexte et moins de faux positifs. Mais en fin de compte, un analyste de la sécurité est toujours indispensable pour assurer une interprétation finale et prendre les contre-mesures adéquates. En ce qui concerne ce dernier point, la réponse automatisée n’est rien de plus qu’une aide de ‘première ligne’. »
Toujours selon Bart Manteleers (Orange Cyberdéfense), il y a une surabondance de solutions/fournisseurs XDR. « Je m’attends à une vague de consolidation. On verra les grands acteurs des plates-formes de sécurité que sont Checkpoint, Fortinet ou Palo Alto s’attaquer aux spécialistes des endpoints tels que Cybereason, CrowdStrike, SentinelOne ou Trend Micro. Sans oublier Microsoft qui, à mon avis, deviendra un acteur dominant dans ce domaine… »
Côté opérationnel, parce qu’il adresse un périmètre plus large, un projet de XDR implique de se poser encore plus de questions que lors du déploiement d’un EDR, confirme Nicolas Boucquillon (Cyber Security Management). Il convient en effet de s’interroger sur la meilleure façon de couvrir l’ensemble du parc, de gérer la remédiation ou encore de se demander jusqu’où automatiser.
Quid de l’outil sans les compétences ?
De fait, pour pouvoir continuer à offrir une résistance efficace, il est essentiel d’avoir une connaissance actualisée et approfondie des différents types de menaces et de techniques d’attaque, enchaîne Pieter Molen (Trend Micro). « Pour atteindre cet objectif, il faut des compétences et une expertise que toutes les entreprises ne possèdent pas, sans compter les ressources disponibles. Les organisations qui n’ont pas la capacité et les ressources financières pour le faire ont intérêt à utiliser une plateforme qui fournit les intégrations et les informations sur les menaces. Cela permet de comprendre et de réagir à partir d’une seule console. Cela permet à votre organisation de réagir et de remédier plus rapidement et de se concentrer sur ce qui est important. »
Nicolas Boucquillon (Cyber Security Management) invite à voir plus loin. « Considérons la question sous forme de service. Envisageons donc la piste du MDR. Soit la réponse pour détecter, enquêter et réagir aux menaces. C’est s’assurer de l’expertise de professionnels, d’une organisation et d’une technologie qui, combinées, améliorent la sécurité de vos infrastructures. Nous la proposons avec Advens, qui met en œuvre la technologie de Cybereason. »
MDR ou la chasse aux menaces
Pour la majorité des experts, l’effervescence du marché pour le MDR s’explique de plusieurs façons. Il y a certainement eu un effet Covid avec des entreprises confrontées à un télétravail massif et qui ont cherché des solutions pour mieux sécuriser tous ces postes distants.
L’autre facteur est plus structurel : les EDR sont des outils complexes. Et si l’IA permet des automatisations, cette complexité va aller encore en s’accroissant avec l’arrivée des XDR. Ceux-ci vont multiplier les sources de données analysées et le pas à franchir est important pour les entreprises.
Qui plus est, les services MDR vont au-delà de la détection des menaces fournie par les outils de cybersécurité. Ils incluent une approche proactive de « chasse aux menaces » dans laquelle des équipes recherchent toutes les failles et intrusions qui n’auraient pas été identifiées par les outils automatiques. On parle ici de « lead driven » où les analystes en sécurité utilisent leurs outils pour détecter tout comportement malveillant et suspect puis investiguent dessus. Et de « leadless » où aucune intrusion ou anomalie ne sert de point de départ. L’analyse, alors, consiste à réaliser de manière proactive des requêtes au niveau des domaines d’un client pour étudier ses réponses.
Se concentrer sur les alertes réellement critiques
Avec le MDR, il n’est plus nécessaire de déployer, configurer, maintenir et faire évoluer tout un ensemble de solutions. Ces responsabilités sont, tout simplement, transférées au fournisseur de service. Ce qui rend le MDR particulièrement populaire en entreprise. Le cabinet Gartner estime ainsi que d’ici à 2025, 50 % des organisations utiliseront le MDR. Ce recours massif serait aussi lié à la pénurie de talents. Aujourd’hui, 76 % des responsables de la cybersécurité estiment qu’ils ne sont pas en mesure d’utiliser les technologies à leur plein avantage en raison d’un manque d’effectifs… Le nombre croissant d’alertes et d’attaques ne faisant que croitre, il devient très difficile de toutes les traiter. Selon Gartner, toujours, 28 % des alertes seraient ainsi ignorées par manque de temps et de moyen !
La problématique de l’EDR en général, et du XDR en particulier, c’est de générer énormément d’alertes, estime-t-on chez Orange Cyberdéfense. S’appuyer sur une offre MDR, c’est pouvoir laisser aux équipes le traitement de toutes ces alertes mineures pour se concentrer sur les alertes réellement critiques et la réponse à incident.