SIEM, EDR, MDR - en interne ou en service managé ?

WS_team_working_on_laptop_blue_vibe
Reading time: 5 min

    Published

  • 08/2023
Ben Tudor

L'informatique - et la cybersécurité - ne cessent de se complexifier. Heureusement, des solutions existent.

Les mesures de sécurité préventives traditionnelles - firewalls, protection des endpoints, contrôles de gestion des identités et des accès (IAM) - ne suffisent plus à assurer une protection efficace contre les cybermenaces. La solution classique consiste à utiliser une plateforme de gestion des informations et des événements de sécurité (SIEM) pour centraliser l'ensemble des alertes et des données. Malheureusement, les entreprises ayant les moyens d’investir dans un SIEM sont ensuite confrontées à un véritable déluge de données d'une fidélité très variable, provenant d'une multitude de contrôles. C'est ce qui a conduit à l'émergence de deux nouvelles solutions : L'EDR (Endpoint Detection and Response), et la Détection & Réponse managées (MDR - Managed Detection and Response).

Tous les fournisseurs prétendent offrir des services EDR, MDR et XDR (détection et réponse étendues).  L'offre est pourtant très hétérogène et d’une qualité variable. Pour choisir le fournisseur le plus adapté, vous devez d’abord déterminer ce dont votre organisation a besoin. Il est tout à fait possible que le SIEM que vous utilisez soit parfaitement adapté. Pour autant, les SIEM internes gérés par des centres d'opérations de sécurité (SOC) internes nécessitent une maintenance constante. Ils épuisent les capacités des entreprises qui, en définitive, peinent à se défendre efficacement. Vos professionnels les plus compétents sont alors contraints de se débattre avec les registres, ce qui entrave leur motivation et les décourage.

Contraintes liées aux ressources internes

La première question que vous devez vous poser concerne vos ressources (temps, professionnels, outils) : aurez-vous besoin de capacités de détection et de réponse, avec Threat Detection et Threat Hunting, dans les six prochains mois ? Disposez-vous d'une équipe expérimentée pour gérer un service de surveillance et de réponse 24h/24 et 7j/7 ? Si le temps presse, un service de détection et de réponse managé, géré soit par un fournisseur, soit par un prestataire de services de sécurité managés (MSSP), est probablement la meilleure option. Vous pouvez utiliser le MDR comme solution temporaire pendant que vous développez vos propres capacités en interne. Externaliser peut aussi s'avérer intéressant à plus long terme, si vous manquez de personnel ou d'expertise.

Quelle plateforme vous convient le mieux ? SIEM, EDR ou MDR ?

Vous êtes sans doute tiraillé entre deux opposés : d'un côté, le besoin de pouvoir tout visualiser et contrôler, et de l'autre, le désir de confier tous ces problèmes à un prestataire expert. Sans surprise, de nombreuses organisations se situent quelque part entre les deux.

L'EDR se situe dans ce juste milieu. C'est un outil puissant qui, entre de bonnes mains, fournit visibilité et efficacité. Et, en cas de problème, le prestataire est en bonne position pour mobiliser les bons experts et intervenir.

Chez WithSecure, nous fournissons un service appelé "Elevate" : il sert de passerelle entre notre service EDR et un dispositif MDR complet. WithSecure™ Elements EDR est proposé en service auto-géré ou managé par l'intermédiaire de l'un de nos partenaires. Et en interne, nous disposons de nombreux chercheurs, Threat Hunters et Incident Responders, qui peuvent être mobilisés si votre équipe a besoin de renforts.

Dans certaines circonstances, un SIEM efficace peut s'avérer très utile. La mise en place et la maintenance d'un SIEM ont notamment du sens si plusieurs facteurs sont réunis : la conformité réglementaire représente pour vous une priorité, vous disposez déjà d'une équipe solide de spécialistes et la gestion des endpoints (enregistrements, analyses) apparaît en tête de liste de vos priorités. Pour autant, un SIEM coûte cher. Dans certains secteurs, les dirigeants avisés ont déjà intégré cet investissement au budget de l'entreprise. Tout change pourtant dans le cas d'une approche 100% cloud. En effet, les économies et la flexibilité obtenues grâce au cloud peuvent être totalement éclipsées par la mise en place d'un SIEM.

Un MDR on-premise ?

Si aucune de ces solutions ne vous conviennent, il y a le MDR (Manage Detection and Response). Informatique on-premise, conformité, accréditations ISO27001, taux de faux positifs supérieurs à 10%, menaces internes et externes... Ces facteurs viennent plaider en faveur d'une approche MDR avec analyses avancées UEBA (analyse des entités et des comportements des utilisateurs).

Vous avez du mal à recruter ou à fidéliser des spécialistes qualifiés ? Dans ce cas aussi, le MDR peut être la solution.  Il vous donne la certitude de pouvoir faire face aux menaces, libère vos ressources et vous évite de devoir accroître vos effectifs de cybersécurité. Même chose si votre équipe ne dispose pas de compétences en Threat Hunting ou si elle n'est pas capable de répondre aux alertes : le MDR, qu'il s'agisse de notre propre MDR Countercept ou d'un service EDR managé par l'un de nos partenaires, peut répondre à vos besoins. Le recours à des partenaires MDR locaux peut s'avérer très précieux si votre secteur d'activité présente des exigences spécifiques ou si vous souhaitez bénéficier de services dans une langue autre que l'anglais international. Si vous n'avez pas la nécessité d'un service de monitoring et de réponse 24h/24, 7j/7, un service managé par un partenaire peut également s’avérer approprié.

Vous souhaitez recevoir un flux continu d'informations sur la sécurité et obtenir des recommandations en dehors des attaques ? Alors Countercept MDR est fait pour vous : nos Threat Hunters passent une grande partie de leur temps à mener des recherches en adoptant le point de vue des pirates informatiques, puis ils communiquent leurs résultats à nos clients.

Et ensuite ?

Si vous souhaitez mettre en place votre propre dispositif de détection et de réponse, mais que vous n'êtes pas encore sûr qu'il s'agit de la voie à suivre, alors consultez l'un de nos experts : il pourra vous dire quelle approche convient le mieux à votre entreprise.

Vous envisagez une solution intermédiaire reposant à la fois sur le développement de vos capacités et sur l’adoption d’un système EDR ? Alors, lisez ce document. Il explique toute l’utilité d’un système EDR.

Enfin, si l'approche MDR répond à vos besoins, voici 14 questions qui vous aideront à choisir le bon fournisseur de services MDR.

Réponse aux cyberincidents : identifiez vos faiblesses

Êtes-vous en capacité de répondre aux cyberattaques avant qu'elles ne dégénèrent en incident majeur ? Faites le test et obtenez un rapport de risques personnalisé, avec des recommandations pratiques.

Obtenir mon rapport personnalisé

Vous souhaitez en discuter plus en détail ?

Complétez ce formulaire, et nous vous contacterons dans les plus brefs délais.