Protection & Sécurité

Réactivité cyber : pourquoi les entreprises se tournent vers des services de détection et réponse managées (MDR) ?

Temps de lecture: 10 minutes

Face à des adversaires toujours plus agiles et déterminés, les solutions et services de détection et réponse managées (Managed Detection and Response) peuvent aider les entreprises à garder une longueur d'avance.

Combien de temps faut-il aux cybercriminels pour passer de l'accès initial au mouvement latéral ? Des jours ? Des heures ? Malheureusement, pour de nombreuses entreprises, la réponse se résume de plus en plus souvent à quelques minutes. En effet, selon un rapport, le temps moyen nécessaire pour passer à l'action en 2024 était de 48 minutes, soit 22 % de moins que l'année précédente. Un autre chiffre tiré du même rapport vient s’ajouter à ces préoccupations : le temps moyen nécessaire pour contenir une cyberattaque (MTTC) était généralement mesuré en heures.

Il s'agit d'une course contre la montre que de nombreuses entreprises sont en train de perdre. Heureusement, les criminels n'ont pas toutes les cartes en main et les défenseurs cyber peuvent riposter. En investissant dans une solution de détection et de réponse managées (MDR) robuste et reconnue, les équipes informatiques ont accès à une équipe d'experts qui travaille 24 heures sur 24 pour détecter, contenir et atténuer rapidement les menaces entrantes. Passez à la vitesse supérieure et protégez votre entreprise.

Pourquoi choisir des services de détection et réponse managées ? (MDR)

Le marché des services de Managed Detection and Response devrait connaître une croissance annuelle moyenne de 20 % au cours des sept prochaines années, pour dépasser les 8,3 milliards de dollars d'ici 2032. Cette évolution est une réponse directe aux développements dans le domaine de la cybersécurité. Sa popularité croissante auprès des équipes informatiques et de sécurité s'explique par plusieurs facteurs critiques et interdépendants :

Les violations atteignent des niveaux records

Selon le Centre américain de recherche sur l'usurpation d'identité (ITRC), plus de 3 100 compromissions de données d'entreprises ont été recensées aux États-Unis l'année dernière, touchant un nombre impressionnant de 1,4 milliard de victimes, et 2025 est en passe de battre à nouveau tous les records.

Les conséquences financières sont tout aussi désastreuses : le dernier rapport IBM sur le coût des violations de données estime le coût moyen d'une violation de données à 4,4 millions de dollars aujourd'hui. Cependant, rien qu'aux États-Unis, ce coût est bien plus élevé, avec une moyenne de 10,22 millions de dollars.

La surface d'attaque continue de s'étendre

Le travail hybride fait partie intégrante du mode de fonctionnement de nombreuses entreprises, combinant travail au bureau et télétravail. Elles investissent également dans le cloud, l'IA, l'IoT et d'autres technologies afin d'obtenir un avantage concurrentiel. Malheureusement, ces mêmes investissements, ainsi que la croissance continue des chaînes d'approvisionnement, augmentent également la taille des potentielles surfaces d’attaque visées par les criminels.

Les cybercriminels se professionnalisent

L'univers obscur de la cybercriminalité regorge de plus en plus d'offres de services permettant même à ceux qui n’ont pas les connaissances techniques suffisantes de lancer des cyberattaques diverses, du phishing à des attaques DDoS en passant par des campagnes de ransomware et d'infostealing.

Selon les experts du gouvernement britannique, l'IA offrira encore plus de nouvelles opportunités aux cybercriminels pour augmenter la fréquence et l'intensité des menaces.

Elle les aide déjà à automatiser la reconnaissance et à détecter et exploiter plus rapidement les vulnérabilités. Une étude affirme avoir enregistré une réduction de 62 % du délai entre la découverte d'une faille logicielle et son exploitation.

La pénurie de compétences et de ressources continue de s'aggraver

Les équipes de défense sont en sous-effectif depuis un certain temps. La pénurie mondiale de professionnels de la sécurité informatique est estimée à plus de 4,7 millions. Et avec 25 % des organisations déclarant des licenciements dans le domaine de la cybersécurité, les chefs d'entreprise ne sont pas disposés à dépenser beaucoup pour recruter des talents et équiper un centre d'opérations de sécurité (SOC).

Pourquoi la rapidité est-elle importante en matière de MDR ?

Dans ce contexte, l'externalisation est tout à fait logique. Il s'agit d'un moyen moins coûteux (en particulier en termes d'investissements) d'assurer une surveillance et une détection des menaces 24 heures sur 24, 7 jours sur 7, y compris la recherche proactive des menaces, par une équipe d'experts dédiée. Cela permet non seulement de pallier au manque de compétences, mais aussi d'assurer une protection rapide et permanente. Cela peut apporter une tranquillité d'esprit, en particulier à une époque où 86 % des victimes de ransomware admettent avoir été touchées pendant le week-end ou un jour férié.

La rapidité est importante dans ce contexte, car elle peut contribuer à :

  • Réduire au minimum le temps de présence des criminels, qui est actuellement de 11 jours selon Mandiant. Plus les malfaiteurs restent longtemps dans votre réseau, plus ils ont de temps pour trouver et exfiltrer des données sensibles et déployer des ransomwares.
  • Contenir rapidement le « rayon d'action » d'une attaque, en veillant à isoler les systèmes/segments de réseau compromis, et empêcher ainsi la propagation d'une violation.
  • Réduire les coûts liés aux violations graves, notamment les temps d'arrêt, les mesures correctives, la réputation de la marque, les notifications, le conseil informatique et les éventuelles amendes réglementaires.
  • Satisfaire les autorités en affirmant votre engagement à détecter et à répondre rapidement et efficacement aux menaces.

Que faut-il rechercher dans une solution MDR ?

Une fois que vous avez décidé d'améliorer vos opérations de sécurité (SecOps) à l'aide d'une solution MDR, vous devez vous concentrer sur les critères d'achat. Avec autant de solutions disponibles sur le marché, il est important de trouver celle qui convient à votre entreprise. Vous devez au minimum rechercher les éléments suivants :

  • Détection et réponse aux menaces basées sur l'IA : des analyses intelligentes pour signaler automatiquement les comportements suspects, utiliser les données contextuelles pour améliorer la fiabilité des alertes et remédier automatiquement aux problèmes si nécessaire. C'est le moyen d'accélérer les enquêtes et de résoudre les problèmes avant que les criminels n'aient la possibilité de causer des dommages durables.
  • Une équipe fiable d'experts en la matière : si la technologie est importante, les personnes qui opèrent derrière votre solution MDR le sont sans doute plus encore. Vous avez besoin d'une expertise SOC de niveau entreprise qui fonctionne comme une extension de votre équipe de sécurité informatique pour gérer la surveillance quotidienne, la recherche proactive des menaces et la réponse aux incidents.
  • Capacités de recherche de pointe : les fournisseurs qui gèrent des laboratoires de recherche sur les logiciels malveillants renommés seront les mieux placés pour stopper les menaces émergentes, y compris les zero days. En effet, leurs experts étudient chaque jour les nouvelles attaques et les moyens de les atténuer. Ces informations sont inestimables dans un contexte MDR.
  • Déploiement personnalisé : une évaluation du client avant chaque nouvelle mission permet au fournisseur MDR de comprendre votre environnement informatique et votre politique de sécurité.
  • Couverture complète : recherche des fonctionnalités de type XDR sur les terminaux, les e-mails, le réseau, le cloud et d'autres couches, ne laissant aucune chance aux criminels de se cacher.
  • Recherche proactive des menaces : enquêtes périodiques pour détecter les menaces qui auraient pu échapper à l'analyse automatisée, y compris les menaces APT sophistiquées et les exploits zero-day.
  • Intégration rapide : une fois que vous avez choisi un éditeur sûr et réputé, la dernière chose dont vous avez besoin est d'attendre des semaines avant de pouvoir bénéficier d'une protection. Les règles de détection, les exclusions et les paramètres doivent être correctement configurés avant de commencer.
  • Compatibilité avec d'autres outils : les outils de détection et de réponse doivent fonctionner de manière transparente avec vos outils de gestion des informations et des événements de sécurité (SIEM) et d'orchestration et de réponse en matière de sécurité (SOAR). Ceux-ci doivent être proposés par le fournisseur MDR ou via des API vers des solutions tierces.

Le bon service de MDR ajoutera une couche indispensable à votre environnement de cybersécurité, et viendra ainsi soutenir une approche de la sécurité axée sur la prévention, visant principalement à empêcher les codes malveillants ou les cybercriminels d'endommager vos systèmes informatiques. Cela implique notamment d'utiliser également la protection des serveurs, des endpoints et des appareils, la gestion des vulnérabilités et des correctifs, ainsi que le chiffrement complet des disques. Grâce à une combinaison judicieuse d'intelligence humaine et artificielle, vous pouvez accélérer votre transition vers un avenir plus sûr.