Les entreprises sont les cibles d’attaques cyber toujours plus complexes. Les solutions existent, et le maître mot en la matière reste la complémentarité. Mais pour bien gérer ces outils parfois très complexes, le recours à un service managé peut s’avérer indispensable.
Cybermenaces : toutes les entreprises sont en danger
A l’ère cyber, les états sont en danger au même titre que les entreprises. Les organisations
privées comme publiques sont confrontées à des attaques toujours plus complexes mettant en danger aussi bien leurs données et leur image.
Pour faire face, pas de solution miracle : il est nécessaire de s’équiper d’outils permettant d’augmenter leur niveau de sécurité, et ainsi de réduire le champ d’attaque potentiel et le niveau d’expositions aux cyberattaques.
Quand on sait que la plupart des entreprises et des institutions seront victimes d’une intrusion informatique à un moment ou à un autre, on comprend l’importance d’une bonne protection, mais aussi d’une politique de prévention adaptée pour bloquer les attaques avant qu’elles ne se produisent.
EDR : le “Endpoint Detection and Response”, solution de protection désormais indispensable
Les technologies ne manquent pas pour faire face aux enjeux posés par les cyberattaques : parmi les produits incontournables du moment, on peut souligner l’efficacité de l’EDR, ou “Endpoint Detection and Response. Son objectif est de détecter de manière proactive les menaces perpétuées en ligne par les hackers, en complément d’autres solutions comme l’EPP ou Endpoint Protection Platform.
L’EPP, c’est ce qu’on connaît injustement sous le nom d’antivirus, alors qu’il s’agit en réalité d’antimalware. Il ne s’agit pas de remplacer ces plateformes de protection des terminaux. Ce sont des solutions intégrées de sécurité qui tirent parti des fonctionnalités de pare-feu personnel, de contrôle des ports et des périphériques ainsi que de protection contre les malwares. Elles sont toutefois insuffisantes pour limiter les risques d’attaques quand un malware plus avancé parvient à contourner les premières lignes de défense.
C’est là qu’intervient l’EDR, qui a pour particularité d’être apte à mettre en corrélation plusieurs niveau d’événements qu’on appelle IOC (indice de compromission). Car là où l’EPP les aborde de manière indépendante et ne détecte donc pas forcément d’anomalie ou de menace, l’EDR est pour sa part capable de mettre en corrélation les événements pour une visibilité et une intelligence globale.
Ainsi, au contraire de l’EPP qui se concentre principalement sur des fichiers, l’EDR va lui, permettre de se concentrer sur des méthodologies d’attaques complexes. Le rôle d’un EDR se divise en plusieurs points :
- La partie forensic qui consiste à avoir des informations contextuelles sur les attaques, rejouer les chemins d’attaques, mais aussi découvrir le patient 0
- L’analyse des comportements sur les points de terminaisons
- La partie Incident response qui permet de pouvoir déterminer si un incident est malveillant et surtout avoir des préconisations en termes de réponse (qui peuvent être automatisées)
- La partie threat hunting qui va chercher de manière proactive la présence d’une intrusion ou d’une attaque grâce à une analyse analytique et situationnelle
Un niveau d’investigation et de prévention des attaques bien plus poussé !
Externalisation : le “MDR” au service de la gestion des solutions d’EDR
L’EDR fait donc, et c’est logique, de nombreux émules parmi les organisations qui souhaitent élargir leur champ des possibles. Cependant, pour être efficace, la solution reste un outil qui nécessite de l’expertise et du temps. Il faut ainsi pouvoir par exemple mettre en corrélation les différents IOC remontés, détecter les faux positifs, et mettre en place une politique et des règles de sécurité adaptées à son entreprise. Le MDR (Managed Detection and Response) permet ainsi de mettre à disposition des organisations qui souhaitent élargir leur champ des possibles des analystes de sécurité polyvalents et des chasseurs de menaces proactifs.
Ces experts présentent toutes les compétences pour utiliser intelligemment les solutions d’EDR et en tirer le plein potentiel sans agir de manière contre-productive, faute de connaissances ou d’expérience. D’autant que les entreprises n’ont pas forcément la bande passante nécessaire pour gérer une multitude de technologies, certes complémentaires dans la protection de leurs données, mais qu’il faut savoir gérer.
L’externalisation est donc un recours qui leur permettra de se concentrer sur leur cœur de métier tout en étant protégées des hackers et de leurs attaques toujours plus complexes. Il faut pouvoir mettre en place des réponses automatisées en un seul clic, qui soient conformes aux réglementations en vigueur, tout en faisant preuve de granularité. Les ressources seront ainsi optimisées et l’efficacité optimisée. A une époque où, on vous le disait, quasiment toutes les organisations ont été victimes d’attaques aux conséquences plus ou moins dramatiques, un service managé est loin d’être un luxe !
Tribune par Amir DJEBBARI, Sales Solutions Specialist chez Insight