20 octobre 2022

Article
4 min

Comment les services gérés de détection et de réponse renforcent les cyberdéfenses

Un partenaire capable d’atténuer fortement les menaces pourra améliorer les outils et les équipes internes.

2 personnes dans un centre de données à côté d’un châssis de serveur informatique et tentant de le réparer.

Les services gérés de détection et de réponse représentent l’un des secteurs les plus florissants dans la cybersécurité. Gartner prévoit que d’ici 2025, 50 % des organisations auront adopté des services gérés de détection et de réponse. Aujourd’hui, cependant, de nombreuses organisations tentent encore de déterminer comment les services gérés de détection et de réponse s’intègrent à leurs outils et capacités existants.

Les services gérés de détection et de réponse associent l’expertise humaine et les technologies sophistiquées pour livrer24/7surveiller : rechercher des menaces, mener des enquêtes et répondre à des activités suspectes. Contrairement aux services d’intervention en cas d’incidents, les services gérés de détection et de réponse sont proactifs. L’objectif consiste avant tout à éviter qu’une faille soit exploitée. Les meilleurs fournisseurs de services gérés de détection et de réponse exploitent une solution élargi de détection et de réponse, qui permet de donner de la visibilité sur tous les domaines où les utilisateurs et les données peuvent exister. Cette capacité est indispensable compte tenu de la nature du travail aujourd’hui.

Examinons quelques scénarios où les services gérés de détection et de réponse pourraient bénéficier à une organisation.

À l’heure où les pirates informatiques développent leurs techniques, les outils de sécurité ne suffisent plus

On a envie de croire que nos défenses sont sécurisées si nous déployons un arsenal de solutions de sécurité évoluées. Malheureusement, de nombreuses organisations ne comprennent pas vraiment que les outils de sécurité ne sont pas toujours suffisants.

À ce stade, la plupart des outils de protection des points d’accès sont généralement efficaces pour détecter les menaces connues. Lorsqu’ils rencontrent une situation vécue auparavant, ils peuvent agir et faire le nécessaire sans avoir besoin d’intervention humaine. Dans d’autres cas, les outils peuvent détecter une menace et bloquer l’instance initiale, mais ils ont tout de même besoin d’une intervention humaine pour sécuriser le reste de l’environnement.

Le problème est que les pirates connaissent le fonctionnement des outils de sécurité et savent comment échapper à la détection. De plus en plus, les ennemis lancent des attaques « hors-sol », où ils tirent profit des outils légitimes pour exploiter les vulnérabilités.

L’une des techniques les plus courantes est l’utilisation malveillante de PowerShell. Peu importe l’efficacité des outils de sécurité, ils ne peuvent pas distinguer les utilisations malveillantes et les utilisations légitimes de PowerShell. Le mieux qu’ils puissent faire est de signaler l’activité qui pourrait révéler un attaquant, de demander à un humain d’enquêter sur la menace potentielle et de déterminer l’action nécessaire.

Autre scénario commun : un attaquant lance une nouvelle attaque dans l’environnement. L’outil de sécurité n’a encore jamais subi ce type d’attaque. Une fois de plus, l’outil ne peut pas agir. Une intervention humaine est nécessaire.

Les services gérés de détection et de réponse traitent ces vulnérabilités grâce à un processus continu de lutte contre les menaces. Un analyste de sécurité anticipe les réflexions d’un pirate. Il ne cesse de rechercher les menaces qui n’ont pas été détectées par les outils de sécurité. Lorsqu’un outil rencontre un nouveau type d’attaque ou un nouveau comportement suspect, l’analyste est la dernière ligne de défense.

Il est difficile pour les organisations d’acquérir une véritable expertise pour identifier les menaces.

Le perfectionnement croissant des pirates informatiques n’est pas la seule raison justifiant l’adoption des services gérés de détection et de réponse. Une autre motivation courante est la nécessité d’adresser le problème de manque de talents. De nombreuses organisations peinent à embaucher des professionnels de la cybersécurité qui savent utiliser efficacement les outils de sécurité. Même les organisations qui parviennent à embaucher des professionnels de la sécurité découvrent qu’ils n’ont peut-être pas toutes les compétences spécialisées nécessaires pour la recherche de menaces. De plus, à mesure que les attaques gagnent en complexité, les outils de sécurité se sont aussi adaptés. Autrement dit, il y a encore moins de personnes équipées pour les utiliser efficacement.

Certaines organisations adoptent les services gérés de détection et de réponse au lendemain d’une faille de sécurité. Suite à une attaque, ces organisations souhaitent s’assurer que cela ne se reproduira plus. Les organisations, dont la croissance est rapide, peuvent investir dans les services gérés de détection et de réponse de manière proactive. Elles savent que tout au long de leur croissance, elles recueilleront et produiront plus de données, et elles souhaitent minimiser les vulnérabilités associées à l’expansion des données.

Pour de nombreuses organisations, l’essentiel consiste à déterminer quelles sont les menaces les plus importantes pour leurs environnements, les outils dont elles ont besoin pour optimiser leur visibilité et le manque de capacités qui les empêche de tirer pleinement parti de ces outils. Les services gérés de détection et de réponse s’avèrent une défense essentielle pour les organisations qui souhaitent maintenir l’avantage sur les attaquants.