La comparaison peut sembler légitime, surtout si les gens pensent à ces produits comme s’ils appartenaient à une échelle de valeur, mais ce n’est guère le cas. Si quoi que ce soit, les deux servent un objectif très spécifique et les entreprises de cybersécurité conçoivent de telles solutions pour s’adapter à la forme et aux besoins de l’entreprise. La détection et la réponse gérées (MDR) par rapport à la détection et à la réponse au point final (EDR) ne sont pas la bonne question. Au lieu de cela, les entreprises devraient mieux se demander quelle est la bonne pour l’organisation.
L’une des erreurs courantes commises par de nombreuses entreprises, en particulier lorsqu’elles ne font que commencer leur voyage, est de rechercher l’outil de sécurité le plus complexe disponible sur le marché ou une solution tout-en-un. Ces deux initiatives sont erronées. Le choix d’une solution de sécurité doit être conforme au profil de l’entreprise, ce qui signifie généralement qu’une approche personnalisée est toujours recommandée.
Le fait que de nombreuses petites et moyennes entreprises pensent que la cybersécurité se termine par l’installation d’une simple solution de sécurité des terminaux aggrave le problème. La cybersécurité est généralement une approche complexe et multidimensionnelle, même pour les petites entreprises. Cela dépend beaucoup du profil de risque de l’entreprise et de son exposition en ligne.
A propos de l’auteur
Liviu Arsene est chercheur en cybersécurité mondiale chez Bitdefender
La détection et la réponse des points de terminaison ressemblent à une solution conçue pour détecter et intercepter les menaces, mais cela ressemble plus à un détective qui résout des crimes en regardant des indices. En suivant la même analogie, vous pouvez considérer les logiciels de protection des terminaux comme un policier qui patrouille à la recherche de signes d’actes criminels aléatoires, mais c’est lorsque les deux travaillent ensemble que le crime organisé est arrêté.
Une entreprise qui ne dispose pas d’EDR pour son équipe de sécurité ne saura jamais comment une attaque s’est produite, où elle a commencé, comment elle se propage et, plus important encore, quelle était la portée de la menace au sein de l’entreprise. Lorsqu’une entreprise déploie EDR dans son infrastructure, tous ces détails sont disponibles pour une inspection ultérieure d’un incident, même si les attaquants ont réussi. La valeur de cet outil ne peut pas être écartée, car il peut aider l’organisation à comprendre à quelles tactiques et techniques elle est vulnérable, puis à prendre les mesures appropriées pour combler ces angles morts.
Sommaire
MDR comble une large lacune du marché
Lorsqu’une entreprise franchit un certain seuil, le nombre d’événements et d’autres problèmes de sécurité devient trop important pour les équipes internes. Le choix est de continuer avec les équipes existantes, ce qui peut entraîner l’épuisement des employés, ou ils peuvent choisir de construire un centre d’opérations de sécurité (SOC). Malheureusement, ce dernier est généralement coûteux et ne convient qu’aux grandes entreprises disposant de suffisamment de ressources.
MDR est la solution idéale pour les entreprises qui souhaitent transférer tout ou partie de leurs besoins en matière de sécurité à une équipe dédiée. Les organisations peuvent tirer parti des compétences et du savoir-faire de ces experts en sécurité chevronnés et peuvent même planifier des actions de réponse pour des scénarios d’attaque prédéterminés. La différence la plus significative par rapport à une solution EDR est que les experts en sécurité surveillent en permanence les événements, ce qui permet des interventions plus rapides et une recherche plus agressive des menaces.
Un avantage majeur de l’utilisation d’EDR ou de MDR est la capacité à déterminer l’étendue d’une intrusion. Les logiciels malveillants ou autres menaces tenteront probablement de se propager latéralement à l’intérieur de l’infrastructure. Sans un outil médico-légal, il serait presque impossible de déterminer ce qui s’est passé après l’infection ou si les attaquants ont réussi à compromettre et à exfiltrer des données sensibles.
Avec les bons instruments, une équipe de sécurité, sur site ou gérée, peut tout voir depuis le vecteur d’attaque initial et suivre les événements dans d’autres directions à l’intérieur de l’infrastructure. C’est extrêmement utile car c’est un excellent moyen de trouver des menaces avancées ou d’autres vulnérabilités qui autrement resteraient cachées.
Le temps moyen de détection (MTTD) et le temps moyen de restauration (MTTR) sont deux mesures très puissantes, en particulier lorsque les entreprises doivent déterminer les pertes ou les dommages potentiels d’une attaque. L’EDR et le MDR contribuent tous deux à réduire ces délais et à limiter l’impact financier d’une attaque.
En outre, le temps de séjour correspond au temps que les pirates passent à l’intérieur de l’infrastructure. Lorsqu’une entreprise est victime d’une violation, les acteurs de la menace passent généralement beaucoup de temps à se déplacer latéralement avant de prendre des mesures. Une solution MDR, en particulier, peut être très utile pour détecter de tels événements, principalement si elle est utilisée conjointement avec la protection des terminaux.
Enfin, l’analyse des risques humains, la chasse aux menaces et les tactiques générales de résilience de la sécurité sont généralement un package avec des solutions MDR, permettant aux entreprises de sécuriser les terminaux et l’ensemble de l’infrastructure.
La vraie question n’est pas MDR vs EDR. Les entreprises devraient seulement demander lequel des deux – ou peut-être les deux? – est la bonne pour eux. Leurs capacités sont indéniables dans un monde entièrement numérique et devraient être présentes à la fois dans le vocabulaire d’une entreprise et dans leur stratégie de sécurité.
Une brèche, une attaque DDoS, une campagne de phishing réussie ou simplement la négligence d’un employé ne sont plus une question de «si». Ils sont une certitude en attente de se produire, et EDR et MDR sont des armes dans un combat à venir, que les entreprises le veuillent ou non.
