MDR : un haut niveau de sécurité à portée de main

Pour bien comprendre le concept, il faut tout d’abord revenir sur l’évolution de la cybersécurité. “Dans les premiers temps, l’ordinateur (portable) était considéré comme un endpoint, la dernière étape dans la ligne de défense. Le secteur de la sécurité se concentrait sur l’amélioration des pare-feux qui protègent le périmètre. Les cybercriminels se sont alors intéressés aux postes de travail puisque ceux-ci étaient encore protégés par une technologie obsolète”, explique Bastiaan Germs, cybersecurity expert chez Proximus.

Le principe était en réalité très simple : les entreprises de sécurité établissaient la liste de tous les virus connus. Leur logiciel antivirus vérifiait ensuite si l’un d’entre eux était dissimulé dans un fichier ou un e-mail. “Cette approche s’est toutefois avérée intenable à long terme. Trop de nouvelles menaces ou variantes apparaissaient trop rapidement. Songez aux fameuses attaques Zero Day qui infectent les systèmes avant que vous ne puissiez mettre votre antivirus à jour.”

Analyse comportementale

Le secteur de la sécurité a par conséquent ajusté son approche et commencé à renforcer la protection des postes de travail. Il s’agit non seulement d’identifier les dangers connus, mais aussi les menaces encore inconnues. L’analyse comportementale joue un rôle primordial à cet égard. “Et elle passe par la surveillance constante des équipements”, indique Bastiaan. “Quand un fichier récemment téléchargé se met brusquement à crypter votre ordinateur, c’est qu’il y a un problème.” L’important est de ne pas s’arrêter à ce constat. Le logiciel de sécurité doit en effet y associer une action concrète.

Perspective plus large

Le secteur est donc passé de la sécurité classique des endpoints à l’EDR ou endpoint detection and response. Cette approche s’inscrit dans l’idée que la protection à 100 % n’existe pas. Lorsqu’un incident se produit, mieux vaut le détecter le plus rapidement possible et y apporter la réponse adaptée.

“C’est de là qu’est né le concept de XDR ou extended detection and response”, poursuit Bastiaan. “La perspective est plus large. La XDR recueille des données non seulement au niveau des endpoints, mais par exemple aussi sur le réseau. L’analyse et la corrélation de toutes ces données permet une détection plus rapide et plus efficace des situations anormales.”

La XDR assure l’analyse des risques tandis que le MDR garantit une interprétation humaine correcte.

Bastiaan Germs, cybersecurity expert chez Proximus NXT

La XDR n’est-elle pas identique au SIEM (Security Information & Event Management) ? “Je ne pense pas”, répond Bastiaan. “Le SIEM est un outil très puissant et flexible, mais il s’agit typiquement d’une boîte vide dans laquelle vous devez définir toutes les règles et décrire toutes les actions de la corrélation. La XDR permet d’aller beaucoup plus vite. Le fournisseur rassemble lui-même toutes les informations, déploie l’IA et permet une réponse automatisée très poussée.”

Il est par exemple possible d’isoler automatiquement et de manière très ciblée un endpoint afin d'empêcher la propagation d’une infection. “Dans une solution SIEM, l’approche est avant tout manuelle. En cas d’incident, vous devez mettre la réponse en place par vous-même, dans une véritable course contre la montre.”

Approche Best of suite

La XDR repose principalement sur les solutions d’un même fournisseur. Vous ne pouvez donc pas combiner plusieurs outils (best of breed). “Or, en cas d’incident, le plus important est de réagir au plus vite. C’est là que l’approche best of suite (tout provient d’un même fournisseur) trouve tout son sens, car le partage des données entre les différents outils est généralement plus fluide.”

Il n’en demeure pas moins que le marché est à la recherche d’une approche XDR plus ouverte. “Les premiers signes sont déjà visibles. Les outils de Cisco pourraient par exemple être combinés avec Microsoft ou Palo Alto”, observe Bastiaan. “Mais pour l’instant, cela reste surtout théorique.”

Bastiaan Germs, cybersecurity expert chez Proximus NXT

Interprétation humaine avec le MDR

Tout cela nous amène enfin sur le terrain du MDR ou managed detection and response. “La XDR assure l’analyse des risques”, explique Bastiaan. “La majeure partie des détections sont suivies d’une action automatisée. Mais certains pourcentages de risques nécessitent une interprétation humaine. Un spécialiste doit alors examiner ces alertes et décider de l’étape suivante.”

Les grandes entreprises disposent de leur propre équipe à cet effet. Mais les experts en sécurité sont très difficiles à trouver sur le marché de l’emploi. Et ils restent totalement inaccessibles pour les petites et moyennes entreprises, alors qu’elles font de plus en plus souvent face aux mêmes menaces que les grandes organisations.

C’est dans ce contexte qu’une entreprise telle que Proximus NXT peut intervenir en tant que partenaire MDR. La technologie XDR prend en charge le volet technique, tandis que les spécialistes de Proximus veillent à l’aspect humain. “Dans un premier temps, nous recevons les alertes”, expose Bastiaan. “Nous procédons à l’analyse et évaluons le risque.” Ensuite, c’est à Proximus NXT ou à l’entreprise elle-même de prendre la mesure appropriée, en fonction de leurs accords. “Grâce au MDR, l’organisation parvient à déployer la politique de sécurité souhaitée, sans devoir engager des spécialistes internes."