12 questions à se poser pour bien choisir son MDR :

1. Combien de clients le service MDR possède-t-il ?

Un élément qui différencie les fournisseurs de services MDR est l’expérience qu’ils ont acquise en matière de détection et de réponse aux incidents. Le nombre actuel de clients vous indiquera combien d’entreprises font véritablement confiance à ce fournisseur et quelle est sa réelle efficacité dans la réponse aux activités suspectes. Par ailleurs, assurez-vous que ce fournisseur a déjà collaboré avec des organisations au profil similaire au vôtre (taille, verticale, défis de sécurité).

2. Quel est le périmètre d’action du service ? La réponse aux menaces est-elle incluse ?

Tous les services MDR ne sont pas conçus de la même manière. Une exigence de plus en plus importante des clients (et que très peu de fournisseurs offrent aujourd’hui) est la capacité de prendre des mesures ciblées pour neutraliser les menaces au nom du client au lieu de simplement l’avertir de menaces potentielles ou imminentes. Malgré le « R » dans MDR, la majorité des fournisseurs se concentrent sur l’identification de la menace et la notification des clients, laissant à ces derniers la mise en œuvre de la réponse et de la remédiation. Pour que les services MDR soient efficaces, les analystes doivent mener des investigations méthodiques pour déterminer la validité et la portée des menaces, réduire les faux positifs, neutraliser les menaces confirmées, déterminer le contexte de l’attaque et fournir des recommandations supplémentaires pour améliorer la posture de sécurité globale de l’organisation.

3. Le service est-il disponible 24/7/365 ? Si un problème survient à 2 h du matin un dimanche, qui répondra ?

Assurez vous que le service MDR surveille réellement votre environnement et soit capable de répondre à tout moment, de jour comme de nuit.

4. Quelles technologies le service utilise-t-il ? Sont-elles incluses dans le prix ?

Au moment d’évaluer un service MDR, il est important de savoir si les technologies utilisées par les opérateurs sont incluses dans le prix du service. Dans certains cas, vous devrez acheter séparément vos propres outils (tels que la protection Endpoint et l’EDR). D’autres offriront l’ensemble de technologies en plus des composants du service.

5. Le service est-il mis à disposition de manière proactive ou réactive ?

Les services MDR sont intrinsèquement proactifs. Contrairement aux services d’investigation numérique (Digital Forensics - DF) et de réponse aux incidents (Incident Response - IR) qui sont généralement proposés pour aider les clients à faire face à une crise déjà survenue (comme un incident ou une faille de sécurité), le MDR offre un service proactif, 24 h/24, qui surveille les environnements des clients pour détecter toute activité frauduleuse et, à mesure que les menaces apparaissent, guide, assiste ou neutralise les menaces en temps réel.

6. Comment allez-vous interagir avec l’équipe MDR ?

Il est important de comprendre le processus de communication avec votre prestataire de services. Existe-t-il une assistance téléphonique directe ? Pouvez-vous communiquer par email ? Pouvez-vous parler directement avec les analystes du SOC, ou bien devez-vous passer par un intermédiaire (par ex. un gestionnaire de compte) ? Dans certains cas, il peut y avoir une différence notable entre les fournisseurs de services MDR, entre ceux offrant une communication directe avec une personne contre ceux communiquant via un portail en ligne. Quel que soit le mode de communication, les fournisseurs de services MDR doivent toujours fournir une synthèse des activités afin de s’assurer que votre équipe sait quelles menaces ont été détectées et quels suivis doivent être effectués.

7. Quelle est la méthodologie des opérations de sécurité TDR (Threat Detection and Response) ?

Les fournisseurs de services MDR doivent avoir une méthodologie TDR bien définie. Si ce n’est pas le cas, ils auront probablement du mal à évoluer au fur et à mesure que leurs activités se développeront et seront plus susceptibles de passer à côté d’importants indicateurs censés révéler la présence d’activités suspectes.

8. Quelle est la rapidité du service ?

En matière de sécurité, chaque seconde compte. Les fournisseurs devraient être en mesure d’estimer :

• Délais moyens de détection
• Délais moyen de réponse
• Délais moyen de résolution

9. Quels types de mesures de remédiation les opérateurs MDR peuvent-ils prendre ? Peuvent-ils répondre activement pour vous ?

Les fournisseurs de services MDR doivent pouvoir expliquer ce qui se passe lorsque le service détecte une activité suspecte. Comme nous l’avons déjà indiqué, beaucoup d’entre eux se contentent de surveiller et de vous informer lorsqu’une activité suspecte se produit. L’opérateur MDR devrait pouvoir agir en votre nom, en fournissant une réponse proactive réalisée par un humain et non pas seulement un blocage automatisé par un outil.

10. La traque des menaces est-elle menée à partir d’indices (réponse aux alertes), sans indices de départ (recherche de nouveaux indicateurs d’attaque sans alertes), ou les deux ?

Il existe plusieurs sortes de traque des menaces. Bien que la traque des menaces soit par définition une activité humaine, certains vendeurs appellent la génération automatique d’alertes « traque des menaces » (alors que ce n’en est pas). Il est également important de savoir si les opérateurs MDR vont traquer de manière proactive les adversaires qui se cachent dans votre environnement, qu’ils aient détecté ou non un indicateur fort d’activité ou de compromission. Demandez-leur quel type d’activité déclencherait une investigation de la menace.

11. Quelles sources de données sont utilisées pour améliorer la visibilité ? Le service est-il simplement de type « EDR managé » ?

Alors que les données issues de la protection Endpoint sont essentielles pour un programme opérationnel de sécurité, certains fournisseurs de services MDR n’ont aucune visibilité supplémentaire au-delà des systèmes Endpoint. Ce ne sont pas de véritables fournisseurs MDR et ils s’apparentent davantage à des solutions « EDR managées » qui ont une visibilité limitée des menaces présentes dans votre environnement.

12. Le fournisseur de services MDR a-t-il accès aux données d’intelligence sur les menaces et aux chercheurs en menaces ?

Les fournisseurs de services MDR doivent avoir un niveau d’expertise qui aille au-delà de ce que la plupart des organisations peuvent construire par elles-mêmes. Cela comprend bien sûr des analystes de sécurité qualifiés. Toutefois, le fournisseur devrait également avoir accès à des données d’intelligence sur les menaces exclusives et collaborer avec des chercheurs en menaces lorsqu’un élément nouveau est détecté.