beazley.security
©2025 Beazley Security. Tous droits réservés
Les points clés à connaître à propos du service de détection et réponse managées (MDR)
Un guide complet sur les fonctionnalités de l'outil de détection et réponse managées, les tendances, les points à améliorer, etc.
Commencer
EN
DE
Pourquoi mettre en place un service de détection et réponse managées (MDR) ?
La sécurité cyber est fondamentalement un travail de protection. Pour garantir une protection cyber optimale, toutes les activités malveillantes et dangereuses devraient être neutralisées à leur source. Malheureusement, intervenir à un stade si précoce est impossible.
Bâtissez votre stratégie en vous inspirant des 5 piliers du Cadre de sécurité cyber du NIST(CSF) 2.0 : Gouverner, Identifier, Protéger, Détecter, Répondre et Récupérer. Environ un incident cyber sur deux survient après l'échec des mesures de protection. Les menaces évoluent constamment pour contourner les mesures de sécurité, et les erreurs humaines offrent aux pirates informatiques la possibilité d'accéder à des systèmes critiques. Face à une telle évolution, même les meilleures solutions de sécurité cyber deviennent insuffisantes pour garantir une protection cyber optimale. C'est pourquoi les services SOC et les équipes de réponse à incident jouent un rôle central en matière de sécurité cyber.
Trois modèles de détection de menaces cyber et de réponse à incident
Comment le MDR évolue pour répondre aux besoins des clients
Les 11 garanties d'un outil de MDR performant
Le cycle de vie idéal de l'outil MDR
Contactez-nous
(MXDR) : Des capacités de détection et de réponse pour dynamiser votre programme de sécurité cyber
Protection cyber en interne ou externe ?
La détection des menaces cyber et la réponse à incident sont indispensables, et il existe plusieurs façons de les mettre en œuvre.
Généralement, les très grandes organisations conçoivent et déploient leurs dispositifs en interne. Bien qu'un investissement en sécurité cyber soit coûteux et difficile, il peut s'avérer rentable pour les organisations qui disposent d'environnements informatiques vastes et complexes, qui ont des exigences particulières, la capacité à recruter et à retenir leurs talents. Cependant, la plupart des organisations n'ont ni les ressources, ni le désir d'investir de lourdes sommes dans un domaine apparemment éloigné de leur activité principale. Cela n'est pas surprenant si l'on tient compte de la logistique nécessaire à la mise en place et au maintien d'une protection cyber efficace. Aux ressources matérielles, s'ajoute la nécessité d'un budget loin d'être négligeable pour constituer une équipe d'experts en sécurité cyber capable de relever les défis proposés. C'est à ces organisations que le service de détection et réponse managées (MDR) s'adresse.
Comme vous l'avez probablement remarqué, la surveillance n'est pas un élément clé du cadre de sécurité cyber du NIST. C'est parce que le suivi n'est pas un résultat en soi. Pourtant, il s'agit d'un prérequis essentiel pour garantir le succès de piliers fondamentaux tels que la détection, la réponse et la récupération. La conception des outils de détection de menaces cyber et de réponse à incident doit prendre en compte la surveillance continue de tous les dispositifs de l'environnement informatique. Cette tâche implique l'analyse approfondie de toutes les données issues de tous les outils et systèmes, y compris les postes/serveurs, les réseaux, les identifiants, la messagerie électronique, les services cloud, les applications et les conteneurs.
Il n'y a pas de détection de menace cyber ni de réponse à incident sans surveillance.
Qu'est-ce qu'un service de détection et réponse managées (MDR) ?
Le terme « service de détection et réponse managées » ou MDR est utilisé, parfois de manière abusive, pour vendre une large gamme de services, par exemple des solutions automatisées ou des services SOC intégralement externalisés. Cela dit, bien qu'il soit parfois mal employé, le terme MDR désigne quelque chose de spécifique
Selon Gartner, le MDR « fournit aux clients des fonctionnalités de service SOC à distance ». Cette définition manque peut-être de précision, ce qui pourrait expliquer son mauvais usage. Cependant, les derniers rapports de Gartner apportent plus de clarté. Ils mettent en lumière plusieurs critères indispensables que doit réunir un service de détection et réponse managées (MDR) performant.
Un MDR efficace doit inclure au moins tous les éléments suivants :
Surveillance continue de tous les postes/serveurs, les réseaux, les identifiants, les services cloud, les applications, les conteneurs, etc.
Détection rapide des menaces cyber pour identifier les activités malveillantes ou dangereuses au sein de l'environnement du client.
Enquête et analyse pour comprendre l'étendue des menaces identifiées et déterminer la meilleure stratégie à adopter.
La mise en quarantaine des menaces cyber pour éviter la propagation et les dommages.
Mécanismes de réponse à incident pour éradiquer la menace cyber et faciliter la reprise d'activité du client.
Ce service doit être livré à distance, et les menaces doivent être identifiées, examinées, circonscrites et corrigées rapidement afin de minimiser les dommages causés aux infrastructures et ressources IT du client. Tous les services MDR utilisent des technologies telles que les outils EDR. Cependant, le secret d'un MDR efficace réside dans son service SOC composé d'experts en sécurité cyber. Bien qu'il existe sur le marché plusieurs solutions technologiques commercialisées comme MDR, elles ne réunissent pas tous les critères exigés. À noter : Les services de détection et réponse managées (MDR) comprennent souvent des services supplémentaires tels que la chasse aux menaces et le renseignement sur les menaces cyber. Il s'agit de services à valeur ajoutée qui viennent compléter les fonctionnalités principales du MDR.
Détection et réponse managées (MDR) :
Les leçons tirées de la détection et de la réponse à indicent doivent être intégrées dans la stratégie de sécurité globale pour mieux prévenir les menaces cyber similaires à l'avenir. En suivant ce cycle continu, les organisations deviennent plus sûres et apprennent à administrer plus efficacement leurs ressources en matière de sécurité cyber.
Assurer la continuité de la sécurité cyber au-delà des contrôles préventifs
Identifier, analyser, contenir et remédier aux menaces cyber
Limiter les dommages causés par les menaces cyber
Accélérer la reprise d'activité après chaque incident cyber
Trois modèles de détection de menaces cyber et de réponse aux incidents
En matière de sécurité cyber, il existe plusieurs façons de mettre en œuvre la détection de menaces et la réponse à incident. La solution idéale dépend des circonstances et des besoins de chaque organisation.
Mettre en place un service SOC ou de réponse à incident en interne
La création d'un service SOC ou de réponse à incident en interne offre un contrôle total sur l'ensemble des outils, des processus et des ressources. Les grandes organisations privilégient généralement cette approche, car elles disposent des ressources nécessaires pour investir dans et bâtir une équipe de détection et réponse managées qui inclut toutes les compétences et l'expérience requises. Un service efficace et personnalisé qui s'adapte à leur environnement informatique ainsi qu'aux menaces cyber auxquelles elles sont confrontées. Le principal obstacle de cette approche est son coût élevé. La plupart des organisations ne peuvent pas maintenir un tel service 24/7 toute l'année, ce qui les rend vulnérables aux attaques en dehors des heures de bureau. Étant donné que de nombreuses attaques sont lancées en dehors des heures de bureau — la nuit, le week-end et les jours fériés — cela représente un risque inacceptable.
Plan tarifaire pouvant dissuader une organisation de souscrire une garantie complète : causes et conséquences
Entièrement personnalisé et adapté aux besoins Solution très efficace pour réduire les risques d'incident cyber Interopérabilité totale et alimentation en données
Généralement plus cher que l'externalisation Solution adaptable, pas d'obligation de la faire fonctionner 24/7 toute l'année Pas besoin d'un "deuxième regard" pour valider l'efficacité de l'outil
Avantages
Défis
Étant donné que la plupart des organisations, pour des raisons financières ou stratégiques, décident de ne pas bâtir une équipe de détection et réponse managées (MDR) en interne, elles préfèrent confier cette tâche à un fournisseur MDR externe. Gartner estime qu'en 2025, 50 % des organisations auront recours aux fournisseurs MDR. Cette externalisation offre plusieurs avantages. Le MDR est généralement fourni 24/7, 365 jours par an. Il intègre la plupart, voire la totalité des technologies requises et est beaucoup moins coûteux que la création d'un service en interne. Certains fournisseurs MDR peuvent offrir une solution complète en s’appuyant sur l’environnement technologique déjà en place chez le client.
Généralement disponible 24/7, toute l'année Généralement moins coûteux qu'un déploiement en interne Accès à un service SOC composé d'équipements avancés et d'experts qualifiés Peut être livré avec une solution intégrée, par exemple un outil EDR Maîtrise de l’ensemble du cycle de détection et de réponse à incident Intégration complète avec threat intelligence (certains fournisseurs) Une solution clé en main qui requiert très peu d'intervention
Certains plans tarifaires empêchent les organisations de bénéficier d'une garantie cyber complète Risque de rétention des données, entraînant une perte lors d’une migration vers un autre service L'analyse en profondeur des menaces n'est généralement pas incluse Certains fournisseurs ne peuvent pas répondre aux menaces à la place du client Souvent un service de type « boîte noire » qui est opaque pour les clients Les solutions axées sur la technologie sont souvent qualifiées à tort d'outils MDR
De nombreux fournisseurs MDR appliquent des modèles de tarification par fonctionnalité qui entraînent des coûts supplémentaires liés aux intégrations, au volume de données et au stockage. Étant donné que les clients recherchent l'optimisation des coûts, ils préfèrent limiter les sources et la quantité de données que leur prestataire intègre. Ce modèle de tarification pose un problème pour deux raisons :
Le MDR devrait inclure une analyse approfondie des incidents cyber et des tendances des menaces, mais cela n'est possible que si le fournisseur a accès à toutes les données télémétriques pertinentes. Si le fournisseur n'accède pas à ces données, le risque de ne pas pouvoir identifier la cause réelle d'une attaque cyber augmente. Il est donc impossible de tirer des conclusions pertinentes et le renforcement des contrôles de protection devient complexe. Le manque d'accès aux sources de données critiques empêche une détection des menaces cyber à un stade précoce. Celles-ci sont identifiées lorsque l'attaque a déjà été lancée, à un stade qui ne peut éviter certains dommages.
Cependant, des risques potentiels subsistent. Certains fournisseurs de services MDR proposent une tarification et des prestations qui ne répondent pas bien aux besoins de leurs clients. Par exemple : Des solutions de type “boîte noire” laissant peu de transparence sur les opérations menées. Des tarifs par fonctionnalité qui constituent un frein à une protection étendue et à l’intégration complète des données. Une capacité d’analyse restreinte, incapable d’identifier les indicateurs avancés et les tendances en matière de sécurité cyber. Tout cela peut être évité si les organisations choisissent le bon fournisseur qui propose une solution en adéquation avec leurs besoins. Ce critère d'achat doit être pris en compte lors de la recherche d'un fournisseur MDR.
Externaliser vers un fournisseur MDR
MDR hybride
De nombreuses solutions commercialisées en tant qu'outil MDR sont en réalité des « MDR hybrides », où les tâches sont partagées entre le fournisseur et le client. Il existe plusieurs types d'outil MDR hybride qui peuvent convenir à certaines organisations. Dans la plupart de ces modèles hybrides, les fournisseurs se chargent de la surveillance, de la détection et de l'analyse, et suggèrent au client des actions de ticket prédéfinies. Chez Beazley Security, nous appelons cela une réponse minimale ou réduite (« small R response ») : les fournisseurs donnent des conseils pour contenir et remédier aux incidents, et les clients réalisent eux-mêmes les actions nécessaires.
Peut répondre aux besoins spécifiques du client L'option la moins coûteuse pour de nombreuses organisations Pas d'accès bidirectionnel à l’environnement du client
Risque accru de lacunes et d'erreurs humaines Nécessite une expertise poussée en interne Risque de retard dans la réponse aux menaces Augmentation du risque d'attaques en dehors des heures de bureau
Les autres modèles d'outil MDR hybride incluent :
Ces offres axées sur la technologie sont généralement fournies par des agents EDR ou des intégrateurs de systèmes. En général, ce sont les outils MDR les moins coûteux avec un service professionnel qui manque souvent d'expertise. Pour combler ce manque d'expertise, les clients doivent constituer leur propre équipe d'experts afin de garantir leur sécurité cyber, et activer leurs mécanismes de réponse à incident en interne.
Surveillance de sécurité cogérée
SOC en tant que service (SOCaaS).
Malgré une popularité de courte durée, le SOCaaS a été largement supplanté par l'outil MDR moderne. Le SOCaaS est un service de surveillance et de conseil managés, souvent accompagné de prestations de conseil et de renforcement des équipes. Ces offres sont souvent très personnalisées. Elles peuvent inclure du personnel et des technologies dédiés, et sont plutôt coûteuses. En général, les prestataires SOCaaS ne disposent pas d’un accès direct pour mener des actions de réponse.
À noter : C'était le modèle classique de détection et réponse managées (MDR) jusqu'à récemment. Pour de nombreuses organisations, donner aux fournisseurs l'accès et la possibilité d'intervenir directement dans leur environnement informatique représentait un risque inacceptable. Elles préféraient agir en interne, sachant pertinemment que les dommages causés par une attaque cyber pouvaient être plus importants si la menace n'était pas détectée à un stade précoce. Le point de vue et les priorités des clients ont radicalement changé, et la plupart préfèrent désormais déléguer la réponse à incident à leur prestataire MDR.
2
1
La mise en place d'un service SOC interne n'est pas possible pour la plupart des organisations. Le MDR hybride convient à certaines structures, mais reste en deçà de la proposition de valeur complète. C'est pourquoi les organisations se tournent de plus en plus vers les fournisseurs MDR.
Toutefois, plusieurs éléments du MDR ont suscité une insatisfaction chez les clients, et certains acteurs du marché commencent à réagir. Dans son guide du marché des outils MDR, Gartner met en avant certaines évolutions significatives que les organisations devraient prendre en compte lorsqu'elles choisissent un fournisseur.
Identification préventive des menaces avant qu'elles ne se convertissent en incident ou en violation. Cela peut se traduire par une chasse aux menaces fondée sur des hypothèses.
Identification des tendances de menaces et directives pour soutenir et renforcer les contrôles de protection. En analysant les incidents passés, les fournisseurs MDR peuvent accompagner les clients dans la compréhension de leur exposition aux menaces et la mise en œuvre d’actions correctives.
Bien que la détection des menaces et la réponse à incident soient réactives par essence, elles peuvent jouer un rôle clé dans une stratégie de prévention. D'après Gartner : Les clients exigent de plus en plus aux fournisseurs MDR de leur livrer des prestations qui vont au-delà de la détection des menaces et de la réponse à incident pour inclure la détection anticipée des vulnérabilités liées aux menaces cyber et la mise en œuvre de mesures de sécurité préventives. Les fournisseurs MDR peuvent être plus proactifs en adoptant plusieurs mesures, notamment :
L'évaluation des contrôles de sécurité et de la configuration peut permettre aux fournisseurs MDR de conseiller les clients sur les ajustements et améliorations qui réduiront les risques d'incident cyber de manière significative.
Réponse complète et active (« Big R Response »)
Gartner souligne le rôle clé des fournisseurs MDR qui peuvent « lancer à distance des actions pour contenir ou neutraliser activement une menace ».
Agir au-delà du poste/serveur
Depuis toujours, le marché du MDR a été étroitement lié aux outils EDR de détection et de réponse. Gartner critique à juste titre les offres qui ne sont que des outils EDR gérés, qu'il qualifie d'« offres mal nommées axées sur la technologie qui ne parviennent pas à fournir des services MDR axés sur l'humain ».
Gestion continue de l'exposition aux menaces (CTEM) et gestion de la surface d'attaque (ASM)
Beaucoup d’organisations peinent à appréhender leur surface d’attaque en temps réel. Ce manque de clarté a un impact considérable sur la surveillance, la détection des menaces et la réponse à incident. Si une organisation ne maîtrise pas totalement ses ressources et ses systèmes, elle ne peut pas les surveiller et le risque d'attaque cyber augmente. Gartner estime que le MDR inclura de plus en plus le CTEM et l'ASM afin de garantir la protection totale de l'environnement du client et de renforcer la surveillance, la détection des menaces et la réponse aux incidents cyber.
Dépasser l’analyse classique des vulnérabilités
Pour les prestataires MDR, la capacité à effectuer une analyse initiale des incidents est cruciale. Cette analyse approfondie permet d'identifier l'origine de l'attaque, de la neutraliser et d'éviter des dommages. Une analyse plus approfondie peut les aider à comprendre pourquoi un incident cyber s'est produit et à fournir des recommandations pour éviter des problèmes similaires à l'avenir. Les fournisseurs MDR peuvent découvrir des informations précieuses sur le profil de risque d'un client grâce à une analyse plus approfondie des incidents (par exemple, en utilisant la forensique numérique) et à une chasse aux menaces fondée sur des hypothèses. À leur tour, ils peuvent recommander des stratégies proactives de gestion des risques et des contrôles de sécurité appropriés au client. Une analyse plus approfondie nécessite souvent un suivi des activités à partir de plusieurs sources de logs, de sorte que les prestataires de services de MDR doivent avoir accès aux journaux de tous les outils et systèmes pertinents.
Développement des opérations de sécurité
Pour les fournisseurs MDR, il s'agit d'une autre manière d'accompagner leurs clients avec des mesures de sécurité de plus en plus proactives. Cette approche se décline en deux catégories :
Services de type « boîte noire ».
Les offres de service de détection et réponse managées (MDR) sont souvent opaques. Les organisations ont peu de visibilité sur les actions et les analyses effectuées pour leur compte par le prestataire. Par exemple, il se peut qu’un fournisseur classe un incident cyber comme faux positif et n’intervienne pas, sans expliquer sa décision. Ainsi, le client ne peut pas savoir si les investigations pertinentes ont été menées, ni procéder à des vérifications ciblées sur l’historique des événements.
Coûts exorbitants du stockage des données
Aux plans tarifaires inadaptés qui empêchent les clients de bénéficier d'une protection complète, s'ajoute le coût élevé du stockage des données au-delà d'une durée minimale imposé par certains fournisseurs MDR. Cela amène les clients à choisir la période de stockage minimale, ce qui limite considérablement la capacité du fournisseur à effectuer des analyses de tendances — au détriment de la valeur apportée au client.
Stockage et conservation des données des clients
La cogestion des données devrait être une caractéristique commune à tous les outils MDR. Les données détenues pour le compte des clients doivent leur rester accessibles à tout moment afin qu'ils puissent les examiner et les analyser. Cependant, certains fournisseurs n'autorisent pas l'accès du client, et d’autres suppriment les données dès qu’un client résilie son contrat - avec l'impossibilité de migrer les données vers une infrastructure client ou vers un autre fournisseur de services.
Gestion des données et de la transparence
Cette tendance repose sur notre expérience, nos interactions avec les clients et les observations du secteur. Il existe plusieurs pratiques négatives liées aux données et à la transparence qui diminuent la valeur ajoutée des prestations MDR pour les clients, notamment :
Si l'action du fournisseur MDR se limite à un ticket de réponse pour indiquer au client les actions qu'il doit lui-même mettre en place, la réponse à incident peut prendre des heures — voire des jours si une attaque a lieu pendant le week-end. Par ailleurs, les fournisseurs d'outils MDR agissant directement dans l'environnement d'un client peuvent contenir et remédier à une attaque en l'espace de quelques minutes.
La dépendance à l’outil EDR a aussi engendré une attention disproportionnée aux menaces sur les terminaux, au détriment d’autres ressources. Alors que l'outil EDR a évolué vers le XDR (détection et réponse étendues), les organisations ont commencé à orienter leurs recherches vers les fournisseurs MDR capables de détecter et suivre les menaces sur une plus grande variété d’équipements et d’environnements.
Jusqu'à récemment, les clients étaient réticents à l'idée de laisser les fournisseurs MDR accéder à leur environnement informatique. Cependant, la recrudescence des attaques, notamment les attaques par ransomware (dont beaucoup se produisent en dehors des heures de bureau), a poussé les organisations à revoir leurs priorités. La raison est simple : la rapidité de réaction peut réduire considérablement l'impact des graves incidents cyber.
Les fournisseurs MDR doivent surveiller l'ensemble de l'environnement du client, y compris les postes/serveurs (à choisir en fonction du contexte), la messagerie électronique, les identifiants, les services Cloud, les conteneurs, l'Internet des objets, l'environnement informatique industrielle, les dispositifs périphériques et les applications SaaS telles que Microsoft 365.
Proactivité
Tendance 1
Tendance 2
Tendance 3
Tendance 4
Tendance 5
Les 11 garanties d'un outil de détection et réponse managées (MDR) performant
Si vous désirez faire appel à un fournisseur MDR, assurez-vous que le prestataire réunit les 11 critères suivants avant de faire votre choix.
MDR Capabilities
Les solutions MDR doivent intégrer des technologies avancées (par exemple, EDR, XDR) adaptées à vos besoins — issues de votre parc technologique ou fournies avec la solution proposée.
Solution moderne
La solution proposée doit être compatible avec l’ensemble des outils, systèmes et logs de votre infrastructure IT. Les données doivent être conservées suffisamment longtemps pour permettre une analyse des tendances.
Protection complète
Le fournisseur et votre équipe interne doivent avoir accès à toutes les données stockées et utilisées pour la détection des menaces et la réponse aux incidents cyber.
Données cogérées
Les tarifs par fonctionnalité (par exemple, basés sur le volume de données ou les intégrations) sont un signe qui ne trompe pas. Un prix fixe est idéal.
Une tarification simple qui encourage une protection complète
Pour la plupart des clients, les fournisseurs doivent être capables de contenir les menaces et d'y remédier directement afin de prévenir les dommages causés par les ransomwares et autres logiciels malveillants.
Réponse complète et active (« Big R Response »).
La réactivité est un facteur clé directement lié à la gravité des dommages. Cherchez un fournisseur reconnu pour sa capacité à intervenir rapidement.
Maîtrise et résolution rapide des incidents cyber
Les fournisseurs MDR devraient régulièrement effectuer des analyses détaillées des incidents cyber (individuels et collectifs) afin d'identifier et de recommander des axes d'amélioration.
Analyse approfondie
Vous devez être en mesure de suivre toutes les actions effectuées pour votre compte et comprendre leurs raisons. Cela facilite les vérifications aléatoires et vous donne la possibilité d’effectuer des analyses supplémentaires.
Transparence
Les organisations acquièrent souvent un outil MDR lorsqu'un incident cyber grave se produit. Même si le client fait appel à un prestataire de service de détection et réponse managées sans incident, ce dernier doit procéder à une intégration rapide.
Intégration rapide
Lorsqu'un grave incident cyber se produit, votre fournisseur MDR doit aller au-delà de la simple réponse à incident pour vous aider à restaurer toutes vos données et accélérer votre reprise d'activité.
Récupération des données et reprise d'activité
La chasse aux menaces fondée sur des hypothèses, l'analyse forensique, la simulation de violation et d'attaque et les services de conseil devraient être compris dans l'offre du fournisseur ou proposés en tant que services supplémentaires.
Services à valeur ajoutée
Les compétences clés attendues d’un prestataire MDR
Detect suspicious activity
Alert received or activity detected via threat hunting
Analyze to determine the issue and next steps
Identify ransomware on an endpoint, escalate to incident, and create a ticket
Contain threat
Isolate endpoint to prevent spread of infection
Remediate threat
Reimage endpoint to remove infection and restore functionality
Deeper investigation to identify cause
Review and cross-reference relevant logs
Identify learning points
Infection occurred because a user downloaded a Microsof Office file containing a malicious macro
Determine actions to prevent future incidents
Consider turning off macros by default in Office 365
Implement actions
Alert client to the risk posed by malicious macros and suggest changing Office 365 settings
Le tableau ci-dessous illustre les compétences essentielles et le cycle de vie d’un service MDR, en précisant les étapes prises en charge selon le niveau de prestation.
Small "R" MDR
Standard MDR
Full MDR
Toutes les offres ne se valent pas. Le terme « service de détection et réponse managées » ou MDR est utilisé, parfois de manière abusive, pour décrire une large gamme de services, dont beaucoup ne répondent pas aux besoins spécifiques des clients. Lorsque vous choisissez un fournisseur, assurez-vous de bien comprendre les services inclus. Pour maximiser la réduction des risques, choisissez un fournisseur MDR qui prend en charge l'intégralité du cycle de vie, effectue des analyses plus approfondies et fournit des recommandations pour améliorer votre stratégie de sécurité globale.
Détecter une activité suspecte
Small "R" Response
MDR Standard
MDR Complet
Alerte reçue ou activité détectée via la chasse aux menaces
Analyser pour identifier le problème et les étapes suivantes
Détecter un ransomware sur un poste/serveur, classer comme incident et créer un ticket de réponse
Contenir la menace
Isoler le poste/serveur pour stopper la propagation de l’attaque
Neutraliser la menace
Reconfigurer le poste/serveur pour supprimer l’infection et restaurer la fonctionnalité
Analyse approfondie pour identifier la cause
Contrôler et corréler les données des logs pertinents
Identifier les axes d'amélioration
L'infection s'est produite parce qu'un utilisateur a téléchargé un fichier Microsoft Office contenant une macro malveillante
Déterminer les actions à mettre en place pour éviter les incidents cyber à l'avenir
Envisagez de désactiver les macros par défaut dans Microsoft 365
Appliquer les mesures nécessaires
Sensibiliser le client sur le risque posé par les macros malveillantes et suggérer de modifier les paramètres de Microsoft 365
Analyser des tendances de fond
La détection de menaces cyber et la réponse à incident ne devraient pas se limiter à la simple analyse lorsqu'une attaque se produit. Les fournisseurs MDR devraient analyser les incidents passés pour découvrir des tendances plus larges et identifier les actions les plus efficaces pour réduire les risques. Par exemple, un incident cyber isolé causé par des macros malveillantes ne requiert pas nécessairement une action. Cependant, si une même cause est à l'origine de plusieurs incidents cyber, la désactivation des macros deviendrait une mesure prioritaire à mettre en place.
Gestion continue de l'exposition aux menaces
(CTEM) pour vous aider à comprendre l'intégralité de votre environnement informatique et à analyser les changements de votre exposition aux menaces au fil du temps.
Visibilité globale
Surveillance 24/7 des dispositifs et systèmes exposés aux menaces cyber (cloud, identifiants, postes/serveurs, etc.)
Pas de tarifs par fonctionnalité
Toutes les intégrations sans coût supplémentaire
Stockage durable des données
Conservation des données pendant 90 jours incluse
Analyses poussées et à plusieurs volets
Analyse détaillée des postes, des serveurs, de la messagerie électronique et des identifiants
Portail client MDR
Accès immédiat aux dossiers, aux SLO, aux bulletins d’alerte et aux rapports en temps réel
Détection et réponse étendues managées
Le MXDR de Beazley Security est une solution complète de détection et réponse managées qui couvre l'intégralité du cycle de vie du MDR. Reposant sur la technologie XDR la plus avancée du marché, notre service aide votre organisation à résister à toute menace cyber — et garantit que votre organisation ne fasse pas la une des journaux à cause d’une cyberattaque. Outre toutes les recommandations figurant dans ce guide, notre service MXDR comprend les fonctionnalités suivantes :
Recommandations proactives en matière de gestion des risques
basées sur une analyse approfondie des incidents isolés et des tendances plus générales en matière de sécurité cyber.
La chasse aux menaces guidée par des hypothèses
permet de découvrir des preuves d'activités malveillantes, empêchant ainsi les pirates informatiques de s'installer dans votre environnement informatique ou d'y gagner davantage de privilèges.
Notre équipe de gestion de crise
qui traite plus d'une douzaine d'incidents cyber graves par jour, tous les jours de l'année, propose à ses clients un support professionnel pour la récupération des systèmes.
Conçu pour combler les principales limites des outils MDR
Le MXDR a été spécialement conçu pour offrir une solution complète de détection et de réponse à incident tout en éliminant les faiblesses et les failles les plus fréquemment observées dans les services MDR traditionnels.
Nous aidons nos clients à renforcer leur résilience cyber
Beazley Security est une société internationale de cybersécurité qui s’engage à aider ses clients à développer une véritable résilience cyber : la capacité de faire face à une attaque cyber, et de s’en remettre.
Nous combinons des décennies d’expertise en matière de protection, de détection et de réponse aux incidents cyber avec la précision actuarielle et la capacité d’atténuation des risques de notre société mère, Beazley Insurance.
Contactez-nous pour discuter de la manière dont MXDR peut aider votre organisation à prévenir les incidents.
Nous contacter
