Pendant des années, les PME ont pu compter sur leur plateforme de protection des terminaux (EPP) pour se défendre contre un large éventail de menaces basiques. Mais avec la transition progressive des cybercriminels vers les menaces nouvelles, inconnues et évasives capables de contourner l’EPP, l’heure est venue de mettre à niveau ces défenses au moyen de solutions de détection et de réponse au niveau des terminaux (EDR) et/ou de détection et réponse gérées (MDR) qui puissent protéger contre de telles menaces. À travers cet article, nous abordons l’importance des outils EDR et MSP et nous vous guidons pour identifier la sécurité de type EDR idéale.
Pourquoi mettre les défenses de vos clients à niveau ?
Les PME se trouvent aujourd’hui dans la ligne de mire des menaces évasives les plus sophistiquées qui ne ciblaient auparavant que les entreprises bien plus importantes. Cette situation peut se révéler particulièrement problématique pour les équipes informatiques à faible expertise en matière de sécurité en interne ou ayant trop peu de temps pour gérer ces alertes.
La solution idéale consiste à compléter la protection des terminaux par une sécurité de type EDR : Plus on prévient de menaces, moins on reçoit d’alertes que les équipes de sécurité auront à examiner. Les équipes de sécurité informatique peuvent alors optimiser les ressources clés et se consacrer pleinement à la cybersécurité, au lieu de chasser les faux positifs et les énormes volumes d’alertes.
Pour améliorer la sécurité des terminaux, il ne suffit pas de seulement identifier et de mettre en œuvre une solution EDR qui semble bien convenir à votre client. De la même manière qu’il n’est pas recommandé d’ajouter un étage supplémentaire à un immeuble avant d’en avoir vérifié les fondations, vous devez d’abord examiner la solution EPP existante.
Etape 1 : Examinez la protection présente sur les terminaux
En quoi les terminaux sont-ils si importants ? En plus de constituer les points d’entrée les plus communs, ainsi que la principale cible des cybercriminels, ils représentent les sources clés des données nécessaires pour examiner efficacement les incidents complexes. Par conséquent, chaque organisation doit choisir une solution EPP qui assure une protection automatisée contre un grand nombre d’incidents possibles causés par des menaces basiques.
En raison du niveau relativement limité de connaissances, ce type de configuration répond aux besoins de sécurité des terminaux des PME. Il s’agit également d’une étape essentielle pour ces entreprises en traitant automatiquement un grand nombre de menaces mineures, la solution ouvre la voie aux équipes de sécurité qui peuvent alors se concentrer sur une défense plus sophistiquée.
Etape 2 : Identifiez les éventuelles failles critiques au niveau des défenses des terminaux
Bien que l’EPP assure une protection contre un large éventail de menaces basiques, vous devez aussi penser à protéger vos clients contre les menaces nouvelles, inconnues et évasives qui contournent leur EPP. La préparation d’une attaque revient de moins en moins cher, ce qui expose de plus en plus d’entreprises aux risques. En plus de survenir plus fréquemment, ces types d’attaques ont énormément gagné en efficacité en raison des diverses techniques que les criminels combinent, testent et utilisent pour contourner efficacement la sécurité des terminaux.
Gérer ces menaces est devenu de plus en plus vital notamment à cause de la dissolution du périmètre des entreprises découlant de la hausse du travail à distance. Pour mettre en œuvre une solution efficace capable de défendre vos clients contre ces menaces, vous devrez prendre en compte la taille, le profil entreprise, le degré de préparation à la sécurité, les ressources et l’expertise existantes et plus particulièrement le niveau de compétences en matière de sécurité de l’infrastructure informatique de vos clients.
Etape 3 : Identifiez avec précision l’objectif à atteindre
Beaucoup d’entreprises disposent d’une expertise limitée. L’ajout de fonctionnalités EDR appropriées à une solution EPP peut fournir une défense très efficace contre les menaces plus sophistiquées et évasives.
Vous pouvez alors fournir les informations et les connaissances nécessaires à une enquête efficace et les outils requis pour une analyse des causes profondes afin de créer des indicateurs de compromission (IoC) personnalisés, d’importer des IoC et de les analyser à travers tous les terminaux.
Etape 4 : Identifiez la protection la plus adaptée aux besoins de vos clients
Pour gérer les circonstances différentes, les PME dépourvues de personnel de sécurité informatique dédié ou surchargées par les tâches routinières devront utiliser l’automatisation de façon stratégique pour contrer les nouvelles menaces évasives. Ceci implique de combiner leur EPP avec des outils EDR supplémentaires qui, en plus de protéger contre ces menaces, intègrent des niveaux appropriés d’automatisation complète ou partielle.
Alternative possible : la solution de détection et de réponse gérées (MDR) permet une surveillance sécurisée 24 h/24, 7 j/7 par des experts, la recherche de menaces automatisée et gérée et les scénarios de réponse à distance guidés. En troisième option, il est possible de combiner l’EDR avec une solution MDR pour externaliser la recherche de menaces tout en mettant en œuvre les fonctionnalités de détection et de réponse en interne.
Etape 5 : Pensez à leurs cas d’utilisation
Pour identifier la protection qui convient le mieux aux besoins de vos clients, vous devez définir des exigences précises à cet égard. Ceci implique de prendre en compte les aspects critiques des performances et de l’utilisation régulière de la solution, comme les cas d’utilisation qu’elle doit exécuter et les résultats qu’elle est censée donner.
Etape 6 : Intéressez-vous aux solutions EDR et MDR
- Si votre client préfère une approche plus pratique, l’EDR peut empêcher les interruptions d’activité et les dommages en éliminant les risques inhérents aux menaces nouvelles, inconnues et évasives et en donnant la visibilité nécessaire pour enquêter sur les menaces, analyser leurs causes profondes et y répondre.
- S’il cherche à étendre ses capacités de sécurité informatique en interne en déléguant les tâches principales de détection et de réponse, le MDR peut offrir une protection avancée et continue contre les menaces qui peuvent contourner les barrières de sécurité automatisées. Cette solution contribue à résoudre la problématique de recrutement de talents dans le domaine de la cybersécurité et apporte tous les avantages principaux d’un centre d’opérations de sécurité (SOC) 24 h/24, 7 j/7, à moindre coût.
En parallèle, la combinaison de solutions EDR et MDR permet de personnaliser leurs fonctionnalités selon les besoins de vos clients, par exemple en externalisant la recherche de menaces tout en mettant en œuvre les fonctionnalités de détection et de réponse au niveau des terminaux en interne.
Etape 7 : Tenez compte de la sécurité dans son ensemble
Dans bon nombre d’entreprises, les solutions EPP, EDR et/ou MDR devront fonctionner au sein d’un cadre de sécurité bien plus large. En plus de ces solutions, vous pourriez, par exemple, profiter des éléments suivants :
- Une mise en sandbox automatisée : ajoute un niveau avancé de détection à vos terminaux en révélant les menaces qui restent dormantes en présence d’une sécurité des terminaux, mais qui s’activent une fois que l’hôte devient vulnérable, et qui doivent donc être analysées dans un environnement contrôle et isolé.
- Threat Intelligence : améliore la gestion des problèmes comme les cybermenaces dans les fichiers, URL, IP et domaines suspects et contribue à examiner les menaces plus rapidement et de façon plus minutieuse.
- Formation de sensibilisation à la sécurité pour vos salariés : permet de combler les lacunes en matière de sensibilisation à la cybersécurité et de transformer leurs comportements, en particulier compte tenu du fait que la majorité des incidents informatiques sont dus à l’erreur humaine.
Etape 8 : Vérifiez que la solution choisie inclut certains éléments
De nombreux fournisseurs proposent des solutions EDR et MDR avec des fonctionnalités différentes. Pour être une solution complète, voici un aperçu des éléments qu’elle devrait comprendre :
- Un déploiement rapide et simple
- Des outils faciles d’utilisation et intuitifs qui ne nécessitent pas de longue prise en main ni de nouvelle formation
- Une console de gestion unifiée pour configurer vos outils de cybersécurité et réagir aux incidents depuis un seul emplacement
- Une capacité à répondre à vos exigences et besoins particuliers en choisissant parmi toutes les options de déploiement possibles : dans le cloud, sur site, hybride, air-gapped
- Scénarios de réponse à distance
- Recherche de menaces automatisée, prise en charge par l’éditeur /des spécialistes MS(S)P
- Fonctionnalité étroitement intégrée de protection des terminaux, de détection et de réponse au niveau des terminaux
- Fonctionnalité de sandboxing
- Protection intégrée contre les menaces sans fichier
- Technologie contre les vulnérabilités
- …. et bien plus encore.
Kaspersky partenaire de la conférence GoMSP !
C’est une conférence physique annuelle 100% dédiée à l’écosystème MSP. Elle aura lieu le 16 novembre 2021 à Paris la Défense Arena.
Que vous soyez MSP ou en transition vers ce business model, cet événement est l’occasion pour vous de rencontrer et d’échanger avec des confrères MSP ainsi que des experts internationaux autour de conférences, témoignages, table-rondes, ateliers, etc.
Rencontrez l’éditeur Kaspersky au GoMSP !
Lors d’une conférence et deux workshops, les experts en cybersécurité aborderont les thématiques suivantes :
- De l’EDR au MDR : l’avènement de la cybersécurité – par Sébastien Borras, IT Security Consultant Kaspersky et Tony Audoin, Distribution Account Partners Manager Kaspersky.
- Cybersécurité de vos clients – quelles solutions choisir ?
- Démos techniques des solutions EDR et MDR
Découvrez 3 raisons de participer à la conférence physique annuelle GoMSP :
Toute l’équipe est impatiente de vous retrouver à Paris le 16 novembre prochain pour le GoMSP event et se tient à votre disposition pour échanger sur vos projets IT. Pour toute information relative à l’événement, contactez l’équipe organisatrice au 05.56.15.01.01 ou sur contact@gomsp.eu.
À très vite !
0 commentaires