La protection clé en main en tant que service

La sécurité en tant que service est le futur de la sécurité de l’information.

La protection clé en main en tant que service

Après avoir travaillé pendant un certain temps avec des modèles de logiciels en tant que service (Software-as-a-Service – SaaS), nous sommes maintenant de plus en plus engagés dans des projets similaires pour fournir des infrastructures (IaaS) et des plateformes (PaaS) entières. Nous pensons que c’est une bonne orientation pour les organisations du monde entier ; l’utilisation d’une solution clé en main aide les entreprises à se concentrer sur leurs tâches principales. Mais est-il possible de fournir à de grandes entreprises une protection totalement intégrée dans le cadre d’un modèle de sécurité en tant que service ?

Notre compréhension de la protection clé en main

Pour répondre à cette question, il nous faut d’abord définir ce que nous voulons dire par protection totalement intégrée. Dans les grandes sociétés, cela est synonyme de protection de l’infrastructure à toutes les étapes de réponse aux menaces :

  • Au niveau de la prévention des incidents, en utilisant des solutions adaptées sur les terminaux ;
  • Au niveau de la détection des menaces, en surveillant et en analysant les données qui circulent entre les solutions de sécurité côté client et le centre des opérations de sécurité (security operations center – SOC) ;
  • Au niveau de la chasse des menaces, qui consiste à tester les hypothèses sur les nouvelles menaces et à effectuer des analyses rétrospectives des données historiques à la recherche de nouveaux indicateurs de danger et indicateurs d’attaque (IoC/IoA) ;
  • Au niveau de la validation des menaces, au cours de laquelle l’équipe du SOC détermine si un événement suspect particulier est une menace réelle ou une action légitime (fausse alerte) ;
  • Au niveau de la réponse à l’incident, lorsque nous recréons la chaîne d’attaque et fournissons des recommandations pour y remédier.

Les solutions de type Endpoint Protection Platform et Endpoint Detection and Response (EDR) gèrent la première étape en mode automatique. Quant aux étapes suivantes, la participation des experts du SOC est essentielle. Cependant, toutes les entreprises ne peuvent pas se permettre d’avoir un SOC interne.

Qu’en est-il des entreprises sans SOC ?

Avoir un SOC interne n’est pas une condition sine qua non pour une protection complète. En réalité, la majorité des grandes entreprises s’en passent : seules 20 % en ont un, si l’on compare le nombre total de commentaires de plateformes de type Endpoint Protection par rapport aux commentaires de solutions de classe EDR (qui supposent la disponibilité d’un SOC) sur la plateforme Gartner Peer Insights.

Comment les 80 % qui restent s’en sortent-ils ? Pour la plupart, une option raisonnable consiste à déléguer les fonctions de sécurité. Le travail d’expertise pour rechercher les menaces, les évaluer et les confirmer, et répondre aux incidents peut être effectué par un fournisseur de services de sécurité gérés (MSSP) ou un fournisseur de solutions de sécurité qui reprend une partie des fonctions des MSSP (il s’agit de notre cas).

Kaspersky MDR : sécurité en tant que service basé sur une PaaS publique.

Kaspersky MDR : sécurité en tant que service basé sur une PaaS publique.

Dans le cadre de cette approche, les clients reçoivent un ensemble de solutions dont les fonctionnalités sont beaucoup plus étendues que celles d’un EDR ordinaire. Elle comprend à la fois la détection des menaces par l’analyse des anomalies du trafic réseau (Network Detection and Response, NDR) et la possibilité de faire interpréter les informations sur les incidents par des experts (Managed Detection and Response, MDR). Notre SOC est unique dans la mesure où ses experts ont un accès rapide aux informations sur les incidents et les nouvelles menaces dans le monde entier, sur la base desquelles ils peuvent prendre des mesures dans l’intérêt du client. Bien que les processus de détection et de réponse aux menaces (EDR + NDR = XDR) soient déjà assez bien automatisés, nous améliorons constamment ce domaine et prévoyons de le renforcer à l’avenir.

La méthodologie d’évaluation ATT&CK a déjà permis de vérifier l’efficacité de notre approche. En raison de la nature spécifique de l’approche, le deuxième cycle d’évaluation de MITRE ATT&CK s’est concentré uniquement sur les capacités de détection de nos solutions. C’est pourquoi la réponse aux incidents, la prévention et la chasse aux menaces – dans lesquelles nos experts SOC sont particulièrement compétents – ont été intentionnellement exclues.

Nos solutions EDR ont également fait leurs preuves et conviennent aussi bien aux SOC internes qu’aux SOC externalisés. Selon le portail Gartner Peer Insights que nous avons déjà mentionné, notre solution Kaspersky Anti Targeted Attack est entrée dans le Top 3 et a été reconnue comme Choix des clients pour la détection et la réponse des terminaux. Nous remercions du fond du cœur tous nos clients qui ont pris le temps de laisser un commentaire.

Classement général des solutions EDR selon Gartner Peer Insights. Source : Gartner.

Classement général des solutions EDR selon Gartner Peer Insights. Source : Gartner.

En résumé, je pense que l’avenir de la sécurité de l’information appartient sans aucun doute à la sécurité en tant que service, mais avec la possibilité pour le client de choisir le degré d’automatisation de ses outils et d’améliorer sa solution clé en main avec des fonctionnalités supplémentaires.

Conseils