EDR : pourquoi le modèle managé MDR s’impose

0

Les offres de cybersécurité ont le vent en poupe et le marché des solutions EDR de nouvelle génération en est l’exemple le plus évocateur. Plutôt que de déployer un EDR, les entreprises optent pour des offres MDR. Un phénomène qui ne touche pas que les PME.

En quelques années, l’EDR (Endpoint Detection and Response)s’est imposé dans la boîte à outils du RSSI comme une brique essentielle à la protection des endpoints et des serveurs.

Alors que la protection EPP (Endpoint Protection Platform), le bon vieil antivirus, atteint ses limites lorsqu’il faut bloquer une attaque encore jamais répertoriée par les éditeurs, l’EDR et ses algorithmes d’IA prend le relai. C’est globalement l’argument numéro 1 des éditeurs et leurs partenaires pour pousser les EDR auprès des entreprises, avec un succès certain.

Néanmoins un EDR n’est pas un simple agent antivirus que l’on déploie sur un parc. En dépit des efforts des éditeurs pour proposer des interfaces conviviales et l’aide apportée par les IA pour filtrer les données, manipuler un EDR va au-delà de la simple gestion de parc.

Quentin Perceval – Manager Cybersécurité chez Wavestone

Quentin Perceval, Manager Cybersécurité chez Wavestone souligne : « Exploiter un EDR n’a rien d’anodin. C’est une solution de sécurité qui demande des compétences, une expertise que toutes les entreprises n’ont pas. Les éditeurs d’EDR argumentent que leurs solutions n’ont pas besoin d’administration, mais la réalité du terrain montre qu’il faut une équipe derrière pour traiter les alertes. C’est la raison pour laquelle les entreprises se tournent vers les MSSP qui vont leur apporter une solution clé en main. »

De facto, depuis quelques mois, tous les MSSP (Managed Security Service Provider) ont mis en place une offre MDR (Managed Detection and Response) à leur catalogue afin de profiter de la manne représentée par le déploiement des EDR dans les entreprises. Un marché qui a notamment été boosté par l’explosion du télétravail et le besoin de garder le contrôle de postes de travail très largement dispersés dans la nature.

Selon le Gartner, 50% des entreprises auront basculé vers le MDR à l’horizon de 2025.

Les MSSP sur les rangs

Face à ce marché potentiellement juteux, beaucoup d’ESN se rêvent en MSSP. Celles qui opèrent des offres de SOC managées n’ont eu aucun mal à intégrer des offres MDR à leur portefeuille. On a ainsi vu le toulousain iTrust s’allier avec ESET France pour créer une offre européenne souveraine qui intègre une offre EDR managée.

Par contre, pour de nombreuses ESN et intégrateurs, le pas à franchir pour devenir véritablement MSSP est trop important et c’est généralement l’éditeur lui-même qui assure la surveillance en 24/7 des incidents de sécurité.

Pierre Tarradas – Fondateur de Lazar Soft

Pierre Tarradas, fondateur de Lazar Soft, un distributeur de solutions de sécurité en France souligne : « Mes clients sont les MSSP et les ISV et tous profitent aujourd’hui de l’essor du marché des EDR. Néanmoins, leur principale problématique reste le manque de ressources humaines. Qui dit MDR suppose avoir une équipe d’experts en cybersécurité derrière leurs écrans en 24/7. »

La nature ayant horreur du vide, ce sont les éditeurs qui se substituent à leurs partenaires dépourvus de SOC. « De nombreux éditeurs d’EDR proposent leurs services aux prestataires qui vont pouvoir monter des offres en s’appuyant sur un service délivré par l’éditeur. Le partenaire assure le lien entre l’équipe cyber de l’éditeur qui est souvent dans un pays étranger et travaille en anglais et l’entreprise et facture ce service. »

Pas de guerre entre éditeurs et entreprises de services sur le marché des services MDR, mais une chaîne de gestion des incidents qui s’allonge, ce qui peut générer des retards et rallonger les temps de réaction. Les entreprises sont encore très réticentes à donner la main aux SOC externe sur leurs serveurs, ce qui joue en faveur des attaquants qui peuvent causer beaucoup de dégâts en quelques heures.

Une offre taillée pour le midmarket

Les offres MDR vont naturellement participer à la démocratisation de la technologie des EDR auprès d’entreprises qui ne disposent pas en interne d’experts en cybersécurité et qui n’ont pas les moyens de disposer d’un SOC interne en 24/7. C’est bien évidemment le cas des PME et des ETI pour lesquelles de nombreux services ont été lancés ces derniers mois, à l’image de l’offre MicroSOC d’Orange Cyberdefense bâtie sur l’EDR SentinelOne.

Néanmoins, ces offres managées sont tout aussi prisées des grandes entreprises comme l’explique Quentin Perceval : « Nous recommandons aux grandes entreprises qui ont leur propre SOC d’intégrer la gestion de l’EDR. C’est un outil très pertinent pour les équipes SOC et si l’entreprise dispose d’un SIEM, elle peut l’alimenter avec les informations issues de l’EDR. Néanmoins les entreprises qui n’ont pas une équipe cyber d’une taille suffisante et qui doivent au mieux utiliser les ressources dont elles disposent, cette externalisation auprès d’un MSSP est une alternative pertinente. »

Thierry Gourdin – Kaspersky Lab France & Afrique du Nord

Le marché français des EDR se porte bien et le virage vers le MDR s’est encore accéléré ces derniers mois comme le révèle Thierry Gourdin, responsable avant-vente chez Kaspersky Lab France & Afrique du Nord :
«Depuis 2021, nous ne vendons quasiment plus d’offre EDR sans l’offre MDR associée. Qui s’explique aussi par notre fort positionnement auprès des PME qui recherchent tout particulièrement ce type d’offres managées.»

Le facteur humain

Illustration de la dichotomie du marché des EDR, l’éditeur propose 2 offres à son catalogue.

Son EDR Optimum se destine aux entreprises qui n’ont pas de compétences internes en cybersécurité. Cette solution est capable de détecter des menaces avancées qu’un EPP n’est pas capable de voir et de présenter ces menaces de manière simple et appréhendable par des informaticiens qui ne sont pas nécessairement des experts en sécurité informatique.
L’offre EDR Expert s’adresse quant à elle aux experts forensic, aux analystes qui travaillent dans un SOC interne ou une équipe de sécurité mature. L’offre MDR de l’éditeur couvre tant son offre EPP que ces deux EDR.

Le choix d’une offre EDR s’appuie bien évidemment sur les capacités fonctionnelles de l’outil, la qualité des modèles d’IA proposés par l’éditeur, mais aussi des facteurs beaucoup plus « humains », comme la qualité de sa Threat Intelligence et l’efficacité de ses équipes de détection et de réponse à incident. La technologie est là, mais le facteur humain reste capital dans la valeur d’une offre MDR.