Pourquoi les PME se tournent-elles vers les services gérés (MDR) et la recherche sur les menaces pour consolider leur défense cyber ?

Pour éviter d'être prises au dépourvu, les équipes de défense ont besoin d'une approche proactive qui combine prévention, détection et remédiation avec des renseignements précis et opportuns sur les menaces. S'il n'est pas réaliste de développer cette capacité en interne, la “louer” ou l'acheter sous forme de service constitue une option plus réaliste. Ce n'est bien sûr pas un concept nouveau : les PME s'appuient depuis des décennies sur les avantages des innovations informatiques grâce aux bureaux de services, aux fournisseurs de services gérés et au cloud computing. 

Il y a de solides arguments en faveur d’une approche similaire pour les services de cybersécurité avancés, et c’est là que la détection et la réponse gérées (aussi appelées MDR) peuvent faire toute la différence. Les services de Managed Detection & Response offrent aux entreprises une capacité de surveillance et de recherche des menaces proactive, pilotée par des experts et évolutive, sans le coût d’un centre d’opérations de sécurité (SOC) haut de gamme. Il n’y a encore pas si longtemps, un service MDR était coûteux et complexe (mais toujours moins qu’une infrastructure interne dédiée). Il est désormais de plus en plus envisageable pour les petites entreprises d'y songer également. 

Nous avons récemment rencontré Jean-Ian Boutin, directeur de la recherche sur les menaces chez ESET, pour discuter du travail de son équipe et de la manière dont la recherche sur les menaces et le renseignement alimentent les workflows MDR. Jean-Ian nous a également donné un aperçu des domaines dans lesquels la combinaison de technologies de pointe et d'expertise humaine apporte une plus grande valeur pratique, en particulier pour les environnements des PME. 

Quels avantages la plupart des utilisateurs de PME tirent-ils de l'ESET Threat Research ? En quoi cela change-t-il lorsqu'ils utilisent ESET MDR ? 

ESET dispose d'une équipe de recherche sur les menaces répartie dans plusieurs régions. Je fais partie de l'équipe de Montréal, mais nous avons également des chercheurs en Europe et aux États-Unis. 

Il y a des informations accessibles à tous : nos publications sur WeLiveSecurity, ainsi que nos interventions et présentations lors de conférences sur la cybersécurité à travers le monde. 

Et puis il y a des éléments réservés aux clients professionnels d'ESET : toutes sortes de conseils approfondis, c'est-à-dire des informations sur les auteurs de menaces : ce qu'ils font, comment ils opèrent, bref tout ce qui aide nos clients à rester en sécurité. 

En matière de détection et de réponse gérées, les renseignements sur les menaces constituent un élément clé qui aide notre équipe de détection et de réponse à comprendre comment les différents auteurs de menaces opèrent et comment elle peut utiliser ces informations pour protéger nos clients contre les violations. 

Nous avons brièvement évoqué la partie émergée de l'iceberg : tout l'aspect technique du MDR que les utilisateurs voient rarement, mais qui est absolument essentiel. Pourriez-vous nous en dire plus ? 

Les différentes alertes qui peuvent apparaître sur votre console correspondent parfois à des détections au niveau des endpoints que nous souhaitons examiner. Mon équipe est chargée de s'assurer que tous les nouveaux échantillons et toutes les nouvelles menaces sont traités et détectés dans les environnements des clients. Une partie du rôle de l'équipe consiste donc à veiller à ce que toutes ces nouvelles tendances et tous ces nouveaux échantillons soient examinés, étudiés, puis détectés chez nos clients. C'est l'un des aspects clés. 

Nous apportons un soin particulier à l'organisation des données de renseignement sur les menaces concernant la cybercriminalité, les ransomwares, les groupes APT et les acteurs étatiques ciblant des organisations mondiales. Nos chercheurs utilisent ces informations pour établir des liens entre les nouvelles violations et les cas antérieurs. 

Ils évaluent également la gravité de la violation, et nous pouvons ainsi déterminer quel pourrait être l'objectif derrière l'attaque. Cela offre véritablement au client une vision complète de ce qui a pu se passer, qu'une violation ait eu lieu ou non, voire du groupe spécifique qui l'a ciblé. 

Qu'apporte de plus le MDR par rapport à la protection des endpoints ESET déjà existante ? 

Le MDR est plus personnalisé, et la relation avec le client s'en trouve améliorée et renforcée. Mais le travail de mon équipe s'étend à l'ensemble de la gamme de produits. 

On a beaucoup parlé récemment des rapports privés d'ESET : dans quelle mesure sont-ils pertinents par rapport aux défis auxquels sont confrontées la plupart des petites et moyennes entreprises ? Sont-elles victimes d'attaques ciblées ? Qu'en est-il des acteurs étatiques ? 

Le profil de menace varie d'une organisation à l'autre, et un acteur étatique a généralement des objectifs prédéfinis, ciblant des victimes qui correspondent bien à ces objectifs. 

En matière de cybercriminalité, le champ d'action est vaste. Il s'agit d'attaques de masse. Nous observons beaucoup de logiciels voleurs d'informations (infostealers). Nous voyons également beaucoup de ransomware. 

Notre rôle consiste donc à comprendre comment tous ces groupes opèrent et à nous assurer que, s’ils disposent de nouvelles techniques, nous puissions agir très rapidement et bloquer toutes les tentatives. 

C’est l’objectif ultime, mais il y a également énormément d’acteurs mal intentionnés qui se livrent à ce genre d’activités, et bien d’autres familles de logiciels malveillants. C’est vraiment un travail quotidien que de veiller à ce que les clients soient protégés. Le travail ne manque pas, c’est certain. 

James Rodewald, l’un des analystes en sécurité d’ESET, utilise ce concept de triangulation : observer un phénomène dans la nature, recueillir le témoignage d’un client affecté et consulter l’équipe chargée du renseignement sur les menaces. Il a notamment cité l’exemple d’une attaque impliquant FamousSparrow. Pourriez-vous nous en dire plus à ce sujet et de votre point de vue ? 

Il est important d'entretenir des relations étroites avec les personnes qui traitent concrètement ce type de cas, car le rôle principal de mon équipe consiste à examiner les données télémétriques, c'est-à-dire les données collectées sur tous les endpoints, afin d'identifier les cas intéressants et ceux sur lesquels nous devons travailler pour améliorer la protection globale. 

Mais parfois, l'équipe MDR tombe sur quelque chose que nous avons déjà vu par le passé, ce qui nous permet également de mieux comprendre comment l'acteur malveillant opère réellement. 

Dans ce cas précis, cela a été une révélation pour nous, car nous n’avions pas vu cet acteur malveillant depuis un certain temps. Chaque fois qu’un cas implique un client utilisant le MDR, c’est un atout pour la recherche, car la relation plus étroite avec le client nous permet de mieux connaître son infrastructure, et donc de mieux l’aider. Nous pouvons mieux comprendre l'impact du cas. Ces informations sont ensuite transmises à d'autres clients des services de renseignements sur les menaces. Nous essayons donc d'être aussi proches que possible de toutes ces équipes et de relier ces incidents entre eux afin d'améliorer notre couverture et notre compréhension de toutes ces menaces. 

Vous avez évoqué les relations de travail avec les analystes MDR et l'équipe D&R (détection et réponse). En quoi cela modifie-t-il votre façon de travailler et votre compréhension des menaces lorsque vous entretenez ce type de relation directe avec les analystes, et peut-être aussi avec le client ? 

Cela change tout, car avec le MDR, nous avons déjà une relation de travail avec la personne en charge de la sécurité de cette organisation. Nous pouvons donc très rapidement comprendre l’ampleur de l’attaque, ce qui s’est exactement passé, pourquoi les attaquants étaient là, etc. 

Les informations dont nous disposons sont exponentiellement plus nombreuses que celles que nous pouvons obtenir avec des endpoints classiques. Pour nous, cette relation est donc inestimable en termes de connaissances, de visibilité et de compréhension du cas. 

L'année dernière, le Royaume-Uni a connu une vague d'attaques qui ont compromis de grandes entreprises telles que Jaguar Land Rover et Marks & Spencer par le biais de services d'assistance externalisés. Les PME ont elles aussi recours à ce type de services externalisés dans le cadre de leur chaîne d'approvisionnement, et elles constituent souvent les maillons les moins bien protégés de la chaîne d'approvisionnement d'une grande entreprise. Doivent-elles s'en inquiéter ? 

Le risque posé par les attaques de la chaîne d'approvisionnement est considérable. De nombreux cas ont été documentés au fil des ans où des acteurs malveillants ciblent les vulnérabilités de la chaîne d'approvisionnement, en se concentrant souvent sur des fournisseurs tiers dont les mesures de sécurité sont moins strictes. En compromettant ces fournisseurs, les attaquants peuvent obtenir un accès initial au réseau d'une organisation. 

En ce qui concerne le MDR, l'un des avantages réside dans la visibilité étendue qu'il offre, garantissant une vue d'ensemble complète de toutes les détections et alertes. Cette capacité nous permet d'identifier plus efficacement même les anomalies mineures. Étant donné que notre équipe surveille en permanence ces organisations à la recherche d'incidents potentiels, nous sommes en mesure de détecter et de réagir rapidement aux erreurs subtiles commises par les acteurs malveillants. 

Les attaques de la chaîne d'approvisionnement posent des défis importants en raison de la difficulté à sécuriser toutes les entités tierces. Cependant, la mise en œuvre d'une solution efficace renforce notre capacité à réagir rapidement et efficacement à de tels événements. 

En tant que responsable d'une équipe de recherche sur les menaces, quelle différence le MDR apporte-t-il selon vous aux clients ? Quel est l'impact pour une entreprise qui dispose d'un service MDR, par rapport à une organisation qui n'a peut-être pas encore franchi le pas ? 

De manière générale, comme je l’ai déjà mentionné, la visibilité continue est bien meilleure avec le MDR. Si votre organisation est touchée par une campagne d’attaque, vous disposerez de meilleurs outils pour reconstituer l’ensemble des actions menées par les attaquants et comprendre comment ils ont procédé au sein de votre réseau. 

En termes simples, le MDR offre une vision plus approfondie des attaques. Du point de vue de la recherche sur les menaces, c'est le principal avantage, et une autre raison clé d'apprécier une telle visibilité est la rapidité de la réponse. Avec le MDR, il existe déjà un canal sécurisé entre les chercheurs et votre entreprise, ce qui facilite la prise de contact avec une personne capable de prendre rapidement des mesures pour contenir une violation. 

Dernière question : que diriez-vous aux entreprises qui pourraient considérer le MDR comme trop compliqué ou trop coûteux ? 

Le MDR fonctionne comme une police d'assurance : il permet de détecter rapidement les menaces telles que les ransomwares, souvent avant même que des problèmes majeurs ne surviennent. Les pirates ont généralement recours à des courtiers en accès initial pour s'introduire dans les systèmes, mais plusieurs signes avant-coureurs peuvent être détectés à l'avance. Même s'il n'est jamais conseillé de payer une rançon, la remise en état peut tout de même entraîner des perturbations. Le MDR garantit la continuité des activités, ce qui vous permet de rester concentré sur votre cœur de métier. 

Merci !