Blog > Detection et Reponses Gérées

MSP, MSSP, MDR… Quelle est la différence ?

Depuis quelques mois, le nombre d’entreprises qui offre des services de sécurité gérés a considérablement augmenté. Que ce soit du MSP, MSSP ou du MDR, il devient parfois difficile à se retrouver à travers toutes les différentes offres de services de cybersécurité. Quand vient le temps de choisir, il est important de garder en tête trois facteurs fondamentaux pour comparer les offres : le niveau d’expertise, le niveau de service et le type de technologie.

MSP, MSSP, MDR… Quelle est la différence ?

Les termes associés aux services de sécurité gérés ont évolué à travers le temps.

En effet, dans les années 2000, il était question de MSP (Managed Service Provider). À cette période, les besoins de sécurité étaient tout autre. Les équipes de TI et de cybersécurité étaient regroupées dans le même département et se retrouvaient parfois imparties chez un MSP (que nous pourrions traduire par service d’impartition TI). Le MSP visait la gestion externe de l'infrastructure sans se concentrer sur la gestion des consoles de sécurité.

Au cours des années qui ont suivi, les services ont évolué avec le temps et c’est à ce moment que le MSSP (Managed Security Services Provider) a entré en jeu. Celui-ci se concentre davantage sur la gestion des consoles de sécurité et s'attarde sur la disponibilité et l’administration des alertes de sécurité. Son objectif ? S’assurer que les consoles restent fonctionnelles, à jour et que dans l’éventualité d’une alerte de sécurité, l’information brute soit remontée au personnel concerné.

Aujourd’hui, avec l’augmentation des cyberattaques et la sophistication des piratages informatiques, il existe de nouveaux besoins. Il est primordial de comprendre davantage l’origine des alertes de sécurité, d’identifier les impacts potentiels et de savoir comment éliminer les failles de sécurité exploitées par les pirates. De ce fait, l’offre de service MDR (Managed Detection and Response) répond parfaitement à cette nouvelle réalité. Maintenant plus que jamais, les entreprises ont besoin de prendre le contrôle sur la sécurité de leur réseau. Le service MDR permet une approche de la cybersécurité proactive. Il se concentre d’abord sur la détection en identifiant les éléments qui pourraient mettre l’organisation à risque face à un pirate informatique. Ensuite, l’aspect « réponse » fait référence aux recommandations qui en découlent et qui seront émises à l’entreprise.

En somme, les besoins des organisations ont changé à travers le temps. Du MSP au MSSP, les organisations doivent aujourd’hui prioriser les services MDR afin de s’adapter à l’évolution des cybermenaces.

Niveau de service

Quand vient le temps de choisir un fournisseur il est important de se poser la question : est-ce que le fournisseur de service offre que des services de cybersécurité?

Il existe de plus en plus d’entreprises opportunistes qui ajoutent un volet « cybersécurité » à leur offre de service TI. Malheureusement, selon plusieurs experts en cybersécurité, il s'agit d’un conflit d'intérêts quand vient le temps de servir un client. Plus souvent qu’autrement, les organisations qui offrent des services d'impartition TI et de sécurité informatique peuvent se retrouver dans une situation où leur personnel de sécurité rentre en conflit avec leur propre équipe TI. Il faut prendre note qu’il n’existe aucun lien entre l’expertise en gestion TI et la sécurité informatique. Ce sont deux choses différentes. Bref, c’est une situation qu’il est préférable d’éviter.

La cybersécurité est un sujet très complexe. C’est pourquoi il est important de s’assurer que les activités principales du fournisseur de service soient directement en lien avec la gestion de sécurité et que leur équipe soit de véritables experts 100% dédiés à la cybersécurité.

La technologie

Il existe une multitude de technologies sur lesquelles s'appuient les services gérés de cybersécurité. De plus, les outils sont très différents les uns des autres. Voici trois outils communs sur le marché : l’analyse des journaux SIEM, EDR et le NDR.

SIEM

À la base, le SIEM est un outil créé pour centraliser les journaux et les événements de sécurité, telles que les tentatives d’accès échouées ou réussies. Le SIEM permet la surveillance d’éléments précis dans le parc informatique. Afin de s’assurer que les nouvelles machines dans le réseau soient intégrées dans la console SIEM, il est nécessaire d'effectuer de la maintenance en continu.

EDR

EDR est une solution de sécurité conçue pour détecter les cyberattaques sur les terminaux (endpoints). Les technologies EDR peuvent être perçues comme la nouvelle génération d’antivirus incluant des fonctionnalités supplémentaires. Elles sont conçues autour d’une console centralisée permettant une visibilité sur tous les endpoints déployés dans l’infrastructure. Les solutions ERD vont plus loin que la simple détection à l’aide de signature : elles utilisent l’analyse de mémoire, l’analyse comportementale et la détection d’indicateurs de compromission. En revanche, les solutions possèdent certaines limitations. Elles n’offrent pas de visibilité sur les équipements de type « Internet des objets » (IoT) ou dans le nuage. Même que souvent, dans les moyennes entreprises, le EDR rentre en conflit avec l’antivirus déjà en place.

NDR

À partir de l’analyse du flow de communication réseau, les technologies NDR se concentrent sur la détection. Elles permettent d’obtenir facilement et rapidement une visibilité à 360 degrés de l'infrastructure. Son plus gros avantage : la visibilité obtenue sur des machines de type imprimante, téléphone IP, IoT, télé connectée, caméra de sécurité, etc. Aujourd’hui, il est primordial de surveiller ce type de machines qui peuvent souvent être utilisées comme relais par les pirates informatiques. Les technologies de type NDR ont également l’avantage d’offrir une capacité de détection plus précoce, ce qui permet d’identifier les signaux d’intrusions hâtivement dans le processus de piratage. Ce type de technologie offre une couche de sécurité supplémentaire et n'interfère pas avec l’antivirus déjà en place dans l’organisation. À cela s’ajoute que le NDR intègre des fonctionnalités de découverte automatique pour ce qui est des nouvelles machines du réseau.

Niveau d’expertise

Le facteur le plus important à prendre en considération lors de la sélection du service est l’expertise de l’équipe de sécurité. L'expérience humaine et de terrain est un élément fondamental pour évaluer le niveau d’expertise d’une organisation de sécurité.

Il existe plusieurs expertises en cybersécurité et les fournisseurs de services gérés en sont le reflet. Il est important de valider que votre fournisseur possède toutes les qualifications pour traiter les alertes de sécurité (équipe d’analystes de sécurité dédiés, personnel qualifié, etc.). Aujourd’hui, avec la sophistication des attaques informatiques, les analystes de sécurité doivent savoir interpréter tous les signaux d’attaques, comprendre les techniques de pirates et pouvoir fournir des recommandations pour mitiger les risques de sécurité. De plus, assurez-vous que votre fournisseur de sécurité gérée dans son équipe tous les profils suivants : chef de la cybersécurité, expert en gestion de cyberattaque, expert en réponse aux incidents, expert en analyse et rétro-ingénierie de codes malicieux.

En conclusion, le temps venu de choisir un fournisseur de service de sécurité géré, il est recommandé de bien définir ses besoins technologiques et le niveau d’assistance requise. Il faut choisir une organisation qui pourrait s’intégrer comme partenaire et fournir un niveau d’attention continu pour assurer la cybersécurité nécessaire à votre stratégie de sécurisation.

Découvrez comment le service MDR de StreamScan peut protéger votre réseau

Nous sommes convaincus qu'après avoir vu notre solution de surveillance du réseau MDR en action, vous ne voudrez plus laisser votre réseau sans protection. C'est pourquoi nous vous proposons un essai gratuit de 30 jours qui comprend :

  • Une séance d'information
  • Configuration du CDS
  • Preuve de concept gratuite de 30 jours
  • Rapport d'activité du premier mois et recommandations

    Courrier électronique : Freetrial@streamscan.ai
    Téléphone : 1 877-208-9040