SOC vs MDR
SOC vs MDR
Lorsqu’une organisation souhaite externaliser la gestion de sa cybersécurité, elle a généralement le choix entre le service SOC et le MDR.
Qu'est ce que le SOC?
Le SOC (Centre opérationnel de la cybersécurité) est une équipe opérationnelle chargée de surveiller la sécurité d’un réseau informatique. Lorsqu’une attaque est détectée par les analystes du SOC, ils prennent les mesures nécessaires pour la contrecarrer (ex: bloquer une adresse IP malicieuse dans le coupe-feu, etc.).
Le SOC correspond à la première génération des services de supervision de la cybersécurité. Sa particularité est qu’il s’appuie sur des outils de gestion de logs (SIEM) pour la supervision de la sécurité des réseaux. Or, comme on le sait, les SIEM sont des outils de détection d’intrusion assez basiques. Ils se concentrent uniquement sur la détection de certains scénarios d’attaques connus. Le SIEM ne détecte pas les cybermenaces inconnues (zero-day).
Qu'est ce qu'un MDR ?
La détection et la réponse gérées (Managed Detection and Response ou MDR) est une évolution naturelle du SOC pour faire face aux nouvelles génération de cyberattaques. C’est un service assez nouveau qui peut être considéré comme du SOC avancé. Le MDR vise à détecter les cybermenaces (connues et inconnues) et à y répondre le plus rapidement. Le MDR est un service combinant l’expertise humaine avec des technologies pour surveiller, détecter et réagir aux potentielles menaces.
Le service MDR se focalise sur la gestion proactive de la cybersécurité. Il se concentre d’abord sur la détection en identifiant les éléments qui pourraient mettre l’organisation à risque face à un pirate informatique. Ensuite, l’aspect « réponse » fait référence aux recommandations qui en découlent et qui seront émises à l’entreprise. Avec le MDR, est apparu un nouveau profil d’expert en cybersécurité: les chasseurs de cybermenaces (threat hunter). Ce sont des analystes aguerris qui prennent en charge tous les mouvements suspects dans le réseau, les analysent en profondeur afin de s’assurer qu’ils ne se transformeront pas en problème.
Le service MDR réduit considérablement le temps de détection des menaces, et allant jusqu’à 99% avec celui StreamScan.
MDR vs SOC
Les principales différences entre le SOC et le MDR sont listées dans le tableau ci-dessous.
SOC | MDR | |
Surveillance du réseau 24/7 | OUI | OUI |
Detection proactive des cyber menaces | NON | OUI |
Capacité avancées de détection des intrusions | Basique (SIEM) | OUI (IDS/IPS) |
Détection des attaques connues | OUI (attaques basiques uniquement) | OUI |
Détection des attaques inconnues (zero-day) | NON | OUI |
Chasse aux cyber menaces (threat hunting) | NON | OUI |
Blocage automatique des cybermenaces | NON | OUI |
Expertise de réponse aux incidents | FAIBLE-MOYEN | ÉLÉVÉ |
Expertise en triage et analyse avancée des cybermenaces | MOYEN | ÉLÉVÉ |
Expertise en rétro-ingénierie de code malicieux (ransomware, etc.) | NON | OUI |
Niveau d’expertise en cybersécurité requise | FAIBLE-MOYEN | ÉLÉVÉ |
Efficacité pour faire face aux cyberattaques d’aujourd’hui | FAIBLE-MOYEN | ÉLÉVÉ |
Comme on le constate, le SOC ne requiert pas d’une grande expertise en cybersécurité. Il s’appuie aussi sur des SIEM, ce qui offre une capacité de détection minimale des intrusions. Le service SOC sera donc recommandé pour les organisations débutantes en cybersécurité. Il est toujours mieux d’avoir une surveillance basique, plutôt que de ne pas en avoir du tout.
Le MDR quant à lui va plus en profondeur en s'appuyant sur la technologie et l'expertise humaine avancée nécessaire pour détecter et analyser les menaces et répondre aux attaques. La gestion de la sécurité est faite de manière proactive et l’objectif est de détecter les problèmes avant qu’ils se produisent. Pour cela, le MDR s’appuie sur des chasseurs de cyber menaces (threat hunters) qui scrutent les moindres mouvements suspects dans votre réseau, les prennent en charge et font des recommandations pour les mitiger le plus rapidement possible.
Du fait qu’elle requiert une plus grande expertise en cybersécurité opérationnelle, il existe très peu de fournisseurs de service MDR sur le marché. StreamScan est l’un des tout premiers à offrir ce service au Québec.
Protégez-vous avec le MDR de StreamScan
- Une couverture du réseau à 100% : Les pare-feu, les flux de données sur les cybermenaces (threat feeds) et les autres mesures de cybersécurité défensives ne peuvent capter qu'une partie des attaques visant votre réseau. Notre technologie de détection de cybermenaces CDS surveille l’ensemble de vos machines et assure une protection des plus efficace et complète, en identifiant les anormalités du réseau en quelques secondes grâce à l’intelligence artificielle.
- Accélère l'intervention et les mesures correctives : Avec notre solution MDR, notre équipe d'experts en cybersécurité se tient prête à répondre à toutes alertes de sécurité en quelques minutes, parfois quelques secondes. Cela réduit considérablement le risque et les coûts éventuels de toute intrusion ou compromission.
- Une protection des plus hauts niveaux à un coût moindre : Pour atteindre le même niveau de couverture du réseau et du temps de réponse fournis par la solution MDR de StreamScan, il vous faudrait engager au moins 3 spécialistes en cybersécurité, acheter une licence pour un logiciel de sécurité et mettre en place une infrastructure. Le MDR de StreamScan est votre service de cybersécurité externalisé qui vous fournit une sécurité de niveau supérieur à une fraction du coût.
Parlez à l'un de nos experts ou appelez-nous au +1 877 208-9040.