La prochaine grande cybermenace étant toujours imminente, les DSI devraient se demander s’ils ont mis en place les bons partenariats pour être à l’affût des mesures de sécurité et avoir une longueur d’avance sur les attaques sophistiquées.
Vous avez investi dans des logiciels de sécurité des points de terminaison et de détection des réseaux. Vous disposez d’un partenaire de sécurité géré et d’un plan de réponse aux incidents pour vous préparer à la prochaine violation potentiellement catastrophique. Les systèmes de votre entreprise sont-ils protégés contre la cybercriminalité ?
On aurait tendance à dire que oui. Pourtant, malgré les investissements dans la surveillance de la sécurité – des partenariats avec des tiers, de l’infrastructure et des investissements en personnel – des violations à grande échelle continuent de se produire. Il n’a jamais été aussi important pour les solutions de sécurité et de gestion des systèmes d’anticiper les attaques et de garder une longueur d’avance.
Dans un monde de plus en plus centré sur le nuage, il est désormais essentiel d’examiner activement l’activité et l’accès des utilisateurs, en les comparant constamment aux comportements des attaquants, au lieu d’attendre que les technologies de détection vous alertent d’une attaque. L’identité est devenue le nouveau périmètre, et une vigilance accrue – sur la manière dont ces identités accèdent aux informations via des applications, des environnements et des systèmes en nuage et en réseau – est désormais de mise.
Avec plus de 6 000 milliards de dollars perdus l’année dernière en raison de la cybercriminalité, disposer d’un outil qui alerte contre les virus, verrouille les pare-feu et bloque les intrus est un bon début. Cependant, des violations à grande échelle se produisent encore, et en matière de cybersécurité, c’est l’inconnu qui représente le plus grand risque.
La prochaine évolution de la cybersécurité : Services de détection et d’intervention gérées (MDR). Au lieu de s’appuyer uniquement sur des outils automatisés pour signaler les risques potentiels pour votre organisation, les services de détection et d’intervention gérées associent la détection proactive et la chasse aux menaces, alimentées par l’apprentissage automatique, aux connaissances et aux capacités humaines.
Une équipe de conseillers examine régulièrement votre environnement en fonction des menaces actuellement actives et fournit des solutions exploitables en temps réel, en utilisant vos investissements existants dans l’infrastructure et l’architecture de sécurité.
Le fait de disposer d’un ensemble de technologies indépendant superposé à ces outils constitue une extension de votre ensemble d’outils actuel et une deuxième paire d’yeux importante axée sur la détection et l’intervention, sans interrompre ou exiger de changement significatif ou d’investissement supplémentaire dans l’infrastructure ou les opérations.
Selon le Guide du marché des services de détection et d’intervention gérées 2021 de Gartner, on estime que d’ici 2025, la moitié des entreprises dans le monde utiliseront des services de détection et d’intervention gérées pour se protéger contre les cybermenaces. Voici six façons dont un service spécialisé de détection et d’intervention gérées, comme celui offert par l’équipe de sécurité de EY Canada, peut vous fournir le soutien dont vous avez besoin pour combler vos besoins en matière de sécurité et avoir l’esprit tranquille :
- Intervention immédiate. Nous apprenons à connaître votre infrastructure. Lorsqu’une menace immédiate est identifiée, nous intervenons en quelques minutes pour lancer des actions de réponse et de confinement de l’incident, comme vous l’avez prédéterminé et autorisé.
- Aucun faux positif. La plupart des fournisseurs de services agissent comme des gardiens, signalant la moindre activité suspecte. Mais la surveillance des événements s’arrête là, et le véritable travail d’enquête commence pour votre équipe. Dans un livre blanc bien connu sur l’importance du traitement des alertes, International Data Corporation a récemment constaté que pas moins de 30 % des alertes envoyées aux services informatiques des organisations de taille moyenne ne reçoivent pas de réponse. Étant donné l’augmentation exponentielle des menaces et du vacarme des alertes, il est essentiel de concentrer votre temps sur les enquêtes qui comptent vraiment. Notre objectif est d’éliminer les faux positifs, en utilisant des technologies et des techniques d’analyse de pointe et en vous alertant en cas de menace réelle.
- Simplification technique. Les services de détection et d’intervention gérées sont axés sur les résultats. La plupart des organisations disposent de plus d’outils technologiques que nécessaire, mais manquent de processus et de compétences. En obtenant une capacité de détection et d’intervention plus efficace, vous avez également l’occasion d’évaluer votre paysage technologique pour une redondance potentielle. C’est particulièrement vrai pour les environnements Microsoft. En tant que partenaire d’alliance de Microsoft, nous sommes bien qualifiés et équipés pour évaluer l’utilisation optimale des technologies de sécurité Defender et Azure pour votre organisation et pour vous aider à les mettre en œuvre et à les exploiter, le cas échéant.
- Réduction des coûts à long terme. Nous pouvons vous conseiller sur les différentes sources de journaux de sécurité et de télémétrie qui peuvent être intégrées de manière rentable dans vos analyses pour réduire les coûts à long terme, en particulier lorsque les données et les frais basés sur la consommation sont un facteur.
- Capacités ICS/SCADA. Que vos systèmes les plus critiques pour l’entreprise soient ou non ceux qui exécutent des processus physiques, soyez rassuré en sachant que les services de détection et d’intervention gérées s’étendent aux cas d’utilisation de la technologie opérationnelle (TO) – y compris en fournissant des contrôles de détection pour les appareils qui ne peuvent pas héberger d’agents logiciels d’aucune sorte. Dans le cas de la surveillance des TO, nous appliquons à nos recherches des renseignements sur les menaces propres à l’industrie et au contexte.
- Criminalistique intégrée. Une fois la menace contenue et la reprise en cours, la même équipe chargée du traitement de l’incident est en mesure d’effectuer des analyses de criminalistique numériques à distance ou physiques. Cela inclut l’imagerie criminalistique et l’analyse des logiciels malveillants lorsque cela est justifié.
Les cybercriminels ne se sont pas reposés pendant la pandémie, et il est peu probable qu’ils le fassent dans les mois et années à venir. À l’échelle mondiale, EY Canada constate une incidence continue d’hameçonnage de courriels, d’attaques de point d’eau et de l’exploitation de services exposés à l’Internet. Toutefois, la vitesse à laquelle ils passent de l’accès initial à la perturbation des opérations ou à l’exfiltration de données sensibles se mesure désormais en minutes et non plus en heures.
Cela signifie que, pour de nombreuses organisations, l’époque où l’on disposait d’une équipe interne capable de gérer les menaces actuelles est révolue. La première génération de partenariats de sécurité a montré aux entreprises qu’il n’existe pas d’approche unique. Les menaces modernes sont multiformes, et quand chaque seconde compte, vous ne pouvez pas vous demander si les capacités de votre partenaire sont à la hauteur de la tâche.
Pour en savoir plus sur les services de détection et d’intervention gérées d’EY Canada ou pour obtenir d’autres renseignements sur l’avenir de la cybersécurité, visitez le site suivant ey.com/ca/cybersecurité.
Partenaires associés à l’article :