Aller au contenu
Avanet
Managed Threat Detection - surveillance et détection 24h/24 et 7j/7

Managed Threat Detection - surveillance et détection 24h/24 et 7j/7

Dans cet article de blog, je souhaite vous présenter Managed Threat Detection (MTD) pour endpoints et serveurs, disponible depuis fin juillet 2021. Avec MTD, Sophos cible principalement les clients qui ne sont pas encore prêts à remplacer leur solution endpoint et serveur existante d’un fournisseur tiers par l’agent Sophos. Pour tous les autres clients qui ont déjà installé l’agent Sophos sur leurs ordinateurs et serveurs et qui utilisent au minimum Intercept X Essentials, Managed Threat Detection n’est pas pertinent.

La success story de Managed Threat Response (MTR)

Sophos a récemment annoncé que Managed Threat Response (MTR) protège désormais plus d’un million d’appareils. Les offres Managed Threat Response Standard et Advanced sont les deux variantes les plus onéreuses pour protéger ordinateurs et serveurs, mais elles offrent aussi le plus haut niveau de sécurité et de détection. Vous bénéficiez d’une équipe d’experts composée d’analystes, de développeurs et de chasseurs de menaces, qui travaillent 24h/24 et 7j/7 pour vous protéger, vous et vos collaborateurs, contre les cyberattaques.

L’exploitation parallèle avec des solutions tierces n’était jusqu’ici pas possible

« Sophos Managed Threat Response » nécessite le client MTR, qui ne peut pas être utilisé en parallèle avec les solutions de fournisseurs tiers tels que Microsoft, Symantec, Kaspersky, McAfee ou d’autres. Le nouveau service « Managed Threat Detection » a, quant à lui, été spécialement développé pour une utilisation parallèle avec des produits tiers et vise ainsi un autre groupe cible, afin de permettre à Sophos de « mettre un pied dans la porte ».

Ceux qui pensent pouvoir conserver leur solution de protection tierce avec Managed Threat Detection et bénéficier, sans le client MTR, des mêmes avantages que les clients Managed Threat Response se trompent malheureusement.

Limitations

Renoncer au puissant client MTR de Sophos entraîne logiquement certaines limitations. Le tableau comparatif suivant montre quelles fonctions sont alors indisponibles :

Tableau comparatif Sophos Central MTR et MTD

La notification comme seule action possible

Avec Managed Threat Response Standard et Advanced, il est possible de choisir entre trois niveaux de réaction :

  1. Notification : si l’équipe Sophos MTR détecte une menace ou une attaque, elle en informe le client, mais n’agit pas d’elle-même. Vous recevez un rapport sur la cause et sur la détection, avec des étapes concrètes à suivre pour traiter le problème par vos propres moyens.
  2. Collaboration : l’équipe Sophos MTR travaille avec votre propre équipe informatique ou, si vous le souhaitez, avec un prestataire informatique externe, et réagit conjointement aux menaces concernées.
  3. Autorisation : l’équipe MTR prend en charge de manière totalement autonome les actions d’endiguement et de neutralisation et vous informe simplement des mesures mises en œuvre.

Avec Managed Threat Detection, en revanche, seule l’option de réaction « Notification » est disponible. Vous recevez certes une alerte via le tableau de bord Central ou par e-mail lorsqu’une menace est détectée par l’équipe MTR, mais vous devez ensuite la neutraliser et l’éliminer sous votre propre responsabilité. S’il s’agit d’une menace active où chaque seconde compte, l’équipe MTR vous appelle au moins brièvement, mais vraiment uniquement dans le cas de menaces actives.

Sophos Rapid Response comme dernier recours

En cas de menace active, les clients Managed Threat Detection se retrouvent pratiquement seuls pour stopper une attaque. L’équipe MTR ne peut malheureusement pas intervenir ici, car le client MTR de Sophos n’est pas installé sur les ordinateurs et les serveurs. C’est précisément dans ce type de situation que la solution de sécurité tierce utilisée devrait briller. Si ce n’est pas le cas, il reste la possibilité de faire appel au service Sophos Rapid Response. Vous bénéficiez alors d’une assistance ultra‑rapide d’une équipe d’experts Sophos, qui désactive le logiciel de protection existant sur tous les ordinateurs et serveurs et installe le client MTR.

Attention ! Sophos Rapid Response ne fait pas partie de Managed Threat Detection et doit être acheté séparément à un prix fixe.

Mot de la fin

Avec Managed Threat Detection, Sophos a créé un service qui rend l’expertise de son équipe MTR accessible même aux clients dont la sécurité réseau ne repose pas sur des solutions Sophos. D’un point de vue stratégique, cela a parfaitement du sens. Même si un administrateur informatique décide aujourd’hui d’équiper à l’avenir le réseau de l’entreprise avec des solutions Sophos, cette décision ne peut pas toujours être mise en œuvre rapidement. Des contrats en cours peuvent faire obstacle, ou des licences actives peuvent déjà avoir consommé le budget des trois prochaines années.

Avec Managed Threat Detection, Sophos a précisément créé pour ces scénarios une sorte de « service additionnel » qui peut être envisagé à court terme pour renforcer le concept de sécurité. Les ressources de l’équipe MTR dédiées à la détection des menaces sont ainsi mises à la disposition d’un public beaucoup plus large, ce qui ne peut que profiter à Sophos. Plus il y a de données disponibles pour l’analyse, mieux les algorithmes peuvent être ajustés – peu importe que ces données proviennent de clients utilisant l’agent MTR ou MTD.

En principe, nous recommanderions toujours la variante MTR à tous les clients qui souhaitent protéger leurs endpoints et serveurs avec Sophos. Nous sommes toutefois conscients que cette solution n’est pas adaptée à tous les budgets. Il reste néanmoins préférable de partir du produit le plus cher, avec le niveau de sécurité le plus élevé, puis de descendre, car les solutions de sécurité fonctionnent comme les assurances : ce n’est qu’une fois le dommage survenu que l’on regrette d’avoir voulu économiser. 😜

Pour tous les autres qui, pour diverses raisons, ne veulent ou ne peuvent pas encore revoir l’ensemble de leur infrastructure, Sophos Central Managed Threat Detection pour endpoints et serveurs constitue à coup sûr un complément solide. Il est tout à fait recommandé de faire surveiller les activités réseau par une équipe d’experts.

David

David

David est responsable des contenus, de la structure et de la mise en oeuvre numerique chez Avanet. Il veille a rendre les sujets techniques complexes clairs, precis et optimises pour la recherche.