Instantané sur les opportunités Forrester : une étude ......1 2 3 Les alertes EDR sont...

FORRESTER.COM

MISE EN ROUTE

Instantané sur les opportunités Forrester : une étude personnalisée menée pour le compte de McAfee | Mai 2019

Renforcement des moyens pour les analystes de la sécurité grâce

à des enquêtes EDR guidées

Combler l’écart entre la détection et le traitement

FORRESTER.COM

APERÇU SITUATION APPROCHE OPPORTUNITÉ CONCLUSIONS


Renforcement des moyens pour les analystes de la sécurité grâce à

des enquêtes EDR guidées

Les solutions EDR doivent évoluer pour réduire la lassitude des analystes

Une détection efficace des menaces nécessite d’obtenir rapidement des informations à partir des données collectées. Aujourd’hui, de

nombreuses solutions EDR apportent uniquement des capacités d’investigation aux analystes les plus pointus dans le domaine de la sécurité,

ce qui n’est ni efficace ni modulable. Les produits EDR, qui permettent aux analystes juniors de procéder à un tri grâce à une enquête guidée,

fournissent un niveau de détection plus élevé à de nombreux marchés qui ne pouvaient auparavant bénéficier de cette technologie.

En avril 2019, McAfee a chargé Forrester Consulting d’étudier les opportunités des fonctionnalités d’enquêtes guidées dans les produits de

détection et de traitement des postes en entreprise (EDR). Nous avons constaté que les décideurs en matière de sécurité estiment que les

enquêtes guidées améliorent la qualité des alertes, renforcent l’efficacité du centre opérationnel de sécurité (SOC) et, en définitive, aident les

entreprises à sécuriser leurs postes à grande échelle.

Pays/région

› États-Unis/Canada : 40 %

› Royaume-Uni : 20 %

› Allemagne : 20 %

› France : 20 %

Poste – 100 % rôles de

sécurité info. :

› Cadre dirigeant : 38 %

› Vice-président : 10 %

› Directeur : 33 %

› Responsable : 19 %

Secteurs clés

› Technologie/Services

techniques : 19 %

› Services financiers : 18 %

› Fabrication : 12 %

› Santé : 10 %

Taille de l’entreprise (effectif)

› 1 000 à 4 999 : 46 %

› 5 000 à 19 999 : 28 %

› 20 000 à 50 000 et plus : 25 %

Remarque : la somme des pourcentages n’est pas équivalente

à 100, car les valeurs ont été arrondies.

FORRESTER.COM


Les entreprises recherchent des moyens

d’améliorer la détection tout en améliorant

l’efficacité

Lorsqu’ils réfléchissent à leurs priorités en matière de sécurité, les

décideurs considèrent la détection des menaces comme primordiale :

87 % des cadres interrogés la considèrent comme une priorité élevée,

voire critique.

À mesure que le volume et la diversité des menaces continuent de

s’accélérer, les équipes chargées de la sécurité doivent également faire

face à des contraintes de ressources et à un manque de compétences.

Les décideurs en matière de sécurité cherchent des moyens d’accroître

l’efficacité du SOC et de combler les écarts de compétences au sein de

leurs équipes. Une automatisation accrue, appliquée notamment à la

détection et au traitement, est un objectif que 72 % des entreprises

recherchent pour alléger la charge qui pèse sur leurs équipes chargées

de la sécurité (SecOps).

1 2

Les équipes chargées de la

sécurité considèrent la détection

comme leur priorité numéro un, et

cherchent à améliorer l’efficacité et

à combler les lacunes en matière

de compétences pour améliorer la

détection à grande échelle.




FORRESTER.COM


1 2

Les solutions EDR actuelles ne répondent

pas aux attentes

Les équipes chargées de la sécurité s’appuient sur leurs outils EDR

pour répondre à de nombreux besoins essentiels tels que la détection

automatisée, la visibilité sur les postes et la recherche de menaces.

Les solutions actuelles ne répondent cependant pas à ces besoins.

Par exemple, 43 % des décideurs en matière de sécurité considèrent

la détection automatisée comme une exigence essentielle, mais seuls

30 % d’entre eux estiment que leur(s) solution(s) actuelle(s)

répond(ent) parfaitement à leurs besoins dans ce domaine.

De nombreuses entreprises font appel à des prestataires de services

managés de détection et de réponse (MDR, Managed Detection and

Response) afin de combler les lacunes de leurs solutions EDR,

notamment pour la recherche de menaces et l’analyse des postes.

Les décideurs doivent donc allouer un budget pour la sécurité afin de

prendre en charge les fonctionnalités que leur logiciel EDR devrait

déjà fournir.

De nombreuses entreprises

dépensent de l’argent auprès de

prestataires de MDR pour

prendre en charge des

fonctionnalités que leurs

solutions EDR actuelles ne

fournissent pas suffisamment.




FORRESTER.COM


1 32

Les alertes EDR sont dérangeantes et

complexes

Les lacunes des solutions EDR entraînent des difficultés pour 83 %

des entreprises. Les équipes chargées de la sécurité ont du mal à

atteindre leurs objectifs en matière de sécurité des postes, car :

• Elles s’inquiètent des faux négatifs. Plus du tiers des décideurs

(36 %) s’inquiète de ce que leur solution EDR ne signale pas

toutes les menaces qui franchissent leurs barrières.

• Et pourtant, les équipes chargées de la sécurité sont assaillies

de faux positifs. En revanche, la même proportion de décideurs

estime que les alertes reçues ne méritent souvent pas d’être

étudiées.

• Le tri des alertes nécessite des compétences pointues. Les

équipes chargées de la sécurité sont déjà à court de ressources et

recherchent des possibilités de gagner en efficacité à chaque

occasion. Les solutions EDR sont devenues leur bête noire, car les

alertes sont complexes et difficiles à classer par les analystes

juniors sans supervision.

Il faut en moyenne 2 heures et

10 minutes au personnel chargé

de la sécurité pour classer un

cas d’alerte EDR.




FORRESTER.COM


1 32

Les alertes EDR sont complexes et

requièrent l’intervention des analystes

seniors

De nombreux produits EDR s’appuient sur les analystes de la

sécurité pour comprendre la télémétrie collectée tout en ne

fournissant qu’un contexte limité autour des alertes générées. Cela

crée une situation dans laquelle les analystes juniors ne peuvent

classer en moyenne que 30 % des alertes générées par les solutions

EDR. 60 % des alertes sont suffisamment complexes pour

nécessiter l’intervention d’analystes de la sécurité plus expérimentés

(par ex. niveau II ou III) ou d’un prestataire de services. Et malgré le

temps consacré par ces ressources qualifiées au tri des alertes

EDR, 10 % de ces dernières ne sont pas traitées. Ce pourrait être un

incident de sécurité qui ne demande qu’à survenir.

Les analystes juniors ne

peuvent trier que 30 % des

alertes aujourd’hui. Les alertes

restantes nécessitent les

compétences d’analystes plus

expérimentés, sans quoi elles

ne sont pas traitées.




FORRESTER.COM


1 32

Le tri des alertes prend trop de temps

En ce qui concerne les alertes EDR, les équipes chargées de la

sécurité considèrent probablement le temps en heures plutôt qu’en

minutes. Un peu plus de la moitié des entreprises (52 %) indique qu’il

faut au moins une heure pour mener à bien une enquête sur une alerte

donnée et clôturer le cas. 5 % des entreprises ont constaté qu’une

enquête sur un cas moyen prend plus d’une journée entière.

Globalement, la clôture d’un cas prend en moyenne 2 heures et

10 minutes.

Avec 60 % des alertes qui nécessitent l’intervention d’analystes de la

sécurité seniors et/ou de prestataires de services managés, et le fait

que les solutions EDR produisent fréquemment des faux positifs pour

36 % des entreprises, le gaspillage de temps est énorme.

Malheureusement, de nombreuses solutions EDR ont été conçues pour

les utilisateurs expérimentés qui souhaitent manipuler et interpréter des

ensembles de données complexes dans le cadre d’une enquête. Les

entreprises ont besoin d’une meilleure option pour améliorer la

détection et sécuriser leurs postes à grande échelle.

Il faut en moyenne 2 heures et

10 minutes au personnel chargé

de la sécurité pour classer un cas

d’alerte EDR.




FORRESTER.COM


Les enquêtes guidées peuvent aider

Les entreprises sont avides de solutions qui favorisent l’efficacité et

réduisent les écarts de compétences au sein du SOC. Les solutions EDR,

qui offrent des enquêtes guidées, une assistance pour le tri des alertes et

une investigation automatisée, en sont un excellent exemple. Les

décideurs en matière de sécurité anticipent un large éventail d’avantages,

notamment :

• Amélioration de l’efficacité et de la productivité. Les décideurs en

matière de sécurité reconnaissent que les enquêtes guidées

permettent une simplification du tri des alertes et une meilleure

maîtrise du processus par les analystes juniors. En conséquence,

44 % des décideurs estiment que les analystes de la sécurité seniors

seront plus productifs et disposeront de plus de ressources. Au final,

cela aidera à atteindre l’objectif d’amélioration de l’efficacité du SOC,

un avantage anticipé par 52 % des décideurs.

• Alertes de meilleure qualité. 59 % des cadres interrogés estiment

que les enquêtes guidées réduisent la quantité d’alertes parasites

générées actuellement par leur solution EDR et améliorent la qualité

des alertes. L’avantage de l’amélioration de l’efficacité des SOC est de

permettre aux analystes de la sécurité seniors de consacrer leurs

compétences aux alertes les plus importantes.

• Sécurité accrue des postes à grande échelle. Une efficacité accrue

et une meilleure qualité des alertes aideront les entreprises à atteindre

leurs objectifs en matière de sécurité à grande échelle. La moitié des

décideurs estime que les enquêtes guidées fourniront cet avantage.




Les prestataires d’EDR commencent à introduire des fonctionnalités

d’enquêtes guidées, qui prennent en charge le tri des alertes et

l’investigation automatisée, dans leur offre principale.

FORRESTER.COM


MÉTHODOLOGIE

Cet instantané sur les opportunités a

été commandé par McAfee. Pour

créer cet instantané, Forrester a

mené une enquête en ligne auprès

de 258 décideurs en matière de

technologies de la sécurité dans des

entreprises de 1 000 collaborateurs

ou plus ayant mis en œuvre des

solutions EDR. Les personnes

interrogées étaient basées aux États-

Unis, au Canada, au Royaume-Uni,

en Allemagne et en France.

L’enquête s’est terminée en mars

2019.

Directrice du projet :

Karin Fenty, consultante principale

en impact sur le marché

Recherche contributive :

Groupe de recherche de Forrester

sur les risques et la sécurité

Conclusion

Avec les solutions EDR actuelles, les équipes chargées de la sécurité se sentent dépassées, en danger

et frustrées. Les décideurs en matière de sécurité ont besoin de fonctions d’automatisation, de recherche

de menaces et de visibilité sur les postes, supérieures à celles proposées par leurs solutions actuelles.

De plus, les alertes EDR sont complexes, incommodantes et nécessitent beaucoup de temps et d’efforts

de la part des analystes de la sécurité seniors et des prestataires de services. Pour sécuriser

suffisamment l’entreprise, les équipes chargées de la sécurité ont besoin de solutions EDR plus faciles à

utiliser et fournissant une meilleure automatisation.

Les enquêtes guidées sont des fonctions EDR émergentes qui offrent des perspectives considérables.

Les décideurs en matière de sécurité estiment que les fonctions d’investigation automatisée et de tri

guidé des alertes génèreront des alertes de meilleure qualité, amélioreront l’efficacité du SOC, et leur

permettront d’atteindre leurs objectifs en matière de sécurité à grande échelle.

À PROPOS DE FORRESTER CONSULTING

Forrester Consulting propose des services de conseil basés sur des recherches, indépendants et objectifs pour aider les

dirigeants d’entreprise à réussir. Qu’il s’agisse de courtes sessions stratégiques ou de projets sur mesure, les services de

conseil de Forrester vous mettent en contact direct avec des analystes qui mobilisent leur expertise pour répondre aux défis

spécifiques de votre activité. Pour en savoir plus, rendez-vous sur forrester.com/consulting.

© 2019, Forrester Research, Inc. Tous droits réservés. Toute reproduction non autorisée est strictement interdite. Les

informations s’appuient sur les meilleures ressources disponibles. Les avis exposés reflètent un jugement à un moment donné

et peuvent être amenés à évoluer. Forrester®, Technographics®, Forrester Wave, RoleView, TechRadar et Total Economic

Impact sont des marques commerciales de Forrester Research, Inc. Toutes les autres marques commerciales appartiennent à

leurs entreprises respectives. Pour des informations complémentaires, veuillez consulter le site forrester.com. E-42268




Instantané sur les opportunités Forrester : une étude ......1 2 3 Les alertes EDR sont...

Documents

Transcript of Instantané sur les opportunités Forrester : une étude ......1 2 3 Les alertes EDR sont...