instantané sur les opportunités forrester : une étude ......1 2 3 les alertes edr sont...
TRANSCRIPT
FORRESTER.COM
MISE EN ROUTE
Instantané sur les opportunités Forrester : une étude personnalisée menée pour le compte de McAfee | Mai 2019
Renforcement des moyens pour les analystes de la sécurité grâce
à des enquêtes EDR guidées
Combler l’écart entre la détection et le traitement
FORRESTER.COM
APERÇU SITUATION APPROCHE OPPORTUNITÉ CONCLUSIONS
Instantané sur les opportunités Forrester : une étude personnalisée menée pour le compte de McAfee | Mai 2019
Renforcement des moyens pour les analystes de la sécurité grâce à
des enquêtes EDR guidées
Les solutions EDR doivent évoluer pour réduire la lassitude des analystes
Une détection efficace des menaces nécessite d’obtenir rapidement des informations à partir des données collectées. Aujourd’hui, de
nombreuses solutions EDR apportent uniquement des capacités d’investigation aux analystes les plus pointus dans le domaine de la sécurité,
ce qui n’est ni efficace ni modulable. Les produits EDR, qui permettent aux analystes juniors de procéder à un tri grâce à une enquête guidée,
fournissent un niveau de détection plus élevé à de nombreux marchés qui ne pouvaient auparavant bénéficier de cette technologie.
En avril 2019, McAfee a chargé Forrester Consulting d’étudier les opportunités des fonctionnalités d’enquêtes guidées dans les produits de
détection et de traitement des postes en entreprise (EDR). Nous avons constaté que les décideurs en matière de sécurité estiment que les
enquêtes guidées améliorent la qualité des alertes, renforcent l’efficacité du centre opérationnel de sécurité (SOC) et, en définitive, aident les
entreprises à sécuriser leurs postes à grande échelle.
Pays/région
› États-Unis/Canada : 40 %
› Royaume-Uni : 20 %
› Allemagne : 20 %
› France : 20 %
Poste – 100 % rôles de
sécurité info. :
› Cadre dirigeant : 38 %
› Vice-président : 10 %
› Directeur : 33 %
› Responsable : 19 %
Secteurs clés
› Technologie/Services
techniques : 19 %
› Services financiers : 18 %
› Fabrication : 12 %
› Santé : 10 %
Taille de l’entreprise (effectif)
› 1 000 à 4 999 : 46 %
› 5 000 à 19 999 : 28 %
› 20 000 à 50 000 et plus : 25 %
Remarque : la somme des pourcentages n’est pas équivalente
à 100, car les valeurs ont été arrondies.
FORRESTER.COM
APERÇU SITUATION APPROCHE OPPORTUNITÉ CONCLUSIONS
Les entreprises recherchent des moyens
d’améliorer la détection tout en améliorant
l’efficacité
Lorsqu’ils réfléchissent à leurs priorités en matière de sécurité, les
décideurs considèrent la détection des menaces comme primordiale :
87 % des cadres interrogés la considèrent comme une priorité élevée,
voire critique.
À mesure que le volume et la diversité des menaces continuent de
s’accélérer, les équipes chargées de la sécurité doivent également faire
face à des contraintes de ressources et à un manque de compétences.
Les décideurs en matière de sécurité cherchent des moyens d’accroître
l’efficacité du SOC et de combler les écarts de compétences au sein de
leurs équipes. Une automatisation accrue, appliquée notamment à la
détection et au traitement, est un objectif que 72 % des entreprises
recherchent pour alléger la charge qui pèse sur leurs équipes chargées
de la sécurité (SecOps).
1 2
Les équipes chargées de la
sécurité considèrent la détection
comme leur priorité numéro un, et
cherchent à améliorer l’efficacité et
à combler les lacunes en matière
de compétences pour améliorer la
détection à grande échelle.
Instantané sur les opportunités Forrester : une étude personnalisée menée pour le compte de McAfee | Mai 2019
Renforcement des moyens pour les analystes de la sécurité grâce à
des enquêtes EDR guidées
FORRESTER.COM
APERÇU SITUATION APPROCHE OPPORTUNITÉ CONCLUSIONS
1 2
Les solutions EDR actuelles ne répondent
pas aux attentes
Les équipes chargées de la sécurité s’appuient sur leurs outils EDR
pour répondre à de nombreux besoins essentiels tels que la détection
automatisée, la visibilité sur les postes et la recherche de menaces.
Les solutions actuelles ne répondent cependant pas à ces besoins.
Par exemple, 43 % des décideurs en matière de sécurité considèrent
la détection automatisée comme une exigence essentielle, mais seuls
30 % d’entre eux estiment que leur(s) solution(s) actuelle(s)
répond(ent) parfaitement à leurs besoins dans ce domaine.
De nombreuses entreprises font appel à des prestataires de services
managés de détection et de réponse (MDR, Managed Detection and
Response) afin de combler les lacunes de leurs solutions EDR,
notamment pour la recherche de menaces et l’analyse des postes.
Les décideurs doivent donc allouer un budget pour la sécurité afin de
prendre en charge les fonctionnalités que leur logiciel EDR devrait
déjà fournir.
De nombreuses entreprises
dépensent de l’argent auprès de
prestataires de MDR pour
prendre en charge des
fonctionnalités que leurs
solutions EDR actuelles ne
fournissent pas suffisamment.
Instantané sur les opportunités Forrester : une étude personnalisée menée pour le compte de McAfee | Mai 2019
Renforcement des moyens pour les analystes de la sécurité grâce à
des enquêtes EDR guidées
FORRESTER.COM
APERÇU SITUATION APPROCHE OPPORTUNITÉ CONCLUSIONS
1 32
Les alertes EDR sont dérangeantes et
complexes
Les lacunes des solutions EDR entraînent des difficultés pour 83 %
des entreprises. Les équipes chargées de la sécurité ont du mal à
atteindre leurs objectifs en matière de sécurité des postes, car :
• Elles s’inquiètent des faux négatifs. Plus du tiers des décideurs
(36 %) s’inquiète de ce que leur solution EDR ne signale pas
toutes les menaces qui franchissent leurs barrières.
• Et pourtant, les équipes chargées de la sécurité sont assaillies
de faux positifs. En revanche, la même proportion de décideurs
estime que les alertes reçues ne méritent souvent pas d’être
étudiées.
• Le tri des alertes nécessite des compétences pointues. Les
équipes chargées de la sécurité sont déjà à court de ressources et
recherchent des possibilités de gagner en efficacité à chaque
occasion. Les solutions EDR sont devenues leur bête noire, car les
alertes sont complexes et difficiles à classer par les analystes
juniors sans supervision.
Il faut en moyenne 2 heures et
10 minutes au personnel chargé
de la sécurité pour classer un
cas d’alerte EDR.
Instantané sur les opportunités Forrester : une étude personnalisée menée pour le compte de McAfee | Mai 2019
Renforcement des moyens pour les analystes de la sécurité grâce à
des enquêtes EDR guidées
FORRESTER.COM
APERÇU SITUATION APPROCHE OPPORTUNITÉ CONCLUSIONS
1 32
Les alertes EDR sont complexes et
requièrent l’intervention des analystes
seniors
De nombreux produits EDR s’appuient sur les analystes de la
sécurité pour comprendre la télémétrie collectée tout en ne
fournissant qu’un contexte limité autour des alertes générées. Cela
crée une situation dans laquelle les analystes juniors ne peuvent
classer en moyenne que 30 % des alertes générées par les solutions
EDR. 60 % des alertes sont suffisamment complexes pour
nécessiter l’intervention d’analystes de la sécurité plus expérimentés
(par ex. niveau II ou III) ou d’un prestataire de services. Et malgré le
temps consacré par ces ressources qualifiées au tri des alertes
EDR, 10 % de ces dernières ne sont pas traitées. Ce pourrait être un
incident de sécurité qui ne demande qu’à survenir.
Les analystes juniors ne
peuvent trier que 30 % des
alertes aujourd’hui. Les alertes
restantes nécessitent les
compétences d’analystes plus
expérimentés, sans quoi elles
ne sont pas traitées.
Instantané sur les opportunités Forrester : une étude personnalisée menée pour le compte de McAfee | Mai 2019
Renforcement des moyens pour les analystes de la sécurité grâce à
des enquêtes EDR guidées
FORRESTER.COM
APERÇU SITUATION APPROCHE OPPORTUNITÉ CONCLUSIONS
1 32
Le tri des alertes prend trop de temps
En ce qui concerne les alertes EDR, les équipes chargées de la
sécurité considèrent probablement le temps en heures plutôt qu’en
minutes. Un peu plus de la moitié des entreprises (52 %) indique qu’il
faut au moins une heure pour mener à bien une enquête sur une alerte
donnée et clôturer le cas. 5 % des entreprises ont constaté qu’une
enquête sur un cas moyen prend plus d’une journée entière.
Globalement, la clôture d’un cas prend en moyenne 2 heures et
10 minutes.
Avec 60 % des alertes qui nécessitent l’intervention d’analystes de la
sécurité seniors et/ou de prestataires de services managés, et le fait
que les solutions EDR produisent fréquemment des faux positifs pour
36 % des entreprises, le gaspillage de temps est énorme.
Malheureusement, de nombreuses solutions EDR ont été conçues pour
les utilisateurs expérimentés qui souhaitent manipuler et interpréter des
ensembles de données complexes dans le cadre d’une enquête. Les
entreprises ont besoin d’une meilleure option pour améliorer la
détection et sécuriser leurs postes à grande échelle.
Il faut en moyenne 2 heures et
10 minutes au personnel chargé
de la sécurité pour classer un cas
d’alerte EDR.
Instantané sur les opportunités Forrester : une étude personnalisée menée pour le compte de McAfee | Mai 2019
Renforcement des moyens pour les analystes de la sécurité grâce à
des enquêtes EDR guidées
FORRESTER.COM
APERÇU SITUATION APPROCHE OPPORTUNITÉ CONCLUSIONS
Les enquêtes guidées peuvent aider
Les entreprises sont avides de solutions qui favorisent l’efficacité et
réduisent les écarts de compétences au sein du SOC. Les solutions EDR,
qui offrent des enquêtes guidées, une assistance pour le tri des alertes et
une investigation automatisée, en sont un excellent exemple. Les
décideurs en matière de sécurité anticipent un large éventail d’avantages,
notamment :
• Amélioration de l’efficacité et de la productivité. Les décideurs en
matière de sécurité reconnaissent que les enquêtes guidées
permettent une simplification du tri des alertes et une meilleure
maîtrise du processus par les analystes juniors. En conséquence,
44 % des décideurs estiment que les analystes de la sécurité seniors
seront plus productifs et disposeront de plus de ressources. Au final,
cela aidera à atteindre l’objectif d’amélioration de l’efficacité du SOC,
un avantage anticipé par 52 % des décideurs.
• Alertes de meilleure qualité. 59 % des cadres interrogés estiment
que les enquêtes guidées réduisent la quantité d’alertes parasites
générées actuellement par leur solution EDR et améliorent la qualité
des alertes. L’avantage de l’amélioration de l’efficacité des SOC est de
permettre aux analystes de la sécurité seniors de consacrer leurs
compétences aux alertes les plus importantes.
• Sécurité accrue des postes à grande échelle. Une efficacité accrue
et une meilleure qualité des alertes aideront les entreprises à atteindre
leurs objectifs en matière de sécurité à grande échelle. La moitié des
décideurs estime que les enquêtes guidées fourniront cet avantage.
Instantané sur les opportunités Forrester : une étude personnalisée menée pour le compte de McAfee | Mai 2019
Renforcement des moyens pour les analystes de la sécurité grâce à
des enquêtes EDR guidées
Les prestataires d’EDR commencent à introduire des fonctionnalités
d’enquêtes guidées, qui prennent en charge le tri des alertes et
l’investigation automatisée, dans leur offre principale.
FORRESTER.COM
APERÇU SITUATION APPROCHE OPPORTUNITÉ CONCLUSIONS
MÉTHODOLOGIE
Cet instantané sur les opportunités a
été commandé par McAfee. Pour
créer cet instantané, Forrester a
mené une enquête en ligne auprès
de 258 décideurs en matière de
technologies de la sécurité dans des
entreprises de 1 000 collaborateurs
ou plus ayant mis en œuvre des
solutions EDR. Les personnes
interrogées étaient basées aux États-
Unis, au Canada, au Royaume-Uni,
en Allemagne et en France.
L’enquête s’est terminée en mars
2019.
Directrice du projet :
Karin Fenty, consultante principale
en impact sur le marché
Recherche contributive :
Groupe de recherche de Forrester
sur les risques et la sécurité
Conclusion
Avec les solutions EDR actuelles, les équipes chargées de la sécurité se sentent dépassées, en danger
et frustrées. Les décideurs en matière de sécurité ont besoin de fonctions d’automatisation, de recherche
de menaces et de visibilité sur les postes, supérieures à celles proposées par leurs solutions actuelles.
De plus, les alertes EDR sont complexes, incommodantes et nécessitent beaucoup de temps et d’efforts
de la part des analystes de la sécurité seniors et des prestataires de services. Pour sécuriser
suffisamment l’entreprise, les équipes chargées de la sécurité ont besoin de solutions EDR plus faciles à
utiliser et fournissant une meilleure automatisation.
Les enquêtes guidées sont des fonctions EDR émergentes qui offrent des perspectives considérables.
Les décideurs en matière de sécurité estiment que les fonctions d’investigation automatisée et de tri
guidé des alertes génèreront des alertes de meilleure qualité, amélioreront l’efficacité du SOC, et leur
permettront d’atteindre leurs objectifs en matière de sécurité à grande échelle.
À PROPOS DE FORRESTER CONSULTING
Forrester Consulting propose des services de conseil basés sur des recherches, indépendants et objectifs pour aider les
dirigeants d’entreprise à réussir. Qu’il s’agisse de courtes sessions stratégiques ou de projets sur mesure, les services de
conseil de Forrester vous mettent en contact direct avec des analystes qui mobilisent leur expertise pour répondre aux défis
spécifiques de votre activité. Pour en savoir plus, rendez-vous sur forrester.com/consulting.
© 2019, Forrester Research, Inc. Tous droits réservés. Toute reproduction non autorisée est strictement interdite. Les
informations s’appuient sur les meilleures ressources disponibles. Les avis exposés reflètent un jugement à un moment donné
et peuvent être amenés à évoluer. Forrester®, Technographics®, Forrester Wave, RoleView, TechRadar et Total Economic
Impact sont des marques commerciales de Forrester Research, Inc. Toutes les autres marques commerciales appartiennent à
leurs entreprises respectives. Pour des informations complémentaires, veuillez consulter le site forrester.com. E-42268
Instantané sur les opportunités Forrester : une étude personnalisée menée pour le compte de McAfee | Mai 2019
Renforcement des moyens pour les analystes de la sécurité grâce à
des enquêtes EDR guidées