MDR (Managed Detection and Response)

Le MDR (Managed Detection and Response) est un service de sécurité externalisé où un prestataire (MSSP — Managed Security Service Provider) opère pour le client la stack EDR/XDR/SIEM avec un SOC (Security Operations Center) humain 24/7/365. Le MDR comble le gap entre les organisations qui achètent un EDR mais n'ont pas les ressources pour le monitorer en continu, et les coûts prohibitifs de construire un SOC interne (24/7 = minimum 5-8 ETP analystes + outils + ingénieurs).

Services typiques : (1) monitoring 24/7 des alertes de l'EDR/XDR ; (2) triage et investigation des incidents par des analystes L1/L2/L3 ; (3) threat hunting proactif basé sur threat intel ; (4) response actions (host isolation, account disable) avec ou sans approbation client ; (5) incident reporting (rapports mensuels, briefings post-incident) ; (6) onboarding et tuning des règles de détection ; (7) integration avec les outils existants (SIEM, ticketing) ; (8) breach support avec DFIR (Digital Forensics and Incident Response) en cas d'incident majeur.

Leaders du marché : CrowdStrike Falcon Complete, SentinelOne Vigilance, Sophos MDR, Arctic Wolf, Red Canary, Expel, eSentire, Rapid7 MDR, Secureworks Taegis, Bitdefender MDR, Trustwave, Atos, Orange Cyberdefense, Thales, Wavestone.

Critères de choix : (1) MTTR (Mean Time To Respond) garanti contractuellement (typiquement <30 min pour incidents critiques) ; (2) couverture géo/linguistique du SOC ; (3) stack technologique supportée (EDR vendor, cloud, SaaS) ; (4) approche réponse (avis-only vs full response avec actions) ; (5) qualité du threat hunting et threat intelligence ; (6) reporting et communication ; (7) prix (typiquement 20-50€/endpoint/mois pour MDR complet).

MDR vs MSSP traditionnel : le MSSP gère les outils de sécurité (firewall, IDS, SIEM) avec une approche monitoring/alerting. Le MDR est outcome-focused : prévenir/détecter/répondre aux incidents avérés.