MDR : Managed Detection & Response

Le MDR (Managed Detection & Response) est un service de cybersécurité combinant technologie et expertise humaine pour la détection de menaces, la surveillance et la réponse. Contrairement à un simple outil EDR (Endpoint Detection and Response), le MDR est un service entièrement géré où des experts en sécurité prennent en charge la détection, l'investigation et la réponse. Il ne s'agit pas uniquement d'acheter un outil, mais d'obtenir une équipe. Le prestataire MDR opère généralement depuis un SOC (Security Operations Center) distant et assure une surveillance 24/7/365.

Périmètre et fonctionnement

Un service MDR comprend la collecte de données (par capteurs, API ou intégration de logs depuis endpoints, charges de travail cloud, fournisseurs d'identité et infrastructure réseau), la détection de menaces (via machine learning, threat intelligence et moteurs de corrélation), la chasse proactive aux menaces par des analystes humains, le tri des alertes pour éliminer les faux positifs, et la réponse à incident avec conseil personnalisé, assistance au confinement et soutien à la récupération.

Les organisations utilisant une solution MDR réduisent leur délai de détection (et donc de réponse) de 277 jours en moyenne à quelques minutes. Le MDR répond à la pénurie de compétences en cybersécurité et permet aux entités de bénéficier d'un SOC sans coût ni complexité d'un déploiement interne.

Lien avec NIS2

Un prestataire MDR déploie des experts en sécurité pour enquêter et évaluer les risques de sécurité potentiels sur l'ensemble de l'environnement d'une organisation, 24/7, 365 jours par an. Le bon partenaire MDR utilise de l'intelligence sur les menaces de pointe pour identifier le niveau de risque, prioriser une réponse rapide et efficace afin de neutraliser les menaces et garantir la protection des données personnelles.

Les SOC jouent un rôle essentiel pour répondre aux standards NIS2, qui exigent une gestion proactive des risques, de la détection, de la réponse et une notification coordonnée des incidents. La directive NIS2 impose des délais stricts : notification initiale sous 24 heures, notification détaillée sous 72 heures incluant indicateurs de compromission, rapport final dans un délai d'un mois avec analyse de cause racine. Le MDR soutient directement les mesures de l'article 21 §2 de la directive (gestion des incidents, continuité d'activité, surveillance continue).

Consulter la fiche /mesures/detection-reponse-incidents pour le cadre NIS2. Pour les entités cherchant un prestataire MDR qualifié, voir /prestataires/pdis (Prestataire de Détection des Incidents de Sécurité) et /prestataires/pris (Prestataire de Réponse aux Incidents de Sécurité).

Pour aller plus loin

• ANSSI – Détection et réponse aux incidents
• NIS2 Directive (EUR-Lex)