Jeanette Dietl - stock.adobe.com

Et Microsoft se fit prestataire de détection d’incidents de sécurité

Non content de lancer son offre de SIEM en mode cloud, Sentinel, l’éditeur va proposer aux entreprises de profiter de l’expertise de ses propres analystes. Ce qui ne sera pas forcément du goût de tous les MSSP (Managed Security Service Provider).

La vie des partenaires de Microsoft n’est pas toujours un long fleuve tranquille. Mais ceux qui pensaient pouvoir miser sur des services de sécurité managés pour se démarquer et apporter une valeur supplémentaire à leurs clients risquent de grincer des dents. Car l’éditeur pourrait bien être en train de leur couper l’herbe sous les pieds.

En marge de l’ouverture de son offre de SIEM en mode SaaS sur Azure, Sentinel, Microsoft vient en effet d’annoncer Threat Experts, un nouveau service de chasse aux menaces proposé dans le cadre de Windows Defender ATP. Le groupe l’explique lui-même : le service s’articule autour de deux volets qui n’ont rien d’anodin.

Le premier consiste à recevoir des alertes qualifiées sur des anomalies observées par les outils et les experts de Microsoft, alertes devant « fournir autant d’informations que possible rapidement pour attirer l’attention sur les menaces critiques, dans le réseau, y compris la chronologie, l’étendue de la brèche, et les méthodes d’intrusion ». De quoi, au moins sur le papier, concurrencer des services d’externalisation d’analystes SOC niveau 1, voire plus.

Les alertes doivent être présentées aux clients dans leur portail Windows Defender Security Center. De là, il sera possible d’accéder au second volet de l’offre et solliciter un expert en menaces informatiques de Microsoft pour « mieux comprendre les menaces complexes, depuis les exploits inédits jusqu’à l’origine d’une connexion réseau suspecte ».

Là, Microsoft s’invite un cran plus haut dans la chaîne de valeur de l’analyse de menaces cyber, mais risque de se heurter à la problématique de la connaissance précise des spécificités métiers de l’environnement de ses clients. C’est là, potentiellement, que le groupe peut laisser une certaine place à ses partenaires, notamment pour de simples raisons d’effectifs disponibles, et cela même s’il propose lui-même des services de réponse à incident.

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)

Close