Qu'est-ce que le MDR (Managed Detection and Response)
Le MDR (Managed Detection and Response) est un service géré qui combine la technologie de détection (EDR/XDR, SIEM), la threat intelligence et des analystes humains qui enquêtent et répondent aux incidents 24·7. Contrairement à un simple EDR, le MDR ne se contente pas de lever des alertes : il les vérifie, contient l'attaque et clôt l'incident, avec des personnes ayant le mandat de décider.
De la prévention à la réponse : pourquoi le MDR existe
Pendant des années, la sécurité s’est concentrée sur la prévention : pare-feu, antivirus, puis EDR. Mais les attaquants entrent quand même, et la différence entre un incident maîtrisé et une crise ne tient pas à savoir si quelqu’un sonne l’alarme, mais à qui répond lorsqu’elle se déclenche. Le MDR est né pour combler ce manque : non pas un outil de plus qui produit des alertes, mais un service qui les vérifie, les investigue et les contient.
Ce qu’inclut un MDR
Un service MDR complet combine quatre composantes :
- Télémétrie multi-domaines : endpoint, identité, cloud, réseau, applications, pas seulement l’endpoint.
- Détection cartographiée sur MITRE ATT&CK : règles et analytics mis à jour sur des campagnes réelles.
- Threat intelligence : le contexte sur qui attaque et comment, appliqué en temps réel.
- Analystes ayant le mandat de décider : le facteur qui transforme une alerte en incident clôturé.
La technologie détecte, mais c’est la décision humaine qui contient. C’est le cœur d’un MDR bien fait : l’IA élimine le bruit, les analystes décident.
EDR, MDR, XDR : pas des synonymes
L’EDR est la technologie de l’endpoint. Le XDR étend la corrélation à plusieurs domaines (identité, cloud, réseau). Le MDR est le service géré qui opère l’EDR ou le XDR et y ajoute les personnes. Pour la comparaison détaillée, voir MDR vs EDR vs XDR.
Comment reconnaître un bon MDR
Toutes les offres « MDR » ne se valent pas. Signaux de qualité : réponse incluse (et pas seulement notification), analystes seniors ayant l’autorité de décision, intelligence propriétaire (et pas de simples flux revendus), couverture 24·7·365 dans le fuseau horaire du client, et approche agnostique vis-à-vis des éditeurs qui ne vous force pas à remplacer l’existant.
EDR vs MDR vs SOC interne
| Dimension | EDR (techno seule) | MDR (service géré) | SOC interne |
|---|---|---|---|
| Ce qu'il fait | Détecte sur l'endpoint, lève des alertes | Détecte sur endpoint, identité, cloud, réseau et répond | Surveille avec sa propre équipe |
| Qui l'opère | Votre équipe | Analystes du fournisseur 24·7 | Personnel interne, rotations 24·7 |
| Réponse | Manuelle, à votre charge | Incluse, containment gérée | Interne |
| Coût | Licence | Abonnement, ~30 % d'un SOC interne | Plus de 1 M EUR/an |
| Délai de démarrage | Immédiat | Quelques semaines | Mois/années |
Lors de l'Operation Storming Tide, l'équipe Fortgale a détecté et contenu une intrusion multi-étapes (acteur Mora_001) : exfiltration de données et ransomware empêchés par la containment. C'est la différence entre une alerte et un incident clôturé.
Lire l'analyse →Questions fréquentes.
Quelle est la différence entre MDR et EDR ?
L'EDR est une technologie de détection et de réponse sur l'endpoint. Le MDR est le service qui opère cette technologie (et davantage : identité, cloud, réseau), la corrèle avec la threat intelligence et ajoute des analystes qui décident. L'EDR lève des alertes ; le MDR les traite et clôt l'incident.
MDR et SOC sont-ils la même chose ?
Non. Le SOC est la structure qui surveille ; le MDR est le service qui, au-dessus du SOC, ajoute une détection pilotée par l'intelligence et, surtout, la réponse. Dans le modèle Fortgale, le SOC géré et le MDR forment le même poste avancé européen, sans passage de relais entre fournisseurs.
Faut-il déjà disposer d'un EDR pour démarrer un MDR ?
Non. Un bon MDR est agnostique vis-à-vis des éditeurs : il s'intègre à la plateforme que vous utilisez déjà, ou en fournit une. Fortgale opère le MDR sur Microsoft Defender, CrowdStrike Falcon, SentinelOne et d'autres plateformes de référence, depuis une console unique.
Combien coûte un MDR par rapport à un SOC interne ?
Un SOC interne 24·7 dépasse le million d'euros par an en analystes, licences et infrastructure. Un MDR géré en coûte une fraction, avec un abonnement prévisible et une activation en quelques semaines au lieu d'années.
À qui s'adresse le MDR ?
Aux organisations qui ne peuvent ou ne veulent pas bâtir un SOC interne 24·7 mais ont besoin d'une détection et d'une réponse continues : PME structurées, mid-market et grandes entreprises, entités NIS2 devant démontrer une capacité de surveillance et de notification.
De la théorie à une opération réelle.
Ce que vous lisez ici, Fortgale le met en œuvre chaque jour avec un SOC européen 24·7·365 : 287 outils et acteurs profilés, <30 min de confinement médian. Voir le service : Service MDR Fortgale.
Ressources liées : MDR vs EDR vs XDR · Qu'est-ce qu'un SOC
Une conversation technique, pas un funnel.
Laissez vos coordonnées : un analyste vous rappelle sous un jour ouvré. SOC européen, même fuseau horaire, intelligence propriétaire sur les acteurs actifs dans l'UE.