2 avril 2018
5 minutes
Ransomware, Emotep, Ragnar Locker, ou encore Netwalker... La sécurité des entreprises a été mise à mal au cours de ces derniers mois et dernières années ; entre les pertes financières et la paralysie de leurs activités… Les DSI ont pour mission de réfléchir aujourd’hui à un nouveau mode de sécurisation des postes clients, également appelé : “endpoint”. Envie d’en savoir plus sur le sujet ?
Depuis maintenant plusieurs années, on constate une très forte dynamique sur le marché de la protection du "endpoint" nouvelle génération. Cette dernière est liée à plusieurs tendances qui ont évoluées de front :
- Une remise en question du marché des antivirus classique (EPP) ;
- Le déploiement de solutions de type EDR (Endpoint Detection and Response) qui visent à augmenter la capacité d’investigation et de réponse sur incident.
Vers une obsolescence de l’antivirus traditionnel ?
De nombreuses startups ainsi que des acteurs de la sécurité périmétrique (firewall et sandboxing) sont arrivés sur le marché de l’EPP (Endpoint Protection Platform) sur lequel étaient positionnés les acteurs de l’antivirus traditionnel. Ces nouveaux arrivants sont souvent partis de plusieurs postulats :
- L’antivirus traditionnel est consommateur de ressources tant sur la machine protégée que sur le réseau.
- Il ne répond plus aux exigences de sécurité actuelles car il n’arrive pas à s’adapter aux nouvelles menaces polyformes avec son modèle traditionnel de signature et détection par heuristique.
- Enfin, les consoles d’administration sont souvent devenues lourdes et complexes à gérer.
Les acteurs historiques, conscients de leurs limites, ont réussi à maintenir une implantation importante au sein des entreprises en ajoutant des modules complémentaires (chiffrement de disque, contrôle des périphériques externes, firewall,…) à leur suite logicielle afin de continuer à se rendre indispensable mais surtout à valoriser l’antivirus.
Les malwares des années précédentes ont ouvert les yeux des entreprises, petites ou grandes, sur les risques financiers à une compromission. Mais surtout, sur l’inadaptabilité des solutions de sécurité en place, qu’elles soient situées au niveau du poste client ou à la périphérie du réseau.
La nouvelle tendance du cryptominage et le retour des attaques par script (ainsi qu’en mémoire) montrent que les attaquants se renouvellent constamment et que l’antivirus historique n’est plus suffisant voir plus du tout utile.
L'importance d'une protection personnalisée à chaque environnement
De leur côté, les éditeurs d’antivirus de nouvelle génération ont remis en cause la méthode de détection basée sur signature. Et, ils ont réalisé l’analyse suivante :
Puisque les menaces évoluent constamment, il est important de superviser les actions réalisées sur la machine afin de détecter un comportement anormal. Par analogie, un voleur dans un grand magasin pourra être bloqué à l’entrée par un vigile s’il a déjà été attrapé ou suspecté précédemment, mais un nouveau voleur pourra agir à sa guise. Dans ce cas, ce sont les actions réalisées dans le magasin (ouvrir une boite, arracher une sécurité, cacher un objet…) qui vont attirer l’attention. Chaque éditeur a donc proposé SA vision de l’antivirus nouvelle génération.
Certains se sont focalisés sur les capacités de détection des exploits utilisés par de nombreux malwares, d’autres sur une supervision plus large des événements du système, et enfin d’autres encore ont décidé de s’appuyer sur l’intelligence du cloud avec interrogation de listes blanche/noire combinée à l’utilisation de sandboxes pour qualifier un fichier suspicieux ou inconnu. Dans tous les cas, chaque solution technique présente des avantages qui lui sont propres.
Beaucoup d’acteurs ont compris qu’il fallait combiner ces méthodes de détection pour maximiser l’efficacité de leur solution. On constate donc que désormais toutes ces solutions agissent techniquement "sur le papier" de manière assez similaire.
Ce qu'il faut retenir :
Les entreprises doivent tester et éprouver l’efficacité réelle de la solution et son impact sur le poste client, dans l’environnement cible, pour ne pas se laisser bercer par les sirènes de l’Intelligence Artificielle. En outre, les solutions d’antivirus nouvelle génération apportent une visibilité sur le poste client bien supérieure aux anciens antivirus. Dès lors, il est logique d’ajouter des composants permettant d’investiguer sur la machine mais également d’agir sur celle-ci. Chaque organisation devra donc définir ses priorités afin de sélectionner la fonctionnalité à privilégier. À la différence des autres tendances « marketées » de ces dernières années, la révolution de la protection du poste client est vraiment en marche.
Cet article fait partie des catégories
Cybersécurité
