« Rien n’est permanent sauf le changement », a écrit le philosophe grec Héraclite. Souvent articulée, cette idée relativement galvaudée selon laquelle nous vivons dans un univers en permanente évolution est particulièrement d’actualité à l’heure où nos environnements – et principalement les écosystèmes de la cybersécurité – sont en proie à de profondes transformations et à des bouleversements incessants. À cet égard, la croissance grandissante des cybermenaces, l’utilisation de plus en plus régulière de l’IA générative et des hypertrucages pour pénétrer les organisations mettent les équipes de sécurité sous forte pression.
« Rien n’est permanent sauf le changement »
Le paysage changeant de l’informatique
Dans le domaine en continuelle évolution de la cybersécurité, le besoin croissant de contrôles robustes reste plus que jamais persistant. En fait, la protection des points de terminaison (les terminaux) en est un excellent exemple. Depuis des années, la protection des terminaux a été une mesure essentielle qui sécurise les ordinateurs de bureau, les ordinateurs portables et les serveurs à l’intérieur des pare-feux et des intranets, ou derrière un réseau privé virtuel (VPN) pour les travailleurs à distance.
Néanmoins, au cours des dix (10) dernières années, nous avons été témoins de deux évolutions majeures en matière d’informatique : l’infonuagique et le travail à distance.
De nos jours, plusieurs petites entreprises fonctionnent désormais sans siège social ni réseau informatique, tirant plutôt parti des solutions hébergées dans l’infonuagique et proposées par Microsoft et Google, et utilisant une combinaison d’appareils qui appartiennent à l’entreprise et aux membres du personnel.
L’importance de la sécurité des terminaux n’a jamais été aussi grande à cause de la confusion des frontières en matière de propriété et de responsabilité du réseau informatique, en plus de multiples niveaux de fournisseurs et un accès administratif généralisé aux terminaux.
Au fur et à mesure que les cybermenaces évoluent, les logiciels antivirus traditionnels ne suffisent plus à protéger les appareils modernes et les réseaux informatiques. De telles transformations ont conduit au développement des solutions de Détection et réponse aux Terminaux (DRT) plus connus par son acronyme anglais d’EDR (Endpoint Detection and Response). Notre Infolettre de décembre explore le passage des antivirus aux solutions DRT, leurs fonctionnalités, leur dépendance aux systèmes d’exploitation, et les besoins auxquels elles répondent dans divers environnements.
Cette transition marque un changement important dans notre approche de la protection des actifs numériques, reflétant l’évolution des cybermenaces et les exigences croissantes des nouveaux environnements de travail.
Qu’est-ce qu’un antivirus?
Considéré comme une solution de sécurité traditionnelle, un logiciel antivirus détecte et supprime principalement des virus. Un antivirus est précisément un programme conçu pour prévenir, analyser, détecter et supprimer des virus et autres logiciels malveillants d’un ordinateur. Il compare les fichiers avec une base de données de signatures de logiciels malveillants connus, mettant en quarantaine ou supprimant les fichiers infectés selon les besoins. Bien que ces systèmes soient efficaces contre les logiciels malveillants de base, ils sont moins efficaces contre les menaces plus complexes telles que les attaques du jour zéro. Un jour zéro est une vulnérabilité ou une faille de sécurité au sein d’un système informatique, inconnue de ses propriétaires, des développeurs ou de toute personne capable de l’atténuer. Jusqu’à ce que la vulnérabilité soit corrigée, les malfaiteurs de la menace peuvent l’exploiter dans le cadre d’une exploitation du jour zéro, ou d’une attaque du jour zéro.
Certaines solutions antivirus contiennent des fonctionnalités de pare-feu qui surveillent et contrôlent le trafic réseau entrant et sortant en fonction des règles prédéfinies. Bien qu’ils soient indispensables pour se défendre contre les attaques ciblées sur le réseau informatique, les pare-feux ne peuvent pas toujours défendre un réseau contre des menaces plus complexes telles que les logiciels malveillants sans fichier ou les menaces persistantes plus avancées.
De l’antivirus aux solutions DRT : analyse du comportement et apprentissage automatique
Les solutions DRT vont au-delà des logiciels antivirus traditionnels en se concentrant sur l’analyse du comportement et de l’apprentissage automatique. Plutôt que de s’appuyer uniquement sur les signatures de virus, les solutions DRT analysent le comportement des processus et des applications exécutés sur un appareil ou un réseau informatique. En surveillant les comportements tels que les appels système, les modifications du registre et les connexions réseau, les solutions DRT peuvent identifier des activités suspectes pouvant indiquer une intention malveillante. Une telle approche est particulièrement efficace contre les attaques du jour zéro qui exploitent des vulnérabilités jusqu’alors inconnues.
Dans une optique fondamentale, les solutions DRT exploitent également des algorithmes d’apprentissage automatique pour analyser de grandes quantités de données générées par les appareils et les réseaux afin de détecter les anomalies et les menaces. En analysant et en apprenant continuellement de ces données, un logiciel de DRT peut s’adapter aux nouvelles configurations et séquences de menaces et fournir une protection en temps réel contre les souches émergentes de logiciels malveillants.
Cette approche est singulièrement utile pour détecter les menaces persistantes avancées (MPA), qui sont des logiciels malveillants très complexes conçus pour échapper à la détection par les logiciels antivirus traditionnels. Une menace persistante avancée (MPA) est un acteur malveillant furtif, généralement un État ou un groupe parrainé par un État, qui obtient un accès non autorisé à un réseau informatique et demeure indétectable pendant une période prolongée. Ces derniers temps, le terme menace persistante avancée (MPA) peut également désigner des groupes non parrainés par l’État qui mènent des intrusions ciblées à grande échelle pour atteindre, en particulier, des objectifs politiques ou économiques.
Les solutions DRT sont conçues pour protéger les terminaux, mais elles ne fournissent pas une couverture de sécurité complète pour tous les actifs numériques de votre organisation. Les solutions DRT doivent fonctionner comme un aspect de votre stratégie globale de sécurité informatique, parallèlement à d’autres outils tels que l’antivirus, la gestion des correctifs, les pare-feux, le cryptage et la protection du système de noms de domaine. En combinant les solutions DRT avec d’autres mesures de cybersécurité, vous pouvez générer une défense à plusieurs niveaux capable de détecter et d’intervenir face à un large éventail de cybermenaces.
Qu’est-ce la détection et réponse aux Terminaux (DRT)?
La DRT n’est pas conçue pour détecter tous les ordinateurs de bureau, les ordinateurs portables et les téléphones intelligents de votre réseau, mais plutôt pour détecter de manière proactive les cybermenaces à partir des terminaux lorsqu’elles surviennent et y répondre en temps réel.
L’évolution de la cybersécurité et de la DRT a été occasionnée par la complexification et la prévalence grandissante des cybermenaces. À mesure qu’Internet et les réseaux informatiques font désormais partie intégrante de notre vie quotidienne, le risque de cyberattaques s’est également amplifié. Les mesures et les technologies de cybersécurité ont dû évoluer pour faire face à ces cybermenaces et protéger les individus, les entreprises, les organisations et les gouvernements contre tout dommage et préjudice.
La DRT utilise une combinaison de technologies d’intelligence artificielle et de surveillance pour contrôler le trafic réseau et identifier les cybermenaces potentielles en temps réel. Si une cybermenace est détectée, la DRT peut prendre diverses mesures, notamment bloquer la cybermenace, mettre l’appareil en quarantaine ou alerter le personnel de cybersécurité.
Par ailleurs, l’évolution de la cybersécurité et de la DRT a été démontrée par la nécessité de se tenir au courant du paysage en constante évolution des cybermenaces et des cyberattaques. Au fur et à mesure que la technologie informatique continue de progresser, les technologies utilisées pour se protéger contre les cybermenaces et les cyberattaques progresseront également. Par conséquent, il est primordial que les individus, les entreprises, les organisations et les gouvernements se tiennent au courant des dernières technologies et des meilleures pratiques en matière de cybersécurité afin de rester en sécurité à l’ère numérique.
La dépendance aux systèmes d’exploitation
Les solutions DRT sont disponibles pour divers systèmes d’exploitation, notamment Windows, macOS, iOS, Android et Linux. Tandis que les logiciels antivirus traditionnels sont plus répandus au sein de l’environnement Windows en raison de leur part de marché, les solutions DRT deviennent de plus en plus populaires à l’échelle de tous les principaux systèmes d’exploitation.
À titre d’exemple, dans l’environnement macOS, le système XProtect intégré d’Apple offre une protection de base contre les logiciels malveillants et contre les menaces connues. Toutefois, pour faire face aux menaces croissantes auxquelles sont confrontés les appareils macOS, de nombreuses organisations se tournent vers des solutions spécialisées DRT explicitement conçues pour macOS. Ces solutions offrent des fonctionnalités avancées telles que l’analyse du comportement en temps réel et la détection des logiciels malveillants fondée sur l’apprentissage automatique.
De la même manière, dans l’environnement des appareils mobiles, même si iOS et Android disposent de fonctionnalités antivirus intégrées, ils n’offrent pas de protection complète contre les menaces complexes. Les organisations qui opèrent au sein de tels environnements ont besoin des solutions spécialisées DRT offrant des fonctionnalités avancées telles que la surveillance du trafic réseau, le chiffrement ou cryptage des appareils, et la prévention des pertes de données (PPD).
Le produit par défaut Defender de Microsoft est une solution DRT populaire pour les appareils Windows. Il offre une protection avancée contre les logiciels malveillants, notamment une analyse du comportement des processus, une détection des menaces fondée sur l’apprentissage automatique et des capacités d’intervention en temps réel. Microsoft Defender s’intègre également à d’autres produits Microsoft tels qu’Azure Sentinel et Protection avancée contre les Menaces (PAM) pour fournir une posture de sécurité complète dans l’ensemble de l’écosystème d’une organisation.
Enfin, même si Linux est généralement considéré comme plus sécurisé que les autres systèmes d’exploitation en raison de sa nature source libre, il n’est pas à l’abri des cybermenaces. Pour résoudre un tel problème, les solutions spécialisées DRT comme Cybersécurité ESET pour Linux offrent des fonctionnalités de protection avancées telles que la détection des logiciels malveillants en temps réel et l’analyse du comportement dans un ensemble forfaitaire léger optimisé pour les environnements Linux.
Conclusion
En résumé, même si les logiciels antivirus traditionnels demeurent essentiels pour détecter les logiciels malveillants de base, ils ne parviennent pas à lutter contre les cybermenaces avancées.
À mesure que les défis en matière de cybersécurité augmentent graduellement, l’adoption de solutions complètes telles que les solutions DRT est primordiale pour protéger les écosystèmes numériques modernes. Parfois, il est nécessaire de combiner à la fois un antivirus et un système de DRT
Bien comprendre les fonctionnalités et les dépendances des solutions antivirus et DRT permet aux organisations de faire des choix éclairés en matière de cybersécurité.
Références afin d’évaluer des solutions d’antivirus et de DRT
- PCMag: Annual Benchmark: The Best Antivirus Software for 2024 provides insights into antivirus software performance, assessing factors like detection rates and user interface. (hyperlien)
- PCMag: The Best Hosted Endpoint Protection and Security Software for 2023 (hyperlien)
- PCMag: The Best Free Antivirus Software for 2024 (hyperlien)
- Gartner Peer Insights: Reviews user experiences with various EDR solutions, helping organizations decide on the best fit for their needs (hyperlien)
- TechRepublic: EDR Software: Choosing the Best Solutions for Your Business (hyperlien)
- Centre canadien pour la cybersécurité : Sécurité des appareils des utilisateurs finaux pour les modèles de déploiement Prenez vos appareils personnel (PAP) – ITSM.70.003 – ITSM.70.003 (hyperlien)
- Centre pour la cybersécurité de Belgique : Recommandations pour les solutions de sécurité de type antivirus, EDR et XDR (hyperlien)
Contributions
Nous remercions tout particulièrement le Conseil national de la recherche du Canada pour son soutien financier.
Auteur : Peter Skaronis
Éditeur en chef : Alan Bernardi
Réviseur, correcteur d’épreuves et traducteur : Ravi Jay Gunnoo
