Protection du poste client, êtes-vous prêts à basculer ?

Protection du poste client, êtes-vous prêts à basculer ?

WannaCry, Petya et NotPetya, la sécurité des entreprises a été mise à mal au cours de ces derniers mois. Pertes financières, paralysie de l’activité sont autant de facteurs qui nécessitent pour les DSI de réfléchir à un nouveau mode de sécurisation des postes clients "endpoint".

Depuis maintenant plus de deux ans, on constate une très forte dynamique sur le marché de la protection du « endpoint » nouvelle génération. Cette dynamique est liée à plusieurs tendances qui ont évoluées de front. Une remise en question du marché antivirus classique (EPP) et en parallèle le déploiement des solutions de type EDR (Endpoint Detection and Response) qui visent à augmenter la capacité d’investigation et de réponse sur incident.

Vers une obsolescence de l’antivirus traditionnel
De nombreuses startups ainsi que des acteurs de la sécurité périmétrique (firewall et sandboxing) sont arrivés sur le marché de l’EPP (Endpoint Protection Platform) sur lequel étaient positionnés les acteurs de l’antivirus traditionnel.

Ces nouveaux arrivants sont souvent partis de plusieurs postulats :

  • L’antivirus traditionnel est consommateur de ressources tant sur la machine protégée que sur le réseau.
  • Il ne répond plus aux exigences de sécurité actuelles car il n’arrive pas à s’adapter aux nouvelles menaces polyformes avec son modèle traditionnel de signature et détection par heuristique.
  • Enfin, les consoles d’administration sont souvent devenues lourdes et complexes à gérer.

Les acteurs historiques, conscients de leurs limitations, ont réussi à maintenir une implantation importante au sein des entreprises en ajoutant des modules complémentaires (chiffrement de disque, contrôle des périphériques externes, firewall,…) à leur suite logicielle afin de continuer à se rendre indispensable mais surtout à valoriser l’antivirus.

Les malwares de l’année 2017 tels que WannaCry, Petya et NotPetya ont ouvert les yeux des entreprises, petites ou grandes, sur les risques financiers à une compromission, mais surtout sur l’inadaptabilité des solutions de sécurité en place, qu’elles soient situées au niveau du poste client ou à la périphérie du réseau.

fotolia_97710924

La nouvelle tendance du cryptominage et le retour des attaques par script (ainsi qu’en mémoire) montrent que les attaquants se renouvellent constamment et que l’antivirus historique n’est plus suffisant voir plus du tout utile.

Une protection personnalisée à chaque environnement
De leur côté, les éditeurs d’antivirus de nouvelle génération ont remis en cause la méthode de détection basée sur signature. Et, ils ont réalisé l’analyse suivante :

Puisque les menaces évoluaient constamment, au lieu de les rechercher en s’appuyant sur une base de connaissance, ils allaient superviser les actions réalisées sur la machine afin de détecter un comportement anormal. Par analogie, un voleur dans un grand magasin pourra être bloqué à l’entrée par un vigile s’il a déjà été attrapé ou suspecté précédemment mais un nouveau voleur pourra agir à sa guise. Dans ce cas, ce sont les actions réalisées dans le magasin (ouvrir une boite, arracher une sécurité, cacher un objet…) qui vont attirer l’attention. Chaque éditeur a donc proposé sa vision de l’antivirus nouvelle génération.

Certains se sont focalisés sur les capacités de détection des exploits utilisés par de nombreux malwares, d’autres sur une supervision plus large des événements du système, et enfin d’autres encore ont décidé de s’appuyer sur l’intelligence du cloud avec interrogation de listes blanche/noire combinée à l’utilisation de sandboxes pour qualifier un fichier suspicieux ou inconnu. Dans tous les cas, chaque solution technique présente des avantages qui lui sont propres.

data protection database security internet shield

Beaucoup d’acteurs ont compris qu’il fallait combiner ces méthodes de détection pour maximiser l’efficacité de leur solution. On constate donc que désormais toutes ces solutions agissent techniquement « sur le papier » de manière assez similaire.

Les entreprises doivent donc tester et éprouver l’efficacité réelle de la solution et son impact sur le poste client, dans l’environnement cible, pour ne pas se laisser bercer par les sirènes de l’Intelligence Artificielle.

En outre, les solutions d’antivirus nouvelle génération apportent une visibilité sur le poste client bien supérieure aux anciens antivirus. Dès lors, il est logique d’ajouter des composants permettant d’investiguer sur la machine mais également d’agir sur celle-ci. Chaque organisation devra donc définir ses priorités afin de sélectionner la fonctionnalité à privilégier.

Pour conclure, on peut affirmer, qu’à la différence des autres tendances « marketées » de ces dernières années, la révolution de la de la protection du poste client est vraiment en marche.

7fcb9fd2c0f6ce4c2d8bba61eab885b7|||||||||||