Protéger ses données avec un antivirus, un EDR ou un XDR ?

Face à la recrudescence d’attaques, de plus en plus sophistiquées, il est essentiel de se donner les moyens de sécuriser son système d’information avant l’arrivée des problèmes aux conséquences néfastes (arrêt des services, perte de données, paiement de rançon, qui ne garantit pas la remédiation…).
L’Endpoint Detection & Response (EDR) et les antivirus font partie des boucliers face aux cybermenaces pour protéger les points de terminaison : ordinateurs et serveurs.

L’antivirus traditionnel

L’antivirus est un logiciel informatique ayant pour objectif de détecter et supprimer les virus et malwares connus, du poste en question. Il s’appuie essentiellement sur une base de données de définitions à mettre à jour régulièrement. Un antivirus analyse les données, pages web, fichiers, logiciels et applications qui transitent par le réseau vers les appareils = analyse tout fichier qui entre afin de déterminer si ce dernier est potentiellement malicieux. Si l’antivirus connait la méthode de nettoyage, il l’exécutera et bloque ainsi le logiciel malveillant ; dans le cas contraire, il lancera une alerte.

  • Ses avantages

Son coût, le prix par utilisateur est souvent minime pour un antivirus. Son efficacité contre les menaces internes. Il est impossible de forcer l’installation d’une mise à jour ou de désinstaller un anti-virus sans avoir les autorisations.

  • Ses limites

L’anti-virus se limite aux virus et aux logiciels malveillants connus, ce qui pose un problème car les attaquants ont la capacité de contourner la détection de nombreux antivirus : si l’antivirus n’est pas à jour ou que la menace n’est pas encore connue alors elle ne sera pas détectée de suite augmentant ainsi le risque de cyberattaque.

Ne contient pas de fonctionnalités basées sur l’analyse comportementale, ni de capacité d’isolement du périphérique en cas d’échec de suppression du malveillant.

N’identifie pas les menaces Zero-day*, les attaques Fileless ** ou encore les menaces avancées par Sandboxing*** dans le cloud

*Zero-day :  vulnérabilité informatique n’ayant fait l’objet d’aucune publication ou n’ayant aucun correctif connu.
**Fileless : ne nécessite pas d’installer un programme sur la machine cible pour exécuter des actions malveillantes.
***Sandboxing : analyse de type « bac à sable » lorsque le fichier nécessite une analyse approfondie.

 

Notre recommandation est de continuer bien sûr avec les antivirus sur les terminaux, simples à installer et gérer, à des coûts très accessibles. Ils sont le 1er bouclier des cyberattaques, mais pour renforcer la sécurité de vos postes de travail ou serveur, notre recommandation est de passer à des dispositifs EDR.

Le dispositif EDR Endpoint Detection & Response

Les EDR sont des logiciels installés sur les endpoints (terminaux) tels que les ordinateurs, les serveurs, les smartphones, etc. Ils collectent des données sur les activités des endpoints et les analysent pour détecter les comportements suspects. En cas de détection de menace, ils peuvent bloquer l’activité.

  • EDR ou Antivirus, lequel choisir ?

Contrairement à l’antivirus, l’EDR effectue en plus une analyse comportementale des menaces. Il est considéré en tant qu’outil de surveillance en temps quasi réel. Il analyse l’exécution et détermine s’il s’agit d’une menace.
Cette opération n’est pas basée sur une bibliothèque préalablement installée et connue (antivirus), mais plutôt sur l’incidence que le code aura sur votre appareil. Qu’une attaque provienne d’une pièce-jointe d’un email, d’un fichier ou d’un site web, l’EDR sera en mesure de l’identifier.

Une attaque par rançongiciel arrive rarement à l’exécution du chiffrement d’un seul poste. Au contraire, elle se prépare de plus en plus souvent des semaines à l’avance, voire même des mois. Les cyberattaques installent des outils malveillants avant de passer à l’action. Pendant ce temps, l’EDR isole votre ordinateur le temps que le code soit neutralisé.

Pro activité : les antivirus nécessitent une mise à jour quand l’EDR est proactif en détectant les menaces potentielles.

Surface de protection plus large : l’antivirus protège des logiciels malveillants quand l’EDR détecte virus, logiciels malveillants, surveille le trafic suspect et les attaques sans fichiers.

Rapidité et automatisation : L’EDR est très automatisé et intervient en temps réel.

Menace inconnue : l’EDR s’attaque aussi aux menaces inconnues contrairement à l’antivirus.

La principale différence entre l’antivirus et l’EDR est donc la détection : l’EDR assure la protection des terminaux et détecte des menaces qui vont au-delà des logiciels malveillants contrairement à l’antivirus. Les dispositifs EDR sont évolutifs, détectent et répondent aux attaques de types zero-day*, fileless** ou sandboxing*** par exemple.

L’EDR s’appuie sur l’IA. Grâce à son apprentissage automatique intégré et une intelligence artificielle avancée, il peut identifier les comportements anormaux et les traiter. Il recherche également des schémas d’activité anormaux, suspects, contribuant ainsi à une meilleure stratégie de sécurité.

En résumé l’EDR détecte, investigue, et remédie, quasi en temps réel, au niveau des endpoints.

Au-delà des endpoints, le dispositif XDR apporte de la visibilité sur ce que vous ne voyez pas

Si l’EDR détecte au niveau des terminaux, l’XDR va au-delà, l’XDR est en quelque sorte l’extension de l’EDR. En effet, ce dispositif ajoute une corrélation entre les événements de sécurité en arrière-plan et l’intelligence artificielle afin de traiter les grands nombres de signaux. Il collecte et détecte les activités déviantes et potentiellement malveillantes sur des équipements comme les serveurs, les réseaux, les flux cloud …
Ce dispositif s’appuie sur l’analyse des données et l’apprentissage machine pour détecter les menaces avancées de tout un système d’information, menaces qui peuvent passer inaperçues par les solutions traditionnelles de sécurité.

Le deuxième avantage des dispositifs XDR est de pouvoir décloisonner les informations collectées, augmentant ainsi le niveau de contextualisation et d’apporter une capacité plus importante d’anticipation en croisant les informations techniques détectées avec du contenu externe.

Les cyberattaques sont de moins en moins cloisonnées! Les équipes en charge de la sécurité informatique doivent pouvoir lier les évènements identifiés, entre eux.

EOL