La cybercriminalité s’est industrialisée, et les attaques ne cessent de gagner en volume comme en sophistication. Dans ce contexte, continuer à s’appuyer uniquement sur un antivirus relève désormais de l’illusion. Pour Vincent Nguyen, directeur de la cybersécurité chez Stoïk, les entreprises doivent changer de modèle et passer d’une logique purement préventive à une approche proactive, combinant détection comportementale, réponse rapide et supervision humaine permanente grâce aux services MDR.
Au cours des dix dernières années, la cybercriminalité a connu une croissance vertigineuse nourrie par la digitalisation des processus et le développement de l’intelligence artificielle. Les entreprises de toutes tailles sont désormais touchées par une véritable crise du risque cyber : ce sont ainsi près d’un quart des entreprises européennes qui ont connu une cyberattaque en 2023 selon une étude menée par Eurostat[1]. Face à cette explosion quantitative des menaces, mais aussi à la transformation de leurs méthodes, les entreprises ne peuvent plus se contenter de recourir à leur antivirus traditionnel. Ceux-ci sont désormais incapables de suivre le rythme des innovations technologiques et doivent être complétées par une approche plus proactive de la cybersécurité. C’est ce que permettent de faire les services MDR (Managed Detection and Response), des dispositifs tirant parti de la complémentarité entre automatisation et intervention humaine.
Une industrialisation de la cybercriminalité
Si le nombre de cyberattaques a explosé, c’est d’abord parce que les cybercriminels ont identifié un marché extrêmement rentable. La digitalisation des outils, l’automatisation de nombreuses tâches et
l’utilisation du cyber comme vecteur d’attaque dans les conflits géopolitiques ont accéléré la professionnalisation de la cybercriminalité Il y a encore une dizaine d’années, les cyberattaques étaient souvent des opérations quasi-chirurgicales visant un système d’information spécifique avec des outils dédiés. Aujourd’hui, les pirates utilisent des méthodes de détection automatisée des failles, leur permettant de scanner les actifs exposés sur Internet en continu à la recherche de systèmes et applications vulnérables, ou bien de distribuer massivement des contenus trompeurs à des fins de phishing ou de déploiement d’infostealers et en récolter rapidement les fruits.
Des antivirus dépassés par le volume et la sophistication des attaques
Les antivirus traditionnels fonctionnent sur la base de signatures antivirales : pour identifier une menace, il faut d’abord récupérer un échantillon du fichier malveillant, l’analyser et créer des marqueurs caractéristiques. Cette méthode présente trois limites majeures. D’abord, elle est dépassée par le volume (Kaspersky recensait 411 000 nouveaux fichiers malveillants par jour en 2023 ![2]). Ensuite, les codes malveillants sont désormais extrêmement polymorphiques, il suffit aux cybercriminels de modifier quelques éléments pour rendre une signature obsolète. Enfin, de nombreuses attaques ne reposent plus sur des fichiers analysables : les attaques “fileless” opèrent directement en mémoire, tandis que les techniques dites “Lolbins” exploitent les outils légitimes déjà présents sur les systèmes, sans code malveillant détectable.
Face à ces évolutions, les solutions EDR (Endpoint Detection and Response) adoptent une approche radicalement différente. Plutôt que de rechercher des signatures de codes malveillants, elles analysent les techniques d’exploitation et les comportements suspects, quel que soit le vecteur utilisé. Surtout, elles intègrent une capacité de réponse dont les antivirus sont dépourvus : les équipes de sécurité peuvent investiguer rapidement et remédier aux incidents détectés. Ces solutions analysent non seulement les points d’entrée du système mais l’intégralité des activités en cours, permettant de détecter des anomalies et de prendre automatiquement des mesures d’urgence, comme l’isolement d’un ordinateur compromis.
La supervision humaine permanente, maillon essentiel
Pour qu’un EDR soit réellement efficace, il doit cependant s’appuyer sur une expertise humaine en continu qui pourra valider ses actions et prendre des mesures définitives pour éradiquer totalement la menace. C’est ce qu’on appelle le MDR, pour Managed Detection and Response, un système de surveillance opéré par une équipe de spécialistes disponible vingt-quatre heures sur vingt-quatre et sept jours sur sept pour réagir immédiatement aux menaces identifiées automatiquement. Cette disponibilité permanente est indispensable : les cybercriminels privilégient justement les heures creuses, les nuits, les week-ends et les jours fériés pour lancer leurs attaques, précisément quand les équipes de sécurité internes ne sont pas présentes. Un EDR géré uniquement pendant les heures de bureau laisse l’entreprise vulnérable la majeure partie du temps.
Cette dimension humaine de l’intervention engage un véritable changement de modèle puisqu’il ne s’agit plus de répondre à une crise mais bien d’empêcher la crise d’arriver grâce à des mesures de sécurisation d’urgence.
Face à la perspective désormais inéluctable d’une cyberattaque, les entreprises sont ainsi contraintes de mettre à jour leur stratégie. Il est nécessaire de rompre avec la logique préventive des antivirus pour adopter des méthodes proactives, combinant une détection automatique et une réponse qui s’appuie sur une supervision humaine permanente. C’est seulement à ce prix que le tissu économique pourra développer sa résilience numérique et mettre fin à la crise du risque cyber.
[1] https://ec.europa.eu/eurostat/web/products-eurostat-news/w/ddn-20251008-1
[2]https://www.kaspersky.fr/about/press-releases/les-cybercriminels-ont-libere-411-000-fichiers-malveillants-par-jour-en-2023
