Le bon vieil antivirus a évolué : désormais plus complet, il a su intégrer toutes les approches de protection innovantes qui ont vu le jour entre temps. Et il continue à le faire !
Le marché des outils de protection du poste de travail est probablement le mieux connu, le plus ancien et l’un des plus vastes en matière de cybersécurité.
Parti des seuls antivirus dans les années 1980 il a évolué au fil des décennies pour aboutir à un ensemble de fonctions de sécurité intégrées au sein d’un client unique.
Sa fonction centrale demeure bien entendu la lutte contre les codes malveillants. L’antivirus s’est fait « anti-malware », un terme désormais fourre-tout qui englobe les capacités offertes par feu les anti-spywares, anti-rootkits, anti-adwares et autres « anti-tout » !
Ces outils ont donc su évoluer avec les menaces. Ils intègrent ainsi désormais aussi des protections plus génériques telles que la détection de vulnérabilités locales, la détection comportementale et le contrôle applicatif (sandboxing), la protection de la mémoire, l’analyse de réputation, et parfois même des fonctions légères de prévention des fuites de données ou de chiffrement du disque.
Mais quelles que soient ses technologies l’outil de protection du poste aura toujours comme objectif d’empêcher l’exécution de code malveillant sur le poste de travail, quelle que soit la technique d’infection ou de persistance exploitée par ce dernier.
Best of breed ou simplicité d’administration ?
Vaut-il mieux sélectionner un produit expert dans chaque fonction souhaitée, et ainsi devoir gérer une multitude de clients sur le poste de travail, ou opter pour un client unique qui ne saurait certes être excellent en tout mais dont l’administration sera largement simplifiée ? La question s’est posée dès les premières acquisitions par les grands éditeurs d’antivirus de plus petits éditeurs de technologies alors innovantes (anti-spam, détection d’intrusion locale, anti-rootkit, etc.).
Elle semble désormais réglée tant les entreprises optent majoritairement pour un client intégré et, selon l’analyste Gartner, consolident ce qui ne l’est pas encore.
Certes, des spécialistes de niche se créent encore mais ils ne manqueront pas d’être rachetés à leur tour par les poids lourds du domaine dès lors qu’ils auront fait la preuve de leur pertinence.
En définitive sur ce marché, les petits spécialistes innovent et les grands éditeurs rachètent !
L’avenir est à la réponse
Si le marché de la protection du poste de travail est essentiellement tourné vers la prévention (on tente d’empêcher l’exécution du code malveillant), il a désormais tendance à évoluer vers la réponse. On voit ainsi émerger le marché du Endpoint Detection and Response, ou EDR. Ces outils surveillent en temps réel divers appels systèmes à la recherche des signes traditionnels d’exploitation d’une vulnérabilité. Ils offrent ainsi une vision temps-réel de l’activité des postes de travail, et permettent – en théorie – de bloquer l’exploitation d’une vulnérabilité inconnue.
Mais l’autre apport innovant de ces solutions – le « R » de « Response » – est leur capacité à collecter de nombreux paramètres liés à l’activité des postes de travail et ainsi permettre l’investigation poussée des brèches. Ces outils permettent notamment de récupérer immédiatement et à distance des éléments de n’importe quel poste (clé de registres, processus, dump de la mémoire vive, etc.). Les informations qu’ils collectent peuvent également être archivées et servir ultérieurement à enquêter sur une brèche ou définir plus aisément de nouveaux indicateurs de compromission (IoC) à diffuser.
Les fonctions essentielles à exiger
Anti-malware
C’est la base et il faut le faire bien ! On inclut ici à minima les fonctions auparavant fournies par les antivirus, anti-adwares, anti-spywares, anti-rootkits, etc.
Pare-feu personnel
Que ce soit au moment de l’infection ou pour contacter ensuite un serveur de Command & Control, les malwares exigent un accès à Internet. Et donc un pare-feu personnel est essentiel à l’anti-malware.
Contrôle des périphériques et des ports
Seconde voie d’infection après la navigation Internet ou l’email, les périphériques (USB notamment) doivent être contrôlés. Et cela permet en prime d’appliquer des politiques de chiffrement efficaces sur les supports externes.
Tableaux de bord & administration centralisée
L’outil doit pouvoir se déployer et s’administrer de manière centralisée, et fournir des rapports clairs sur l’état de protection du parc.
Support non-Windows
Autant aller jusqu’au bout du concept de la simplification du déploiement et de l’administration avec une solution unique disponible aussi pour Mac et Linux, voire spécifique à Microsoft Exchange et Sharepoint, par exemple.
Sandboxing
L’isolation des applications est la seule approche générique susceptible de garantir pleinement la protection du poste de travail. Si elle n’est pas toujours applicable et doit être secondée, elle n’en demeure pas moins un atout important.
Réputation
L’analyse en temps réel de la réputation des sources (domaines, adresses IP) et des documents joue le rôle d’un système d’alerte collaboratif avancé. Cette approche est très efficace en complément des autres méthodes de détection.
Prévention des fuites de données (DLP)
La capacité du client antimalware a assurer un contrôle local pour le compte d’une solution de prévention des fuites de données (DLP) permettra de simplifier la mise en oeuvre de ce type de solution.
Endpoint Detection and Response (EDR)
L’EDR apporte le volet « réponse » à des solutions jusqu’à présent plus axées « prévention ». Catégorie encore souvent à part aujourd’hui, elle sera certainement la prochaine a être intégrée aux outils de protection du poste de travail. Autant anticiper
