Accueil Antivirus : protection traditionnelle ou Next-Gen ?

Antivirus : protection traditionnelle ou Next-Gen ?

> La défense multicouche offerte au niveau du endpoint par Bitdefender GravityZone
Sommaire du dossier

Les éditeurs d’antivirus multiplient les annonces sur leurs agents, accumulent les moteurs de détection, leurs capacités de Machine Learning et d’EDR. Face à eux : les entreprises qui cherchent la meilleure protection possible, mais aussi une administration ultralégère.

 

Le temps où l’antivirus n’était qu’un petit agent logiciel vérifiant la présence d’un malware à partir d’une base de signatures est bien révolu. Ces dernières années ont vu une inflation technologique considérable de la part des éditeurs qui multiplient les moteurs de détection afin de faire face à un flot de malwares sans cesse renouvelé.

Scanner UEFI, bouclier antibotnets, antiransomware, antiscripting, protection contre les attaques réseaux, sandbox, solution comportementale via le Machine Learning… l’imagination des éditeurs tente d’égaler celle des attaquants. « Offrir une protection multicouche est extrêmement important car il faut toujours pouvoir détecter un malware connu à partir d’une base de signatures, c’est le plus simple mais au-delà, il faut être capables de détecter les malware que l’on ne connaît pas encore », explique Bruno Chatellier, Technical Expert & Pre-sales Manager d’ESET France. « Si un cryptolocker n’a pas pu être détecté dans le fichier lui-même, il faut pouvoir repérer le comportement anormal de la machine qui va commencer à chiffrer les contenus, raison pour laquelle le Machine Learning a été implémenté il y a 10 ans maintenant. »

L’agent antivirus devient porteur de multiples services de sécurité

Dernière évolution en date, la fusion entre l’antivirus (ou EPP) et l’EDR (Endpoint Detection and Response) afin de donner naissance à la Next-Gen Endpoint Protection. Panda, qui a lancé son EDR voici 4 ans maintenant, continue de développer cette offre : « Lorsque nous avons lancé notre EDR, les attaques fileless n’existaient pas, donc nous continuons à le faire évoluer », explique Franck Mazeau, Country Manager de Panda : « L’EDR, ce n’est pas que du comportemental comme on en fait depuis 2005/2006, mais c’est aussi une notion de contextuel. L’EDR permet d’analyser un contexte, des signaux faibles qui permettent de repérer une tentative d’attaque à partir d’une suite d’actions pourtant tout à fait licites. » L’éditeur étend les fonctionnalités de son agent, notamment vers la surveillance des données avec Data Control, un outil qui permet de répertorier l’ensemble des données personnelles sur les postes. Dernièrement, Panda a créé une nouvelle Business Unit nommée Cytomic dont la vocation est d’offrir aux clients de l’éditeur un service de Threat Hunting, c’est-à-dire un service d’analyse des menaces remontées par l’EDR, qui se destine notamment aux entreprises qui ne disposent pas de SOC.

Bitdefender adopte cette même stratégie d’intégration de fonctions additionnelles à son agent, comme l’explique Vincent Meysonnet, Sales engineering Manager France de l’éditeur : « Un seul agent permet de ne pas multiplier les process qui tournent sur une machine, offrant ainsi de faire de l’EPP, de la détection de menace avancée Next-Gen pour prendre en charge des ‘fileless attacks’, du cryptojacking, ainsi que les techniques d’attaque visant la mémoire des postes. » En outre, l’agent Bitdefender apporte une solution crédible en termes de patch management puisque l’éditeur a noué un partenariat avec Ivanti afin d’intégrer à son offre la solution de ce spécialiste. « Nous nous positionnons en tant que plateforme de sécurité universelle qui s’articule autour de notre console Bitdefender GravityZone. Un seul agent pour assurer l’ensemble de la protection endpoint et une console unique pour le management des agents » ajoute Vincent Meysonnet.

Le concept de console unique s’impose sur le marché

Sur le papier, cet empilement de fonctionnalités est séduisant car un seul agent déployé sur les postes clients va pouvoir couvrir un spectre très large de fonctionnalités de sécurité, mais pour les administrateurs, à qui les DSI demandent de faire plus avec moins, endosser la casquette d’expert en cybersécurité n’a rien d’une sinécure. Tous les éditeurs ont bien compris le message et rassemblent toutes les fonctions d’administration au sein de la même console. Symantec qui ne proposait qu’une console on-premise vient d’annoncer une déclinaison Cloud de son outil d’administration. Damase Tricart, directeur du marketing produit de Symantec EMEA, explique cette évolution : « Nous allons offrir la possibilité à nos clients d’utiliser une console qui était on-premise ou une console Cloud. Cela va leur permettre aussi d’intégrer dans une même console plusieurs autres outils Symantec, qu’il s’agisse de notre DLP, les remontées d’alerte de nos différentes briques de sécurité. » Symantec veut simplifier l’accès à sa console puisqu’un simple navigateur permet aux administrateurs d’y accéder à tout moment. Néanmoins, l’américain va continuer à proposer une version on-premise pour les grands comptes ou certains secteurs qui privilégient encore ce type de déploiement.

L’agent devient un composant de sécurité du système d’information à part entière comme l’explique Bruno Leclerc, directeur commercial de Sophos France : « Chaque élément de la chaîne de communication à un rôle à jouer. Le firewall va analyser les flux applicatifs issus des sessions utilisateur, le poste de travail veille à l’exécution des applications. Faire dialoguer ces briques de sécurité entre-elles renforce le niveau de sécurité de manière exponentielle. » Brique irremplaçable pour la protection du poste client, l’antivirus n’en finit pas de se réinventer.