La protection endpoint de nouvelle génération arrive. Elle n’enterrera sans doute pas tout de suite le bon vieil antivirus à signatures, mais l’Endpoint Detection and Response, alias l’EDR, doté d’IA et sur le Cloud, pallie ses faiblesses.
Avec un taux de spam à 55 % de la totalité des messages, un accroissement de 92 % des variantes de malwares et 46 % de ransomware en plus, tous les indicateurs de sécurité sont au rouge en 2018. Plus que jamais, PC, Mac et désormais les smartphones sont les cibles privilégiées des pirates. Alors que tous les postes Windows sont équipés d’un antivirus, cet accroissement témoigne de cette course sans fin entre pirates et éditeurs d’antivirus.
L’EDR, l’anti-malware de nouvelle génération
Face à cette avalanche incessante de malwares et de ransomwares, une solution semble s’imposer, le Machine Learning, ou plutôt une nouvelle vague de solutions de protection endpoint, les EDR (Endpoint Detection and Response) ou système de détection et de réponse sur les terminaux.
Selon la définition du Gartner, un EDR se caractérise par sa capacité à détecter les incidents de sécurité, contenir l’infection en bloquant le poste concerné, en l’isolant du réseau d’entreprise. Il donne des outils d’investigation aux experts de sécurité et permet, pour certains, d’opérer une remédiation du poste et de le ramener à son état précédant l’incident. Dans le cadre de la détection des incidents, le Machine Learning permet à l’EDR de repérer les malwares encore inconnus des bases de signatures, repérer les attaques “fileless”, les attaques via des documents bureautiques, via les navigateurs, via scripting, ainsi que les attaques sur les comptes utilisateurs. « Nous utilisons le Machine Learning et le Deep Learning afin de définir si un fichier est infecté ou pas par un malware » explique François Baraër, ingénieur commercial chez Cylance pour l’Europe du sud. « C’est une approche en rupture avec les antivirus classiques. Elle est à la fois efficace et très légère comparée aux solutions endpoint traditionnelles qui empilent des technologies d’antivirus, comportementales, de sandboxing, de réputation, etc. »
Tous les acteurs de cybersécurité surfent sur la vague
Globalement, les pure players de ce marché, les Carbon Black, Cylance et SentinelOne ont été rejoints par tous les grands acteurs de la sécurité, depuis Cisco, Check Point, Palo Alto Networks pour n’en citer que quelques-uns, mais aussi tous les éditeurs d’antivirus qui ont ajouté des fonctions EDR à leurs solutions EPP. Stéphane Genaudeau, ingénieur avant-vente B2B chez Bitdefender souligne : « Nous utilisons du Machine Learning pour l’analyse du code malicieux sur nos infrastructures depuis 8 ans. Ce Machine Learning a maintenant pu être intégré au niveau de l’agent afin de détecter ces codes malveillants non plus par leur signature mais par leur technique d’attaque. »
Sur le papier, toutes ces solutions mettent en œuvre globalement les mêmes technologies de détection. Celles-ci diffèrent dans leurs outils d’analyse et de remédiation ainsi que leur ouverture aux autres solutions de sécurité. Un POC, ou Proof of Concept, s’impose pour évaluer l’adéquation d’une offre aux besoins réels de l’entreprise, mais aussi des compétences réelles en termes de cybersécurité de ses administrateurs. Ainsi, réagir à une attaque ciblée n’est pas toujours simple pour une PME qui n’a pas de personnel dédié à la sécurité et c’est la raison pour laquelle F-Secure met en avant le bouton d’appel dont est dotée sa solution. « Les événements jugés dangereux sont routés vers une console et des emails d’alerte envoyés au client, au revendeur avec des recommandations » confie Philippe Fourcin, responsable avant-vente de F-Secure. « Si celles-ci ne sont pas suffisantes pour enrayer l’attaque, une demande d’assistance peut être escaladée auprès de F-Secure, simplement en appuyant sur un bouton. La partie consulting de F-Secure prend alors la main. » Parmi les autres différenciateurs des offres EDR, l’architecture technique des solutions.
Le Cloud monte en puissance
Certaines fonctionnent en local, d’autres sont 100 % Cloud, l’agent installé en local se contentant de collecter les événements sur le poste client ou le serveur pour les envoyer dans le Cloud.
En effet, cet essor de l’EDR est parallèle à celui du Cloud car la grande majorité de ces offres EDR sont connectées à un service Cloud où s’exécute véritablement le moteur d’IA. Cela permet de ne pas avoir à déployer d’équipements ou de serveurs dédiés et permet d’abaisser les coûts de ce type de solutions, comme l’explique David Grout, directeur avant-vente de FireEye pour l’Europe du sud, un acteur justement bien connu pour son approche appliance : « Nous sommes en phase de Cloudification de nos offres afin de les rendre plus accessibles au marché, et nous avons aujourd’hui pratiquement migré toutes nos offres en mode Cloud. Cela permet une plus grande flexibilité d’implémentation à nos clients et pour nous cela nous permet d’élargir notre base client. Nous étions très présents auprès des gouvernements, grandes entreprises, aujourd’hui nous sommes accessibles aux PME/PMI. » C’est bien le cas d’HX, la solution EDR de l’éditeur dont la version Cloud est hébergée soit par FireEye, soit sur AWS, à Dublin et Munich.
Cet échange de données à grande échelle entre les postes couverts par la protection de l’EDR et des serveurs dans le Cloud peut poser problème aux RSSI de certains secteurs qui privilégieront les offres dont un mode on-premise existe encore.
Microsoft peut-il changer la donne ?
Parmi les solutions qui sont les plus intimement liées au Cloud, Windows Defender ATP, l’offre Microsoft qui s’appuie sur l’agent Defender présent sur tous les postes Windows, mais aussi Microsoft Azure. Windows Defender ATP peut fonctionner à côté d’un antivirus classique et il est installé en standard sur tous les Windows 10. « Depuis la version Creators Update de Windows 10, Windows Defender antivirus pouvait exécuter en local des modèles d’IA légers, mais pour des modèles de Machine Learning sophistiqués, nous privilégions des moyens d’exécution dans le Cloud » explique Bernard Ourghanlian, directeur Technique et Sécurité de Microsoft France. « Chaque entreprise dispose sur Azure d’un tenant qui lui est propre où sont exécutés les modèles d’IA sur les données de ses postes, mais aussi de la Threat Intelligence. Enfin, dans le Cloud existe la possibilité d’avoir une chambre de détonation pour instancier à la volée une VM dans laquelle on va exécuter les fichiers suspicieux. » Le directeur technique ajoute que Microsoft a récemment passé un accord avec FireEye et que l’entreprise peut injecter sa propre Threat Intelligence sur la plateforme Microsoft via ses API.
Microsoft va-t-il balayer le marché des EDR comme le craignent certains et devenir un sérieux acteur dans la sécurisation EPP ? Certains experts le craignent, d’autres jugent l’offre techniquement pas encore au niveau des solutions des pure players tout en étant plus coûteuse. Force est de constater que l’onde de choc Wannacry a laissé des traces sur le marché, et tous les éditeurs ont revu leur approche de la sécurité Endpoint. Microsoft en est l’exemple le plus parlant.
Partage d’expérience
Geoffroy Gouzien,
administrateur Systèmes & Réseaux de l’école ISC Paris
« Nous avons choisi BitDefender, pour son extrême facilité de déploiement »
« Nous utilisions une solution antivirale qui ne nous donnait plus satisfaction, trop complexe à mettre en œuvre sur notre parc. Suite à une étude, puis la mise en place d’un POC, nous avons pu valider la supériorité de la solution Bitdefender en termes de simplicité de mise en œuvre, ce qui nous a poussés à déployer la solution sur l’ensemble de nos postes. Nous voulions absolument être capables de gérer l’ensemble des postes d’un même point, avec un système de remontée d’alertes dès qu’une anomalie est détectée sur un poste.
Des réseaux Wifi eux-mêmes sécurisés
Notre parc compte environ 300 postes, avec essentiellement des postes virtualisés pour les étudiants comme pour les personnels administratifs. Le déploiement, mené en interne, s’est échelonné sur plusieurs jours, mais l’installation du client BitDefender est très simplifiée du fait qu’un seul master VMware View couvrait 90 % du parc informatique de l’école. Nos réseaux Wifi sont eux-mêmes sécurisés via BrightCloud, ce qui, combiné à la virtualisation et à BitDefender, nous évite d’avoir des problèmes sur les postes confiés aux étudiants. »
