Face au risque causé par les ransomware, beaucoup d’entreprises se sont équipées en solutions EDR (Endpoint Detection & Response) mais de nouvelles approches apparaissent afin de renforcer encore leurs capacités de détection.
La menace des ransomware a poussé de nombreuses entreprises à compléter leur arsenal de protection avec une brique EDR. Gartner estimait à + 45,3% le taux de croissance de ces solutions sur la période 2015/2020, soit un marché de l’ordre de 1,5 milliard de dollars. Le cabinet américain estime que 50% des entreprises seront équipées d’ici 2025.
L’essor irrésistible des plateformes EDR/XDR
Cet envol du marché EDR a profité à CrowdStrike, un pure player de l’EDR, mais aussi à tous les gros éditeurs présents sur le marché de la protection endpoint, à commencer par Microsoft, classé au coude à coude avec CrowdStrike au Magic Quadrant des EDR, avec Microsoft Defender for Endpoint (MDE). Trend Micro, SentinelOne, McAfee, Sophos et de nombreux autres se partagent ce marché.
Pour Lionel Doumeng, expert cybersécurité chez F-Secure, la protection anti-ransomware ne se limite pas seulement à la détection : « Protéger contre un ransomware en partant du principe que le module de détection va tout intercepter est un mythe ; une sécurité a 100% n’existe pas, les attaquants peuvent parvenir à contourner les systèmes de sécurité. Chez F-Secure nous faisons en sorte d’offrir des outils de prévention, qui limiteront au maximum les opportunités de l’attaquant. » L’éditeur met notamment en avant le rôle joué par le patch management pour éviter l’exploitation des failles, de même que le firewall d’hôte va jouer un rôle-clé pour éviter les déplacements latéraux de l’attaquant. F-Secure propose aussi un module de protection avancé des fichiers utilisateurs et encore le contrôle des applications pour prévenir des comportements à risque. C’est donc un véritable arsenal qui vient compléter les modules de détections.
L’innovation pour contre-attaquer
Face à toutes ces briques de sécurité qui s’accumulent dans les tâches d’administration des RSSI, certains éditeurs proposent des choix innovants. C’est le cas de Quarkslab dont Eric Houdet, directeur commercial, explique l’originalité : « Un éditeur d’antivirus classique dispose de bases de données dans lesquelles sont répertoriés les virus. Si l’on prend séparément chacune des bases de données, celles-ci ne contiennent pas toutes les mêmes virus. En les combinant toutes, on augmente significativement le niveau de détection et c’est ce que fait notre solution Quarks Flow. » La solution cherche à offrir aux entreprises l’avantage d’une multiplicité des sources et une centralisation en un point de toutes les détections, permettant ainsi une vue combinée et synthétique.
L’approche défendue par son rival Sekioa.io est de privilégier le renseignement sur les menaces, ce que l’on appelle la Cyber Threat Intelligence. Nicolas Caproni, responsable de l’équipe Threat & Detection Research (TDR) de Sekoia.io, argumente en faveur de cette approche : « Chaque semaine nous collectons via nos investigations près de 30 000 indicateurs de compromission qui vont permettre de détecter autant les phases initiales. Nous pouvons détecter, par exemple, la connexion à un site malveillant suite à un e-mail de phishing, mais aussi les communications effectuées par des malwares déjà bien installés dans les réseaux de leurs victimes ». Le Français est en train de nouer des partenariats avec des éditeurs d’EDR afin d’améliorer leurs capacités de détection et plusieurs annonces devraient être réalisées par Sekoia.io lors du FIC 2021.
Autre éditeur, autre approche. Vade vient de faire breveter aux Etats-Unis une technologie basée sur une détection basée sur plusieurs méthodes de transformation, dont une rétro traduction en plusieurs étapes et le remplacement d’entités qui lui permettent d’entraîner ses modèles de Machine Learning et repérer les messages de spear phishing et les attaques de type Business Email Compromise / BEC, c’est-à-dire l’usurpation d’identité via les emails d’entreprise. Cette approche est déjà en place dans l’offre Vade for M365, dédiée à la sécurisation de Microsoft 365. La solution vient se placer en gardien de la protection endpoint comme le précise Adrien Gendre, directeur associé, Architecte Solutions chez Vade : « Par définition il est primordial de protéger le flux email qui reste le flux principal des menaces (91% des attaques démarrent par un email, cf Gartner) et les EPP et EDR viendront eux compléter ce dispositif pour tout fichier présent sur les partages de l’entreprise, les clés USB etc. »
Machine Learning et Deep Learning
L’IA est aujourd’hui mise en œuvre par tous les éditeurs d’EDR, mais certains éditeurs tiers tentent de renouveler l’approche. Ainsi, Deep Instinct utilise le Deep Learning de bout en bout pour prévenir les menaces, ce qui en fait la solution de cybersécurité la plus efficace et la plus performante du marché. Deep Instinct bloque les menaces inconnues en moins de 20 millisecondes, tout en réduisant de 99 % le taux de faux positifs, soit le meilleur résultat du secteur.
Tous les types de malwares, connus ou nouveaux jamais rencontrés auparavant, d’attaques Zero Day, de ransomware et de menaces persistantes avancées (APT) sont anticipés et évités en temps réel, avec une précision et une rapidité inégalées via une protection multi niveau couvrant l’ensemble de l’entreprise, qu’il s’agisse du réseau, des terminaux ou des appareils mobiles.
Autre approche de l’IA innovante, celle de Glimps, startup issue par la Cyber Defense Factory de la DGA. Toute l’approche imaginée par les 4 fondateurs s’appuie sur la notion de “Concept-Code”, un moyen de conceptualiser l’intention du développeur à partir du binaire. « L’IA nous donne les moyens de reproduire le fonctionnement du serveur et passer du code exécutable au concept lui-même » explique Frédéric Grelot, directeur Recherche & Communication de Glimps. « L’intérêt majeur de notre approche est que celle-ci n’est pas liée au langage utilisé par le développeur. Elle peut localiser un malware quel que soit son langage de développement mais aussi quelle que soit la plateforme, qu’il s’agisse de x86, ARM, MIPS ou PowerPC… Il est ainsi possible de l’exploiter sur une plateforme de messagerie pour repérer les malwares dans les fichiers attachés, mais aussi analyser le code embarqué sur des automates industriels ou le firmware d’un objet connecté. »
Si, par les moyens déployés et l’industrialisation de la production des malware, les attaquants réussissent encore à prendre les éditeurs de vitesse, l’innovation est en marche et de nombreuses startups essayent aujourd’hui de nouvelles approches pour rétablir l’équilibre des forces.
