La sécurité multicouche est le modèle le plus efficace pour protéger les réseaux et les utilisateurs des menaces actuelles et futures. Elle met en avant deux types de solutions pour la sécurité des points de terminaison : les anti-virus (AV) et les outils EDR (Endpoint Detection and Response). Les deux offrent de nombreux avantages, il est donc difficile de choisir la solution la plus adaptée. Comment faire un choix ? Les outils EDR vont-ils remplacer les antivirus traditionnels ? Pour en savoir plus, nous vous invitons à poursuivre la lecture de cet article de blog.
Ne pas combiner les 2 solutions
Un antivirus et un outil EDR se disputent l’utilisation des ressources, ce qui peut entraîner des problèmes si les deux sont exécutés en même temps. Pour cette raison, nous recommandons de ne pas utiliser à la fois un antivirus et un outil EDR sur un point de terminaison. Il est préférable de choisir l’un ou l’autre pour chaque terminal.
Lors de ce choix, il est important de prendre en compte plusieurs facteurs, tels que le type d’entreprise à protéger, les utilisateurs concernés et le coût. Certains clients peuvent avoir besoin de l’un ou de l’autre pour l’ensemble de leur base d’utilisateurs. D’autres peuvent stratégiquement déployer un outil EDR pour certains utilisateurs et utiliser un antivirus pour les autres.
Antivirus : une protection solide à un prix abordable
Un antivirus protège vos clients contre les logiciels malveillants et sont une protection courante depuis de nombreuses années. La plupart des utilisateurs connaissent leur rôle, ce qui facilite leur vente. Les bases de signatures (ou définitions de virus) doivent néanmoins être mises à jour régulièrement.
C’est là qu’est le problème. La qualité de protection offerte par le programme dépend essentiellement de la réactivité du fournisseur. De nouvelles menaces apparaissent quotidiennement. Pour éviter qu’elles ne soient découvertes une fois les dommages causés, il est essentiel de disposer des mises à jour en temps opportun.
Le champ d’action des antivirus est par ailleurs limité aux virus et aux logiciels malveillants. Les terminaux sont néanmoins exposés à des menaces qui vont au-delà des virus. C’est le cas des attaques sans fichiers, de plus en plus fréquentes et indétectables par les antivirus. Les cybercriminels ont également recours à des techniques d’évasion pour contourner les antivirus. Par exemple, ils utilisent des « packers » (logiciel permettant d’empaqueter le fichier exécutable et de le compresser pour réduire sa taille pour chiffrer les logiciels malveillants), ou ils développent des logiciels malveillants capables de modifier leur signature à une cadence définie afin de ne pas être détectés par les bases de signatures existantes. En fin de compte, les cybercriminels s’efforcent de dépasser depuis des années les antivirus. Cela ne veut en aucun cas dire que les antivirus sont impuissants (de nombreux fournisseurs offrent toujours une excellente couverture englobant de nombreuses menaces), mais des lacunes sont à prendre en compte.
Malgré les problèmes évoqués, pourquoi choisir de déployer un antivirus managé ? Tout d’abord, les antivirus fournissent une protection contre les cybermenaces. Ils restent donc utiles pour les utilisateurs finaux. De plus, le fait que vous gériez la protection antivirus de vos clients leur évite d’avoir à s’en soucier eux-mêmes.
La principale raison de choisir un antivirus managé reste probablement le coût. Le prix par utilisateur d’un antivirus managé est inférieur à celui d’un outil EDR. Les clients soucieux de leurs dépenses sélectionneront donc l’antivirus. Notez cependant que vos marges sur la vente d’antivirus peuvent diminuer. Par ailleurs, comme nous le verrons dans la section suivante, l’investissement initial dans une solution EDR peut valoir la peine par rapport aux coûts d’une attaque ou d’une violation de données.
Avantages d’un anti-virus managé
- Une seule source de gestion : le MSP est l’interlocuteur unique du client pour le déploiement, la gestion, la mise à jour des définitions et les rapports sur les menaces. Il développe avec son client une relation de confiance, ce qui peut lui permettre de générer des revenus supplémentaires dans d’autres domaines.
- Sécurité « verrouillée » : des stratégies empêchent toute intervention de l’utilisateur final. Impossible de forcer l’installation d’une mise à jour ou de désinstaller le programme sans disposer des droits d’accès appropriés. Cela évite les menaces internes (utilisateurs qui tentent d’installer des logiciels malveillants), les suppressions accidentelles ou les manipulations inappropriées du logiciel antivirus.
- Supervision facile : vous programmez les analyses, mettez à jour le logiciel et déployez les mises à jour des définitions. Là encore, aucune intervention des clients/utilisateurs finaux n’est nécessaire.
EDR : la sécurité des points de terminaison élevée au rang supérieur
L’EDR est une fonctionnalité multidimensionnelle qui porte les capacités de l’antivirus à un niveau supérieur pour une plus grande sécurité et (surtout) une plus grande tranquillité d’esprit. Comme pour l’antivirus, les MSP gèrent l’EDR sans nécessiter aucune intervention de l’utilisateur final. Face aux nouvelles menaces qui apparaissent quotidiennement, la gestion d’un grand nombre de terminaux peut être plus difficile avec un antivirus ou d’autres solutions ponctuelles. C’est là que l’EDR prend tout son sens.
Une solution EDR se concentre sur la protection des terminaux et détecte des menaces qui vont au-delà des logiciels malveillants. Au lieu d’analyser uniquement les fichiers, l’EDR fait appel à un logiciel de supervision, des agents sur les terminaux, un apprentissage automatique intégré et une intelligence artificielle avancée (IA) pour identifier les comportements suspects et les traiter avant qu’ils ne soient reconnus comme dangereux.
Même si un antivirus excelle dans la détection des logiciels malveillants, les cybercriminels peuvent attaquer les points de terminaison sans utiliser de fichiers. Par exemple, si un pirate informatique trouve un port RDP ouvert, il peut utiliser cette vulnérabilité pour créer un utilisateur avec des droits d’administration sur une machine, rester caché et apporter des modifications sur le point de terminaison sans que le MSP ou l’administrateur informatique ne s’en aperçoivent (jusqu’à ce qu’il soit trop tard).
Un antivirus traditionnel n’est pas conçu pour bloquer ce type d’attaque. Imaginons que plusieurs fichiers soient modifiés en même temps sur un point de terminaison (ce qui n’est pas habituel). Les solutions EDR peuvent signaler ce comportement, alerter l’administrateur et lui permettre d’agir. Au-delà de cela, une solution EDR contribue à lutter contre les menaces émergentes, qui n’ont pas encore été découvertes par la communauté de la sécurité informatique au sens large. Un logiciel antivirus basé sur des signatures laisse un vide dans ce domaine, contrairement à l’approche sans signatures d’une solution EDR.
Gérer les dommages causés par une menace ne suffit pas. Vous devez vous demander comment et pourquoi le point de terminaison a été touché. Une solution EDR fournit un véritable contexte via un « scénario visuel ». Vous pouvez voir quel processus a engendré l’attaque, mais aussi comment il s’est reproduit et propagé.
Le scénario se déroule en temps réel lorsqu’une attaque se produit, mais EDR vous offre toutes les défenses nécessaires. Ses options incluent l’élimination, la mise en quarantaine et la correction (restauration) en fonction de la configuration appliquée sur l’agent pour chaque utilisateur final. Considérez l’agent EDR comme votre analyste SOC (Security Operations Center) personnel. Vous pouvez littéralement réparer les dommages causés, et rendre les ransomwares inutilisables.
Avantages d’un outil EDR
- Une détection proactive : alors que les solutions antivirus nécessitent des mises à jour de signatures et des analyses planifiées, les solutions EDR utilisent l’intelligence artificielle (IA) et l’apprentissage automatique pour détecter les menaces potentielles, et évitent ainsi les lacunes en matière de protection.
- Une protection plus large : en plus de détecter les virus et les logiciels malveillants, une solution EDR offre une protection contre le trafic suspect et les attaques sans fichiers.
- Une analyse approfondie des causes : Le scénario visuel pour tous les comportements suspects vous donne un meilleur aperçu de l’attaque et vous permet d’adapter les processus et les contrôles de sécurité afin d’éviter que le problème ne se reproduise.
- Une correction rapide : vous pouvez corriger les menaces en un instant. Par exemple, s’il s’agit d’un ransomware, vous pouvez restaurer un point de terminaison à son dernier état fonctionnel directement à partir de la solution EDR.
Pour aller plus loin…
Pour vous accompagner au mieux, nous vous proposons de télécharger gratuitement un tableau comparatif entre un antivirus classique et un outil de détection et de correction des menaces sur les terminaux (EDR).
N-able RMM et la fonctionnalité EDR intégrée
N-able RMM propose un antivirus managé et la fonctionnalité N-able EDR à partir du même tableau de bord Web. N-able EDR utilise l’intelligence artificielle et l’apprentissage automatique pour détecter les menaces, et corrige ces menaces en fonction des stratégies définies. Cet outil permet également de restaurer un point de terminaison à son dernier état fonctionnel connu après une attaque, ce qui permet à vos clients d’économiser beaucoup de temps et d’argent et d’éviter de nombreux problèmes en cas de ransomwares.
Vous pouvez tester gratuitement la solution N-able RMM, demander une démonstration gratuite N-able EDR ou découvrir N-able RMM dans le cadre d’un webinaire gratuit et sans engagement. Si vous avez des questions supplémentaires, vous pouvez nous contacter : 05 56 15 01 01 ou sur ventes@watsoft.com.
Source : e-book rédigé par N-able, EDR vs. AV : ce qu’il faut savoir
0 commentaires