Les antivirus traditionnels et les solutions « Next-Gen », qui s’appuient sur de l’humain pour bloquer les malwares ne sont plus suffisants, selon Blandine Delaporte, Sales Engineer Director – Southern EMEA chez SentinelOne, une plateforme autonome de cybersécurité basée sur l’IA. Voici, selon elle, les points critiques à rpendre en compte.
Qu’il s’agisse d’un PC, d’un laptop, d’une tablette, d’un smartphone, d’une montre connectée, d’une imprimante ou d’un serveur, les endpoints sont au cœur de l’entreprise, et protéger chacun d’eux est le seul moyen de gagner la bataille de la cybersécurité. Certaines solutions de cybersécurité, qui ont su tirer les leçons de ces 20 dernières années, s’avèrent efficaces contre les menaces les plus sophistiquées. Toutefois, quelques entreprises tentent encore de se défendre contre les menaces modernes soit avec des antivirus traditionnels dépassés, que les cybercriminels ont appris à contourner, soit avec des solutions « Next-Gen », qui s’appuient sur de l’humain pour bloquer les malwares à la vitesse de la machine. La brèche de SolarWinds a prouvé que les entreprises qui ont opté pour ces approches n’ont pas eu une défense efficace. Mais comment distinguer les bonnes solutions des mauvaises ?
Voici cinq caractéristiques essentielles que devrait inclure toute solution de sécurité moderne et innovante :
1 Une approche proactive des nouvelles menaces
La plus grande faiblesse des solutions de sécurité traditionnelles était de loin leur dépendance à une base de signatures dans laquelle tous les malwares identifiés étaient catalogués. Le processus de création d’une signature commence par la détection d’une menace active (ce qui implique que les entreprises soient compromises par cette menace) avant qu’aucune protection ne soit mise en place. S’en suit une course contre la montre pour créer la signature, et l’envoyer, sous forme de mise à jour, à tous les terminaux. Face à une nouvelle menace, ce type de solution est complètement dépassée.
Ces cinq dernières années, marquées par une multitude d’attaques de type ransomwares, nous ont appris que cette approche développée dans les années 1990 et 2000 ne pouvait assurer la sécurité des entreprises d’aujourd’hui. C’est pourquoi certains fournisseurs se sont tournés vers les modèles de machine learning (ML) et d’IA comportementale pour leur permettre d’identifier les modèles et les similitudes communs aux fichiers et comportements malveillants, quelle que soit leur origine.
Les modèles d’apprentissage automatique peuvent bloquer efficacement la majorité des malwares standard observés aujourd’hui (la plupart réutilisant le code provenant d’échantillons antérieurs). Bien que cette approche ne permette pas à elle seule de détecter tous les malwares avant leur exécution, elle constitue un excellent moyen de protéger les endpoints contre les attaques courantes, sans avoir à mettre fréquemment à jour les signatures de sécurité.
L’IA comportementale complète le ML en identifiant des modèles de comportement typiques des cyberattaques. Par exemple, presque tous les ransomwares présenteront, à un moment donné, une combinaison des comportements suivants : détecter et essayer de supprimer les sauvegardes et les shadow copy ; chiffrer un grand nombre de fichiers ; inviter l’utilisateur à lire un message (par exemple une demande de rançon) ; communiquer avec un serveur distant. L’IA cherche à reconnaître ce type de modèles comportementaux, même si l’activité semble provenir de l’intérieur du réseau ou d’une source externe aux fichiers.
La 1ère caractéristique à rechercher dans une solution de sécurité fiable est sa capacité à détecter proactivement l’inconnu via le ML et l’IA comportementale. Cependant, il faut éviter les solutions qui s’appuient sur la connectivité du Cloud car les cybercriminels peuvent facilement déconnecter un appareil tout en déployant leur attaque. Il est préférable d’opter pour une solution incluant des moteurs d’IA comportementale et de ML qui travaillent localement sur le endpoint et est capable de prendre des décisions à la vitesse de la machine.
2 Atténuation automatique sans intervention humaine
La détection n’est que la moitié de la réponse. Une solution qui peut détecter mais qui dépend de l’intervention humaine pour protéger n’est pas d’une grande utilité. Mais une solution capable d’atténuer et de corriger automatiquement les activités malveillantes sur l’appareil – afin que l’utilisateur puisse continuer à travailler et ne pas perdre son temps avec le service informatique pour régler le problème – est essentielle.
De nombreuses solutions de sécurité se heurtent à cet aspect, y compris certains des leaders du marché. Ils proposent des outils d’accès à distance intégrés à la solution de sécurité des endpoints, ce qui permet d’alléger la charge du service informatique, mais cela nécessite toujours une action manuelle et son corollaire de retards et de perturbations. Et si une solution de sécurité pouvait détecter les incidents et les traiter sans la moindre intervention humaine ? Les ordinateurs ont été conçus pour automatiser les aspects fastidieux de notre vie, et l’atténuation autonome des menaces détectées ne devrait pas dépasser le cadre d’un produit dit de “nouvelle génération”.
Il est important de demander à ses fournisseurs de systèmes de sécurité des endpoints les mesures d’atténuation automatisées disponibles, et ce qui se passerait en cas de détection manquée. Un excellent système de sécurité des endpoints doit pouvoir mettre en quarantaine une fausse détection aussi facilement qu’une détection réelle.
3 Flexibilité multi-site et multi-administrateur
La gestion de grandes flottes de terminaux et de sources de données n’est pas une tâche facile. Ajouter à cela des sites géographiques éloignés, des fuseaux horaires différents et, dans le cas d’équipes internationales, parfois même des barrières linguistiques, et tout devient très complexe.
Pour gérer, répondre et collecter les données des sites internationaux, il faut une solution qui prenne en charge la multi-localisation et les multi-site, permettant aux équipes locales d’être alignées sur la politique globale mais aussi d’avoir un périmètre d’action pour répondre aux besoins locaux sans compromettre les besoins des autres membres de l’entreprise.
La multi-localisation n’est pas seulement un besoin pour les équipes qui travaillent dans un contexte international, cette flexibilité est plus que jamais nécessaire même pour les équipes plus petites et à croissance rapide.
4 Combler les lacunes grâce au déploiement automatique
L’une des voies les plus faciles vers la compromission consiste à utiliser des dispositifs dépourvus d’une protection appropriée des endpoints. Il est malheureusement courant que les administrateurs informatiques et sécurité n’aient pas de vision exhaustive de ce qui est connecté à leurs réseaux. De nombreuses compromissions se sont produites simplement parce qu’un attaquant avait trouvé quelque part un serveur oublié et non protégé.
Dans le cas d’une multinationale couvrant plusieurs sites et plusieurs sous-réseaux, la seule solution consiste à cartographier le réseau de manière à pouvoir déterminer non seulement ce qui est connecté, mais aussi ce qui n’est pas protégé. Il faut ensuite une solution de sécurité capable de déployer des agents pour combler les lacunes de la couverture. Les équipes de sécurité sont souvent trop sollicitées et ont besoin d’une automatisation pertinente pour les aider à faire leur travail plus efficacement.
Par conséquent, il est important de s’assurer qu’une solution de sécurité des endpoints permet de trouver rapidement et de manière fiable et automatisée les lacunes dans le déploiement et d’installer la solution.
5 Visibilité
Même lorsque tous les besoins précédents sont satisfaits, il reste encore beaucoup à découvrir sur ce qui se passe sur un endpoint. Le problème de la visibilité n’est pas nouveau, mais avec le passage à un mode de vie plus numérique, la quantité de données générées nécessite des moyens plus efficaces pour indexer, corréler et identifier les activités malveillantes à l’échelle.
C’est pourquoi les meilleurs systèmes de sécurité des endpoints vont désormais au-delà de l’EDR et s’orientent désormais vers le XDR, afin d’aider les entreprises à relever les défis de la cybersécurité d’un point de vue unifié. Avec un point centralisant les données brutes comprenant des informations provenant de l’ensemble de l’écosystème, cette technologie permet une détection et une réponse aux menaces plus rapide, plus poussée et plus efficace, en collectant et en rassemblant des données provenant d’un plus grand nombre de sources différentes.
Lorsque l’on évalue les fournisseurs qui proposent du XDR, il faut faire attention à certains critères. Une plateforme XDR efficace doit fonctionner de manière transparente dans l’infrastructure de sécurité, en utilisant des outils natifs avec des API riches. Elle doit offrir une corrélation, une prévention et une remédiation prêtes à l’emploi et permettre aux utilisateurs de rédiger leurs propres règles personnalisées pour la détection et la réponse. Il faut se méfier des fournisseurs qui proposent des solutions immatures, qui peuvent n’être rien de plus qu’une combinaison de vieux outils. Le XDR doit offrir une plateforme unique qui permet d’avoir facilement et rapidement une vue globale sur l’ensemble du réseau de l’entreprise.