La crise du Coronavirus a vu les pirates informatiques rivaliser de réactivité afin de piéger les collaborateurs en télétravail. Les antivirus ont clairement montré leurs limites, ce qui pousse de plus en plus d’entreprises à muscler la protection de leur parc de terminaux.
Les chiffres d’attaques collectés par McAfee sont tout simplement effarants : les attaques contre les services Cloud se sont accrues de 630 %, les tentatives d’intrusion frauduleuse ont augmenté de 472 % dans le secteur de l’énergie, de 571 % dans le secteur financier et de 1 350 % dans les transports et logistique.
En parallèle, les campagnes de phishing ont explosé. Trend Micro a décompté 897 711 campagnes de spam contenant les mots-clés “Covid”, “Covid-19”, “CoronaVirus” et “ncov” en mars 2020. Le nombre de malwares a explosé, passant de 67 à 534 dans le même temps. Les pirates ont vu une magnifique opportunité d’attaquer des utilisateurs qui ne maîtrisaient pas les fonctions de sécurité de leurs outils Cloud explique Renaud Bidou, directeur Technique Europe du Sud chez Trend Micro : « Les outils de visioconférence Cloud ont été très largement utilisés. Beaucoup a déjà été écrit sur le manque de sécurité de ces services, mais bien souvent les utilisateurs n’ont pas mis en place les éléments de sécurité qui étaient à leur disposition. »
Le coronavirus signe la mort de l’antivirus à signatures
Les EDR (pour Endpoint Detection & Response) se sont imposés comme une nouvelle étape clé dans la protection des parcs de terminaux et de serveurs. C’est notamment l’outil qui est déployé en cas d’attaque. « Notre EDR, c’est la capacité à pouvoir être déployé très rapidement, sur de larges parcs informatiques afin d’aider les équipes terrain à mener des investigations poussées et des tâches de forensic sur des grandes crises cyber » raconte David Grout, CTO EMEA de FireEye. « Il exploite les données issues de notre activité de Threat Intelligence pour être plus performant car, pour nous, l’EDR est une technologie qui nous permet de délivrer du service, ce qui est un différenciant majeur face à de simples vendeurs de logiciels. »
Pour Palo Alto Networks, l’outil doit aller au-delà des seuls “endpoints” comme l’explique Eric Antibi, Senior Manager et directeur technique de Palo Alto Networks : « La différence majeure entre l’approche XDR (X Detection & Response, ndlr) et EDR est d’avoir une vue globale, de ne pas se contenter de ne surveiller qu’une partie de la surface d’attaque, le volet Endpoint. Le problème majeur est d’être à même de disposer d’une vue plus globale sur le SI et d’aller chercher des informations des endpoints mais aussi des firewalls, équipements réseaux ou même dans le Cloud. » Alors que l’antivirus “Next-Gen” cherche avant tout à sécuriser un poste, l’EDR peut être comparé à un SIEM dédié à l’ensemble du parc des postes de travail et des serveurs de l’entreprise.
Si certaines entreprises ont préféré atteindre la fin de la crise sanitaire pour remettre à plat leur cybersécurité, d’autres ont précipité leurs déploiements afin de ne pas avoir à faire face à une attaque en pleine épidémie. Le renforcement des protections endpoint sera incontestablement l’un des effets directs de cette crise sans précédent.
AVIS D’EXPERT
Florian Lefebvre,
responsable Architecture et Intégration,
et Avant-Vente Technique chez Advens
L’EDR doit être une étape vers une offre de SOC managée
« Les antivirus classiques et parfois Next-Gen peuvent passer à côté d’attaques sophistiquées, or en permettant une corrélation d’événements multiples, l’EDR offre bien plus d’informations à analyser. Néanmoins, la performance reste liée au niveau de compétence de l’analyste lui-même. L’offre de service proposée par les éditeurs est restreinte car, par nature, elle se limite à leur outil d’EDR. Leur offre se limite bien souvent à la seule détection de menaces. Pour nous, l’EDR doit être une étape vers une offre de SOC managée. L’EDR ou le XDR sont de formidables outils pour alimenter les plateformes SOC qui, elles, vont pouvoir recouper des menaces détectées au niveau des terminaux avec des données captées par les firewalls, des sondes IDS/IPS, ou même d’indicateurs issus du Cloud. Centraliser tous les indicateurs de sécurité au niveau d’un SOC permet une corrélation complète de bout en bout, là où l’EDR se limite à la protection des postes de travail.»