Près d’une décennie après la mort annoncée de l’antivirus traditionnel, ce dernier garde une belle cote de popularité auprès du grand public. Utilisé couramment dans le champ lexical du monde informatique, l’antivirus a cependant perdu ses lettres de noblesse. Explications.
Laissant tour à tour sa place aux termes d’antivirus de nouvelle génération (NGAV) mais aussi d’EPP (Endpoint Protection Platform) ou encore d’EDR (Endpoint Detection and Response), l’utilisation des antivirus traditionnels semble aujourd’hui obsolète. Quelles sont les différences entre toutes ces technologies de détection? Avons-nous encore besoin d’un antivirus aujourd’hui? Réponses à ces questions dans ce papier.
Les antivirus sont-ils une protection encore fiable?
Conçu pour être installé sur des terminaux individuels comme un ordinateur, une tablette ou encore un téléphone, l’antivirus est un programme informatique qui vise à détecter et à supprimer tous logiciels malveillants. Développé pour la première fois par la société IBM en 1987 en réponse au virus informatique “Brain”, le terme d’antivirus sera popularisé au fil des années à grand renfort de publicité, devenant dans l’imaginaire collectif le seul rempart aux virus informatiques.
Le principe de ces logiciels antivirus repose sur la recherche de signatures. «À l’image d’un vaccin, l’antivirus dispose d’une base de signatures qui va lui permettre de reconnaître le virus informatique. Il est donc indispensable que la signature de ce virus spécifique ait été générée au préalable», rappelle Stéphane Prévost, Product Marketing Manager chez Stormshield. Un fonctionnement qui induit différentes problématiques et limites. La première d’entre elle est qu’il est nécessaire de connaître le virus avant d’en identifier la signature (et de pouvoir le combattre). La seconde limite, et non des moindres, tient à l’avènement du polymorphisme, une technique de génération de fichiers malveillants dont la signature numérique est unique à chaque fichier mais dont la méthode d’infection et la charge utile restent communes. Une limite d’autant plus prégnante que 450000nouveaux logiciels malveillants sont créés chaque jour, soit près de 4 millions chaque mois, d’après l’Institut AV-TEST. Conséquence directe de cette explosion, il est techniquement impossible que les antivirus aient connaissance au préalable de toutes les signatures… Pire encore pour les logiciels antivirus, les modes opératoires des cyber-criminels n’ont cessé d’évoluer ces dernières années jusqu’à se nicher dans des angles morts dans les algorithmes de détection à l’image des cyberattaques sans fichier (fileless malwares). Le résultat? Le mécanisme de détection basé sur la recherche d’empreinte numérique dans un fichier laisse passer une large majorité de malwares et doit impérativement être complété par d’autres techniques de protection.
L’évolution et la sophistication des cyberattaques va même jusqu’à transformer les antivirus en cible. Lors de la conférence « Black Hat Europe » de décembre 2022, un chercheur en sécurité a par exemple révélé une vulnérabilité inédite qui touche plusieurs antivirus. Une faille qui permet de prendre la main sur les antivirus et de les faire… effacer des fichiers légitimes. Que faire alors lorsque notre principal outil de protection ne remplit plus son rôle?
L’avènement de la détection comportementale dans la protection des postes de travail
Pour répondre à cette nouvelle situation, les éditeurs de cybersécurité ont dû revoir leur copie, passant de la recherche d’empreintes à celle de l’analyse heuristique basée sur le comportement de l’utilisateur. Appelés Next-Gen Antivirus ou NGAV, ces antivirus d’un nouveau genre développeront le socle de ce qui deviendra le concept de EPP (Endpoint Protection Platform). Les solutions d'Endpoint Protection Platform (EPP) seront une première réponse au polymorphisme et aux attaques sans fichier en intégrant de nouvelles fonctionnalités comme la surveillance de la mémoire, l’analyse comportementale ou la vérification d’indicateurs de compromission (IoCs). Malgré cette avancée technologique, des cyberattaques sournoises continuaient de passer entre les mailles du filet. Il est alors devenu impératif les détecter même une fois passées et d'y répondre.
C’est sur ce constat que les solutions de Endpoint Threat Detection & Response (ETDR) font leur apparition en 2013 dans les analyses du cabinet Gartner, autour des thématiques de réponses à incidents et d’investigation. Dès 2015, l’acronyme ETDR sera remplacé par celui d’EDR pour Endpoint Detection & Response. La particularité de cette nouvelle approche réside dans la capacité à détecter des menaces inconnues et à y répondre en temps réel de manière semi-autonome, comme le souligne Noël Chazotte, Product Manager Stormshield: «S’il détecte une menace, l’antivirus va bloquer le programme en amont, parfois le mettre en quarantaine. De son côté, l’EDR entre en action lorsque l’incident de sécurité est détecté ou qu’il s’est déjà produit sur la machine et essaye de déterminer ce qui s’est passé au niveau du poste pour aider les équipes opérationnelles à éviter que l’infection ne se répande.»
Comment la technologie EDR détecte-t-elle les attaques sophistiquées? «L’EDR repère les comportements anormaux grâce à des indices de compromission (IoC), précise Stéphane Prévost. Il ne s’agit pas toujours d’événements exceptionnels, il peut s’agir d’actions banales comme le fait d’ouvrir une connexion sur un serveur externe.» D’où l’importance de définir précisément le cadre de fonctionnement de la solution lors de la phase d’apprentissage pour prévenir de fausses alertes (les faux positifs). Mais les solutions d’EDR et d’EPP restent complémentaires comme le souligne Stéphane Prévost: «Le parallèle peut être fait avec la sécurité physique d’une entreprise. La solution d’EDR représente les caméras de surveillance: elles vous permettent de voir si un intrus pénètre sur votre site industriel par exemple. Mais pour le bloquer dès l’entrée, il vous faut un vigile sur place: c’est l’EPP.»
Et l’antivirus dans tout ça? En 2023, selon le site security.org, trois américains sur quatre estiment avoir besoin d’un antivirus pour pouvoir utiliser sereinement leur ordinateur personnel. Devant les avancées technologiques évoquées plus haut, la question se poseau niveau pro: pourquoi avons-nous encore besoin d'antivirus aujourd'hui? Et la réponse tombe: tout simplement parce qu’il apporte une première couche de sécurité. Même si cette solution ne sera pas efficace contre toutes les cyberattaques, elle présente malgré tout un premier niveau de protection contre les attaques les moins sophistiquées – avec la garantie d’éviter les problématiques de faux positifs et en consommant très peu de ressources sur le poste. Mais une première couche de sécurité en implique d’autres. «On constate l’installation de plusieurs solutions de protection sur une même machine, explique Noël Chazotte. Leur association ne fait toutefois pas toujours bon ménage car certaines peuvent engendrer des conflits, laissant une autre porte ouverte aux cyber-criminels.»
NDR, XDR, MDR: vers une spécialisation de la Detection & Response
Car malgré les promesses d’autonomie de telles solutions, la gestion de ces outils doit être encadrée par des experts, comme en témoigne le développement d’offres d’EDR managé ou de mini-SOC. En plus d’améliorer la détection, il est indispensable pour les outils de protection endpoint d’intégrer une capacité de détection et réponse à incident. Et avec la multiplication des points de collectes d’incidents, l’analyste SOC doit avoir accès à l’ensemble des équipements réseaux et infrastructures.
Ainsi, les solutions de NDR (Network Detection and Response) analysent les paquets TCP/IP qui transitent sur le réseau pour détecter toute activité suspecte. La plateforme XDR (eXtended Detection and Response) entend, quant à elle, rassembler l’ensemble des actifs informatiques internes et externes (réseau, annuaires, ressources cloud, firewalls, etc.) dans le but de fournir une vision d’ensemble des événements du système d’information. Pour Noël Chazotte, «une plateforme XDR est un ensemble de points de collectes et surtout une plateforme de corrélation pour aider, mitiger le risque, apporter des éléments de réponse ainsi que de remédiation.»
D’autres acronymes émergent depuis quelques années comme le MDR. Dans les faits, le Managed Detection and Response (MDR) correspond simplement à un mode de commercialisation d’un XDR dans lequel une équipe externe traite les alertes. Quel que soit l’outil et la technologie, il faut garder à l’esprit que la place de l’analyste reste centrale et qu’aucune technologie ne pourra sécuriser à elle seule un actif sensible.
Selon l’étude de l’organisation Survey Risk Alliance, seuls 12% des professionnels de la cybersécurité annoncent avoir adopté une solution XDR dans leur organisation en 2022. Les 77% restants annoncent planifier son adoption dans les 24 prochains mois. La demande d’experts sécurité spécialisés en détection et réponse à incident devrait donc continuer de croître dans les prochaines années. Car malgré les progrès technologiques, l’intervention humaine reste indispensable pour analyser, comprendre les incidents… Des profils très recherchés pour faire face à l’évolution constante des modes opératoires et dont les services seront sans doute plus facilement accessibles aux entreprises via des offres d’EDR managé ou de mini-SOC.
FAQs
What is EDR and XDR in cyber security? ›
Endpoint Detection and Response (EDR) and Extended Detection and Response (XDR) solutions are both designed to provide automated threat detection and response through data visibility and the use of threat intelligence and data analytics.
What is antivirus vs EDR vs XDR? ›EDR is centered on endpoint protection, offering detailed visibility and threat prevention for specific devices. XDR promotes a broader approach to security, integrating it across endpoints, cloud computing, email, and other platforms.
What is difference between antivirus and EDR? ›EDR vs Antivirus - What's The Difference? AV provides the ability to detect and respond to malware on an infected computer using a variety of different techniques. EDR incorporates AV and other endpoint security functionality providing more fully-featured protection against a wide range of potential threats.
Do you need antivirus if you have EDR? ›Typically it is recommended other antivirus tools be removed when an EDR solution is installed. Running both can cause slowness or other technical issues on systems and devices. To defend against complex and evolving threats, the choice is clear – Endpoint Detection and Response will give you more advanced security.
Does EDR detect malware? ›Endpoint Detection and Response (EDR), also referred to as endpoint detection and threat response (EDTR), is an endpoint security solution that continuously monitors end-user devices to detect and respond to cyber threats like ransomware and malware.
Is CrowdStrike an EDR or XDR? ›CrowdStrike Falcon® Insight XDR unifies detection and response across your security stack to take CrowdStrike's EDR technologies to the next level. Falcon and non-Falcon telemetry are integrated into one single command console for unified detection and response.
Is Microsoft Defender an EDR or XDR? ›Microsoft 365 Defender is an eXtended detection and response (XDR) solution that automatically collects, correlates, and analyzes signal, threat, and alert data from across your Microsoft 365 environment, including endpoint, email, applications, and identities.
What is the downside of EDR? ›The greatest drawback of EDR is that it is a reactive approach. Traditional EDR tools rely on behavioral analysis which means the threat has executed on the endpoint and it's a race against time to stop it before any damage is done.
Can EDR replace antivirus? ›Can EDR replace antivirus, or are both needed? You can use EDR solutions to track, monitor, and analyze data on endpoints to enhance the fortification of your environment. Generally, EDR tools do not replace traditional tools like antivirus and firewalls; they work beside them to provide enhanced security capabilities.
What is EDR vs XDR vs MDR vs SIEM? ›XDR provides a unified view of various tools and attack vectors. EDR's primary focus is endpoint security. MDR is a service that provides ongoing cybersecurity threat detection and response. SIEM is primarily used for threat detection, compliance, and incident management.
What does EDR mean in cyber security? ›
Endpoint Detection and Response (EDR) is an integrated, layered approach to endpoint protection that combines real-time continuous monitoring and endpoint data analytics with rule-based automated response. Free Trial Schedule a Demo.
What is EDR vs NDR vs XDR? ›EDR – Secures all endpoint devices. NDR – Focuses on the network and the traffic between devices. XDR – Combines endpoints devices, with traffic, cloud, and applications.
Which of the following best describes the difference between EDR and XDR? ›XDR (eXtended Detection Response) is the evolution, the eXtension of EDR. And this evolution takes place on several axes. While EDR detects at the endpoint level, XDR goes beyond that. It is able to collect and detect deviant and potentially malicious activity on devices such as servers, cloud, networks…