EDR, nouvelle technologie de protection informatique… Ou comment enterrer l’antivirus

Publié le 12 mai 2022 par Axonegroup

La protection informatique est sans aucun doute un sujet devenu central depuis quelques années. Nous avons tous très vite compris l’intérêt d’un antivirus pour protéger notre PC des attaques de malwares, de chevaux de Troie, et autres virus dont nous avons appris les noms en même temps que nous apprenions à les contrer.

Sauf que…

Aujourd’hui les malwares sont tellement nombreux, et courants, que les antivirus classiques n’ont plus la capacité de se mettre à jour en quasi temps réel. Il faut faire appel à des technologies intelligentes qui sont capables d’aller aussi vite, voire plus vite, que les menaces incessantes qui pèsent sur nos ordinateurs.

Protection informatique : les technologies du futur sont déjà présentes

Quand on réalise que le hacking représente 1% du PIB mondial, on prend conscience qu’il faut investir pour ne pas faire partie de ces longue liste de victime rançonnées. Les hackeurs se perfectionnent aussi tandis que nous améliorons nos outils de protection. C’est une lutte sans fin, mais nous pouvons prendre un cran d’avance, grâce à l’EDR.

Endpoint Detection & Response vs antivirus traditionnels : David contre Goliath

L’EDR est une technologie de protection informatique qui se démocratise afin d’accentuer la protection de notre matériel informatique (PC, serveurs et téléphones). Elle prend le pas sur la technologie trop restreinte de l’antivirus. L’image la plus parlante me semble être celle de la passoire. Elle retient une partie mais laisse passer les éléments les plus fins. Les gros morceaux sont les malwares connus, usés jusqu’à la corde, et l’eau représente les nouveaux malwares, inconnus jusqu’à la veille mais qui prolifèrent plus vite qu’une fourmilière. Un chiffre à se faire dresser les cheveux sur la tête : de nos jours, aucun antivirus n’arrête pas plus de 35% des malwares…

Watchguard propose d’ores et déjà sa solution d’EDR, très élaborée, et reposant sur l’Intelligence Artificielle.

L’intelligence artificielle au service de la protection informatique

La technologie de l’EDR est dotée d’IA (Intelligence Artificielle) pour l’améliorer le taux de protection informatique. En quoi l’IA apporte-t-elle un plus non négligeable ? Car elle va analyser et remédier en temps réel. Le temps de latence entre la découverte du malware (ce que l’on appelle le Zero Day) et la solution pour le contrer va être réduite de manière drastique.

L’intelligence artificielle est auto-apprenante. Elle peut donc faire des corrélations d’événements pour une investigation poussée et ainsi appliquer de l’autoremediation.

Tout se passe en 3 étapes :

  1. La détection : elle repose sur la classification non figée des événements douteux qui sont ré analysés en permanence, en utilisant le machine learning (l’IA collecte, apprend et ré applique) et la corrélation d’événements
  2. L’investigation : Le suivi des attaques, mise en place d’indicateurs d’attaques (IOA) et analyse
  3. La remédiation : dès la détection, la solution est appliquée. Vous pouvez même bénéficier de préconisations par votre conseiller technologique.

MAIS…

Cette protection informatique est encore insuffisante. Même en combinant EDR et antivirus, vous n’êtes pas à 100%.

Protéger son PC et son smartphone : un besoin grandissant

Du coup, si tout cela n’est pas suffisant, que peut-on faire de plus ?

EDPR : pour aller encore plus loin

C’est également une technologie proposée par Watchguard. Comment fonctionne-t-elle ? C’est un laboratoire d’analyse des codes pour étudier le comportement des codes (de tous les codes !) pour les catégoriser. Et les classer en légitime ou pas : cela veut dire que rien de ce qui se passe dans votre entreprise ne leur échappe. Tout est classé. En temps réel. En whitelist (pour les goodwares) et blacklist (pour les malwares).

L’EDPR applique la solution Zero trust : blocage instantané si elle ne comprend pas le code. Pour ensuite une analyse manuelle par l’humain. Plus rien n’est laissé au hasard. Et la dimension humaine peut empêcher le côté arbitraire et binaire.

Notre smartphone, notre vie…

Les outils de sécurité ne protègent pas nos smartphones, alors qu’ils embarquent 50% de notre communication professionnelle (réception de mail, messagerie instantanée…).

Que se passe-t-il si nous nous faisons voler ou que nous perdons notre téléphone ? La protection est-elle suffisante ? Comment le retrouver une fois disparu ? Ce sont toutes ces questions auxquelles répondent l’EDPR. Il protège aussi les téléphones, comme un « endpoint » classique.

Cela veut dire quoi concrètement ?

  • Vol ou perte : localisation du téléphone, verrouillage à distance si besoin
  • GDPR : effacement des données si vous n’avez aucun moyen de le récupérer, si la perte est irrémédiable
  • Perte : prise de photo pour repérer où il est (s’il est derrière un coussin du canapé cela ne vous aidera pas trop !)
  • Protection: sans oublier les basiques : anti malware, mises à jour et tout ce qu’on a a minima sur nos PCs.

La technologie évolue pour nous permettre de nous protéger. A nous d’accueillir ces nouveaux outils dans notre entreprise. Le prix peut paraître élevé, mais ce n’est rien en comparaison aux dommages causés par un ransomware.