Depuis les années 2010, de nouvelles formes de malwares (logiciels malveillants), particulièrement sophistiqués, ont fait leur apparition, exposant les organisations à de nouveaux risques en matière de sécurité informatique. Dépassés par les ransomwares (ou rançongiciels) notamment, les antivirus tendent à laisser la place aux EDR (Endpoint Detection and Response), forts de capacités de détection et de réponse avancées.

 

Les antivirus, une première génération d’antimalwares

Les antivirus font partie de la classe des antimalwares. Ces logiciels de protection des terminaux (ordinateurs, tablettes, smartphones…) existent depuis que les logiciels malveillants ont fait leur apparition, avec pour fonctions la détection et la suppression des virus et autres malwares.

Leur fonctionnement : à partir d’une base de données de tous les virus connus, que chaque fournisseur d’antivirus s’emploie à tenir à jour (souvent même de façon partagée), l’antivirus analyse tout fichier entrant, via une clé USB ou un téléchargement par exemple, en le rapprochant de ceux figurant dans la base de données. S’il correspond à un logiciel malveillant référencé, l’antivirus réagit par la mise en quarantaine ou la suppression du fichier, voire par l’arrêt du processus qu’il a éventuellement déclenché.

En synthèse, un antivirus n’identifie les fichiers dangereux qu’une fois ces derniers déjà installés, et avec un niveau de réponse relativement restreint.

 

Faire face à de nouvelles formes d’attaques informatiques, plus complexes

À partir des années 2010, de nouvelles formes d’attaques informatiques apparaissent, plus complexes car fruits d’efforts de développement informatiques particulièrement prononcés. Ainsi sont nés les ransomwares (ou rançongiciels) notamment, en mesure de chiffrer toutes les données d’un système d’information dans l’objectif d’obtenir une rançon de la part de l’organisation victime. Les ransomwares se distinguent des premières générations de malwares par leur capacité à lutter contre les défenses de type antivirus en échappant non seulement à leur détection, mais aussi à leur réaction.

Dès lors, les EDR (Endpoint Detection & Response) se sont imposés, forts de mécanismes de détection et de réponse plus avancées. La détection avancée se base notamment sur des moteurs d’intelligence artificielle qui vont faire de l’analyse statique (comparaison de l’empreinte d’un nouveau fichier avec une BDD) complétée par l’observation de ses capacités offensives ou d’évasion (dissimulation, de connexion à un autre serveur…) ou de l’analyse comportementale visant à faire émerger des modèles d’attaques connus. En rapprochant ces données, l’EDR arrive à détecter des menaces connues ou évolutives comme les ransomwares qui changent de signature à chaque attaque.

 

Les EDR, nouveau standard en matière de détection et de réaction face aux nouveaux malwares

Dotés d’une capacité de détection (et de compréhension) très supérieure à celles des antivirus, les EDR ne laissent échapper aucune menace, même les plus complexes.

Les EDR apportent ensuite des réponses avancées, empêchant la propagation du malware, jusqu’à son éradication en repartant par exemple d’une sauvegarde antérieure.

Déjà acté comme le nouveau standard des outils de sécurité informatique, les EDR s’imposent tant chez les éditeurs de logiciels que chez leurs clients, aucune restriction technique ne limitant leur installation (sur PC, Mac, Linux, smartphone, et même sur des systèmes d’exploitation obsolètes). « Nous rendons ces solutions accessibles aux organisations par la mutualisation de leur exploitation sur des milliers de postes chez nos clients, explique Nicolas Noel, Responsable Sécurité Systèmes d’Information VFLIT. C’est, pour eux, la meilleure garantie contre les menaces avancées de type ransomwares. »

Pour aller plus loin, l’étape suivante consiste à faire converger les EDR avec d’autres outils pour s’intéresser au système d’information global, au-delà des terminaux et des serveurs informatiques ; on parle d’XDR (Extented Detection and Response), connecté à des applications, à des ressources cloud comme la messagerie électronique, les systèmes d’authentification, sur lesquels la solution sera en mesure d’intervenir directement en cas de menace.

 

EDR vs antivirus : ce qu’il faut retenir

EDR vs antivirus, ce que vous devez savoir pour faire le bon choix

Les antivirus, actifs depuis que les virus informatiques existent, ont probablement fait leur temps, dépassés par les nouvelles générations de logiciels malveillants (ransomwares notamment).

Les EDR sont justement nés pour faire face aux ransomwares, qui représentent un risque majeur pour les organisations. Par leur capacité de détection et de réponse très supérieure à celle des antivirus, seuls les EDR garantissent une protection efficace du système d’information des organisations contre les menaces complexes de type ransomware. À ce titre, ils s’imposent chez les éditeurs de logiciels comme chez leurs clients, comme le nouveau standard en matière de sécurité informatique.