S’il existe un domaine qu’il est difficile de suivre tant il est changeant, c’est bien celui des solutions de sécurisation des endpoints, autrement dit des postes de travail. Dans ce marché en ébullition, même le Gartner a multiplié ses publications sur le secteur spécifique de la sécurité des endpoints. Aujourd’hui, pas moins de vingt acteurs se partagent le marché allant des fournisseurs historiques d’anti-virus ayant enrichi leur solution originelle, à des acteurs pure player, offrant des packages complets de solutions de nouvelle génération. Il n’est pas forcément évident pour des non experts de s’y retrouver dans toute ces nouvelles approches et innovations. En attendant peut-être que soit réalisée un jour une catégorisation officielle, claire et lisible, tentons d’y voir un peu plus clair.
De l’antivirus à la nouvelle génération : retour sur une évolution mue par la menace
Historiquement, la sécurisation des postes de travail est du ressort de l’anti-virus. Les solutions d’anti-virus étaient donc dévolues à analyser les fichiers pour repérer les signatures des virus et ainsi, considérer un fichier comme sain ou contaminé. Mais avec le temps et ça n’aura échappé à personne, nous faisons face à de plus en plus d’attaques innovantes, quand bien même basées sur d’anciennes techniques comme par exemple le virus polymorphe, inconnues des anti-virus. Malgré l’implémentation d’évolutions technologiques dans les anti-virus, nous pourrions dire que ces solutions accumulent un retard faces aux nouvelles solutions et devront mettre les bouchées double pour ne pas se faire distancer.
Sont apparues, autour de 2010, des catégories d’outils avec des fonctionnalités avancées, mettant l’accent sur la détection d’activités suspectes et de menaces, directement sur les hôtes et les PC du réseau. Le terme « Nouvelle génération » a ainsi émergé indépendamment de toute catégorisation officielle, ou norme quelconque, mais si on devait absolument le définir, il traduirait bien ce changement de paradigme : le passage d’une détection sur la base de signatures virales à une détection de la menace alimentée par le machine learning. La grosse différence permise par l’intelligence artificielle est en effet d’avoir une solution auto-apprenante qui n’a plus à se connecter à Internet pour mettre à jour sa base virale. C’est également un terme qui marque une revanche sur le temps. Ces nouvelles solutions prennent de vitesse la menace en agissant dès sa pré-exécution.
Plus pertinent que le terme « de nouvelle génération », c’est le Gartner qui en 2013 avalise le terme de Endpoint Detection and Response (EDR) pour désigner les solutions de détection des menaces (Virus évidemment, malwares, APT, 0-day, etc.) voire de réponse aux menaces.
A cette occasion, Gartner a d’ailleurs jugé le marché historique d’obsolète. C’est cinq ans plus tard un marché qui opère clairement à deux vitesses, entre acteurs historiques et nouveaux entrants.
Une « nouvelle génération » à plusieurs vitesses et à résultats variables
Il faut souhaiter du plaisir à quiconque recherche une solution de sécurisation des endpoints. Entre buzzwords à des fins marketing et réelles évolutions technologiques, entre l’option d’ajouter des briques à sa solution antivirale actuelle ou tout changer pour une nouvelle solution packagée, l’équation n’est pas simple.
Les solutions de nouvelle génération ont ajouté de nouvelles fonctionnalités : anti-virus avancé, sécurité réseau, solution anti malware, anti spyware, sanboxing, mais quelles sont les réelles différences entre ces produits ? Si la constante est d’aller plus loin dans l’analyse de la menace et des indices de compromission avec des solutions de détection et de surveillance des comportements, toutes les solutions ne se valent pas en termes de fonctionnalités et de services.
Se distinguent plusieurs catégories :
Ø L’anti-virus traditionnel, aujourd’hui clairement insuffisant mais subsistant et nécessaire pour arrêter des menaces certes identifiées et connues, mais toujours actives et circulantes.
Ø L’anti-virus « nouvelle génération » incluant des fonctionnalités avancées : firewall de poste de travail, sandbox, etc.
Ø Plusieurs catégories d’EDR offrant grâce à l’intelligence artificielle des capacités d’analyse de la menace dès sa pré-exécution, d’analyse de comportement des attaquants combinée à des capacités « temps réel ». Là où certaines solutions vont isoler le virus, et faire un « reboot » pour restaurer la situation telle qu’elle était avant attaque, certaines vont aller plus loin en l’analysant en bac à sable/sandbox, et mettre à disposition des éléments pour une analyse postmortem, à l’attention des entreprises les plus matures. Nous pouvons ainsi distinguer plusieurs approches :
o EDR axé sur la prévention
o EDR axé sur la Détection et l’information
o EDR axé sur la Réponse à incident
o EDR regroupant une ou plusieurs fonctionnalités de Prévention détection et réponse à incident
Ø Les plateformes de protection du Endpoint (EPP) : Certaines solutions ont ajouté « au fil de l’eau » ou plutôt au fil de de l’actualité des menaces d’autres briques mais d’ordre périphérique, comme le chiffrement du disque, le renforcement du firewall, des solutions de DLP voire même de sécurisation des comptes à privilèges. Est-on toujours dans du endpoint next-gen ? Pas facile de trancher, mais l’avenir nous le dira. Néanmoins et pour des raisons très pratiques, la question est moins celle-là que celle de savoir si c’est du ressort de l’opportunisme commercial ou si ces fournisseurs savent vraiment faire ce qu’ils vendent.
Pour finir, signalons également que toutes les solutions ne s’adressent pas aux mêmes profils. Des solutions sont plutôt dédiées à des profils de sachants et d’experts alors que d’autres offrent des fonctionnalités plutôt transparentes pour les utilisateurs et des tableaux de bord de gestion à la portée des novices. De la même façon, des solutions mettent l’accent sur l’apport de bonnes pratiques et de recommandations à l’attention des métiers, quand d’autres sont purement techniques.
Comment choisir sa solution ?
On l’aura compris, la situation évolue et les acteurs – au-delà des réserves qu’on peut adresser – n’ont bel et bien pas le choix que de se renouveler pour montrer à leurs clients qu’ils traquent la menace à tous les niveaux. C’est ce qui rend leur benchmark tellement difficile, d’autant que par manque de connaissances fines des produits, il n’est pas toujours fait l’éloge ou pour le moins mention des réelles valeurs ajoutées ou spécificités produit. Par exemple une solution extrêmement mature mais demandant une gérance lourde et continue conviendra à une entreprise maîtrisant parfaitement son SI avec des personnels dédiés, alors qu’une petite entreprise travaillant sur macOS préférera une solution bien plus indolore et packagée.
Chaque produit a quand même sa spécificité. Et c’est bien ce qui doit motiver la recherche au-delà de s’interroger sur quelle solution est la « meilleure » du marché. La seule question centrale est de savoir : de quoi l’entreprise a besoin ? On sait bien que l’empilement des solutions n’a jamais fait une sécurité viable. Mais il est aussi légitime de faire un choix entre le remplacement de sa solution antivirale ou bien son complément par de nouvelles fonctionnalités.
Il est ainsi fortement recommandé de disposer d’un inventaire, d’une cartographie claire de son SI, d’en repérer les données sensibles, et de savoir s’il y a moyen de déployer les agents de ces solutions sans être perfectible. C’est également sur cette base, qu’une analyse de risques doit être menée. C’est en fonction ensuite de son environnement informatique (Linux, Mac, Microsoft), des budgets et du degré d’autonomie recherché par rapport à l’administration de la solution qu’une sélection pertinente se dessinera.
Dans les 3 à 5 ans, la sécurisation des endpoints sera une composante des éditeurs de firewall qui étendraient ainsi leur domaine d’expertise. Il est également tout à fait envisageable que le endpoint soit à l’avenir piloté par le SOC notamment pour que celui-ci soit capable de prendre en charge la partie investigation/forensic, post-attaque. Notons également cette prédiction intéressante du Gartner selon laquelle d’ici à 2019, les fonctionnalités EPP et EDR auront complétement fusionné, éliminant ainsi le besoin de multiplier les outils et ainsi les investissements et d’acheter les meilleurs produits séparément pour tous les environnements, sauf les plus spécialisés.
Il était difficile d’imaginer il y a peu que le marché de la sécurité des endpoints irait vers la détection, alors nous ne sommes pas l’abri de vraies surprises, d’autant que c’est aujourd’hui la menace qui drive l’évolution de ces solutions et on sait combien la menace peut être changeante et imprévisible…
_________
Maria Tabiou est ingénieure avant-vente, Groupe Newlode
puis