Antivirus, EPP et EDR quelles différences ?

Il existe aujourd’hui un très grand nombre de types de solutions de protection d’enpoints. Ce grand nombre ne facilite pas le choix de sa solution de protection d’autant que chacune de ces solutions a des fonctionnalités bien spécifiques. Il est toutefois important de faire ce choix en conscience mais également en connaissance. C'est pourquoi il est judicieux de connaître les solutions de protection présentes sur le marché, leur mode de fonctionnement, leurs avantages mais aussi leurs limites. 

L’AntiVirus ou le charme de l’ancien

L’AntiVirus, connu également sous les initiales AV est le programme de protection de poste de travail par défaut puisque le plus connu et le plus répandu. En effet, il s’agit du logiciel de protection étant apparu le premier sur le marché. Depuis son apparition en mars 1988, l’AV a beaucoup évolué dans la détection et la neutralisation de virus et de logiciels malveillants.

Cependant, sa technologie reste presque inchangée depuis sa création mis à part quelques améliorations en surcouche.

La technologie de l’AV

L’antivirus a un mode de fonctionnement simple basé sur des scans de machine réguliers. L’antivirus propose trois sortes de scans permettant de détecter ou de bloquer des actions ou des programmes malveillants :

  1. Le scan de signature : L’AV va détecter et lire le hash de chaque programme et le comparer à ceux qu’il connaît. Si la clé de produit du logiciel correspond à celle d’un programme jugé malveillant, ce dernier sera bloqué, supprimé ou mis en quarantaine.
  2. Le scan heuristique : Le scan heuristique permet quant à lui de repérer de nouveaux virus non encore enregistrés dans les bases de données des fournisseurs d’AV. Ce scan est basé sur le comportement supposé d’un programme. Lors du lancement d’un programme, il est lancé en parallèle dans une sandbox et son comportement est analysé.Si certaines de ses actions sont suspectes (suppressions de fichiers, lancement de processus multiples) une alerte sera envoyée à l’utilisateur.
  3. Le scan d’intégrité : A l’allumage de la machine, à intervalles réguliers et dès qu’un fichier est modifié, l’AV lance un nouveau scan afin de vérifier qu’aucun fichier n’a été modifié ou corrompu par un logiciel malveillant.

L’AV, ses avantages et ses limites

L’antivirus est le programme de protection le plus connu et répandu. Il s’agit d’un logiciel qui est peu onéreux en prix par poste et qui est relativement simple à configurer et à utiliser. Il peut être une solution de protection amplement suffisante sur un poste particulier ou pour un usage occasionnel.

Cependant, bien que répandu, l’AV a ses limites. Ses fonctionnalités ont évolué avec le temps mais ne se sont pas adaptées aux évolutions en matière de logiciels et programmes malveillants. Aussi, comme précisé plus haut, la technologie de base des logiciels antivirus n’a pas réellement changé. En effet, les nouvelles fonctionnalités apportées à chaque mise à jour des logiciels ont été ajoutées en surcouche ce qui donne des programmes lourds tant en mémoire qu’en ressources machine.

En 2020, il est presque devenu obsolète.

Pourquoi ?

La protection apportée par un antivirus est basique et il est devenu possible de l'outrepasser aisément. Par exemple, la recherche de signatures produit n’est pertinente que si le programme malveillant est répertorié. Un utilisateur malveillant peut, en quelques minutes, créer un script ou un programme dont le hash n’est pas encore répertorié et procéder à une attaque qui ne sera pas arrêtée par l’antivirus.

De la même manière, il existe aujourd’hui des attaques fileless (sans fichiers et donc sans signatures) qui permettent d’attaquer ou de pirater une machine même si cette dernière est protégée par un antivirus.

L’Endpoint Protection Platform ou comment faire du neuf avec du vieux

Les Endpoint Protection Platform ou EPP sont un peu des antivirus next-gen. Ils ont gardé le schéma de scan signatures de l’antivirus tout en apportant de nouvelles fonctionnalités plus poussées. L’EPP est toutefois plus approprié qu’un AV pour la protection des machines d’une entreprise dans la mesure où son spectre de protection est plus large que son prédécesseur.

Quelles technologies embarque l’EPP ?

L’Endpoint Protection Platform a un fonctionnement très similaire aux antivirus. Il est basé sur une méthode de scan de signatures à laquelle ont été ajoutées de nombreuses fonctionnalités et surcouches. L’EPP embarque de nouvelles technologies qui le rendent plus à même de protéger une machine face à des attaques de type ransomware par exemple.

L’EPP embarque, en plus du scan de signatures et du scan heuristique de l’Antivirus :

  1. L’analyse comportementale : Grâce à un moteur de machine learning, l’EPP sera en capacité de repérer les actions et fichiers pouvant être considérés comme malveillants
  2. La surveillance mémoire : Le logiciel de protection va analyser en temps réel lors de l’utilisation d’un programme si ce dernier de corrompt pas la mémoire du système ou d’un autre programme.
  3. La vérification d’IOC’s ou indicateur de compromission : l’EPP va repérer sur la machine tout fichier ou clé de registre qui pourrait être lié à une attaque grâce à la threat intelligence (recherche humaine des derniers types d’attaques connues).

Cette liste de technologies embarquées n’est bien sûr pas exhaustive et dépend des distributeurs.

L’EPP est il suffisant ?

L’EPP est un logiciel de protection d’endpoint de nouvelle génération. Cependant, bien que doté de nombreuses fonctionnalités, il n’est pas infaillible. En effet, il permet de détecter bien plus de logiciels malveillants qu’un antivirus mais ne permet pas de les bloquer ou de détecter certains types d’attaques ou de tentatives de corruption de système ou de données. Il reste néanmoins un produit plus pertinent qu’un antivirus pour la protection d’ordinateurs et de serveurs.

La révolution des logiciels de cybersécurité, l’EDR

L’Endpoint Detection & Response est le nouveau modèle de logiciel de protection d’endpoint. Il s’agit clairement d’une révolution de l’intégralité de la technologie de protection contre les virus, les malwares et les attaques d'utilisateurs malveillants. 

L’EDR, un concentré d’intelligence

L’EDR est chargé de technologies nouvelles afin d’apporter à ses utilisateurs une protection encore plus rapprochée. En effet, contrairement aux AV et EPP, l’Endpoint Detection & Response va être en mesure de repérer et d’arrêter les menaces avant même le début de la corruption du système grâce à une collecte de données très importante comparativement aux autres solutions de protection.

L’EDR dispose de fonctionnalités très avancées comme :

L’analyse comportementale

tout comme pour l’EPP l’analyse comportementale de l’EDR va permettre de repérer et identifier des menaces de par des comportements suspects de l’utilisateur ou d’un programme (accès à des clés de registre, exécution d’outils d’administration système, etc…) grâce à un moteur de machine learning.

L’intelligence artificielle 

En effet, le pilier de l’EDR est l’IA. Cette technologie est révolutionnaire dans la mesure où le logiciel devient beaucoup plus réactif dans la détection et l’arrêt des actions à risques et de menaces (malwares, ransomwares, virus, attaques fileless, etc…) le tout sans avoir besoin de se connecter à internet pour mettre à jour ses connaissances puisque autonome et auto-apprenant.

La CTI

La CTI ou Cyber Threat Intelligence est l’intelligence humaine mise au service des machines à protéger. Pour faire court, la CTI est une sorte de veille technologique. Les distributeurs de logiciels se renseignent constamment sur les nouveaux types de virus, d’attaques et de logiciels malveillants afin de pouvoir apporter toujours plus de fonctionnalités et toujours plus de protection contre les attaques d’hier comme de demain.

Faut-il préférer l’EDR aux autres technologies ?

Tout est relatif et le choix appartient à chacun. Cependant, au vu des statistiques, l’EDR sera plus approprié pour protéger les données d’une entreprise. Sa technologie est véritablement de pointe et ne cesse de s’améliorer, le tout sur des bases solides et revues jour après jour pour lutter au mieux contre les cyber-menaces.

Nucleon Smart Endpoint, à la jonction des mondes

A la jonction de toutes ses technologies, on trouve la solution Nucleon Smart Endpoint, distribuée par la société Nucleon Security. Ce logiciel de protection d’endpoint très léger embarque toutes les meilleures fonctionnalités des systèmes de protection de postes de travail et de serveurs dans une technologie unique.

Du scan de signatures, à l’heuristique en passant bien entendu par l’intelligence artificielle et le machine learning, Nucleon Smart Endpoint s’adapte chaque jour aux nouvelles menaces grâce notamment à la CTI.

En plus des technologies déjà connues et présentes dans les systèmes de protection, le logiciel développé par Nucleon Security propose également un module très complet de détection et de gestion de vulnérabilités, entièrement personnalisable.

Avec Nucleon Smart Endpoint, les données importantes sont protégées des menaces extérieures et intérieures, venant du connu et de l’inconnu, de l’humain et de la machine.

"Passionné d'informatique depuis toujours aussi bien en réseau qu'en développement, je me spécialise rapidement en sécurité informatique. Je m'intéresse aux solutions de détection comme le « sandboxing » et les antivirus nouvelle-génération en travaillant sur différents projets de recherche et développement pour contourner les solutions de sécurité. Je me spécialise également sur les technologies et concept de « SOC » et de « SIEM » avant de m'intéresser à l'intelligence artificielle et de son application à la cybersécurité."

Antoine
Chercheur Cybersécurité 
Address

6 Rue Auguste Comte
92170 Vanves

Contacts

team@nucleon-security.com
+33 1 73 07 18 41
+33 1 73 07 18 42