PME / Entreprises

Protection des terminaux de nouvelle génération

Avast Business Team, 5 octobre 2019

Pour les PME, cette solution adaptable est essentielle pour se défendre contre les menaces modernes de cybersécurité

Comme vous dirigez une entreprise, le terme « nouvelle génération » ne doit rien vous dire. Mais les cyberattaques sont de plus en plus sophistiquées et de plus en plus d’entreprises en sont victimes. C'est important de le savoir. Les grandes entreprises disposent d’un service informatique qui se charge de déployer une protection des terminaux de nouvelle génération. En tant que gérant d'une PME, il vous incombe de protéger votre entreprise contre la cybercriminalité.

Cet article vous explique en quoi consiste la protection des terminaux de nouvelle génération, ce qu’elle propose, pourquoi elle est importante et en quoi elle se distingue des outils traditionnels.

Pourquoi a-t-on besoin d'une protection des terminaux de nouvelle génération ?

Pour la simple et bonne raison que nous faisons face à une « nouvelle génération » de cyberattaques. Comme notre connaissance est plus approfondie et que nous utilisons des antivirus, les cyberattaques se sont sophistiquées. Maintenant, les malfaiteurs utilisent diverses méthodes, allant des malwares à l’ingénierie sociale. Celles-ci comprennent diverses chaînes (vecteurs), notamment des terminaux comme les téléphones et ordinateurs de bureau.

Vers l’an 2003, les cybercriminels ont complexifié leurs attaques en passant des simples virus et téléchargements furtifs à des attaques sur plusieurs niveaux, relevant souvent d'une manipulation interpersonnelle. Pour protéger les utilisateurs contre ces attaques plus sophistiquées, la cybersécurité doit évoluer. Les terminaux (vos appareils) demeurent des cibles et beaucoup ne se trouvent pas toujours sur votre réseau professionnel (tablettes, ordinateurs et téléphones portables). Ainsi, ils ne disposent pas d'une sécurité optimale derrière un pare-feu ou une passerelle. Les pirates peuvent exploiter cette faiblesse en incluant plus d’étapes dans leurs attaques. Vous devez donc renforcer la protection de vos terminaux.

La protection des terminaux de nouvelle génération consiste essentiellement à garantir que votre solution apprend et s'adapte en permanence à l’évolution des menaces. Gardez toujours une longueur d'avance sur les cybercriminels et identifiez des étapes individuelles d'attaques sophistiquées sur plusieurs niveaux.

Elle veille aussi à protéger tous les terminaux de votre réseau, et pas seulement ceux qui se trouvent derrière le pare-feu de votre entreprise. On connecte de plus en plus d’appareils aux réseaux professionnels. Chacun d’entre eux constitue un point d'entrée potentiel pour un attaquant qui pourrait alors exploiter un logiciel obsolète sur le téléphone d'un employé et accéder aux données du réseau et des serveurs de votre entreprise. Une entreprise est aussi précieuse que ses données les plus précieuses... et aussi faible que son point le plus faible. Il est donc essentiel de protéger aussi bien vos terminaux connectés que votre réseau et vos serveurs.

Qu’est-ce que la protection des terminaux de nouvelle génération ?

Auparavant, les antivirus avec un système de détection basé sur les signatures (notamment les protections de terminaux traditionnelles) suffisaient à bloquer la plupart des attaques. Mais les cybercriminels ne se cantonnent plus à de simples méthodes d’attaque basées sur des signatures. Ainsi, la protection des terminaux de nouvelle génération ne repose pas seulement sur des signatures, mais sur une ou plusieurs méthodes et/ou des technologies pour détecter et prévenir des attaques. Par exemple :

Réduction des exploits

Les attaquants utilisent toutes sortes d’outils pour concevoir et exécuter des attaques. Par exemple, les « exploits » profitent des vulnérabilités présentes dans un système pour contourner ses protections et compromettre des appareils afin d’obtenir des privilèges. 

Dans la plupart des cas, ces exploits sont des vulnérabilités connues, c'est-à-dire que pour les éviter, il suffit de mettre à jour ses logiciels. Dans un cadre professionnel, cela est cependant plus facile à dire qu’à faire. C’est la raison pour laquelle il est essentiel que votre fournisseur en sécurité puisse vous proposer une solution de gestion des correctifs qui se chargera de mettre à jour les logiciels de votre réseau.

En parallèle, votre solution doit disposer d'une fonction de détection et de blocage des exploits pour vous protéger, même lorsque des vulnérabilités n’ont pas encore été corrigées. 

Analyse comportementale

Les cyberattaques ne sont pas de simples programmes malveillants. La cybersécurité doit pouvoir aller au-delà de leur détection. Au moyen de l’analyse comportementale, la cybersécurité de nouvelle génération étudie comment les applications et les processus interagissent entre eux pour trouver des anomalies suggérant des attaques. Par exemple, les utilisateurs ont tendance à prendre des décisions logiques et à procéder de façon prévisible (ouvrir un logiciel, ouvrir les fichiers pertinents, etc). Donc si une application essaie d’ouvrir/de lire un fichier « inapproprié » et/ou d’envoyer des informations à un site Web ou à une application non vérifiée/suspecte, le logiciel de nouvelle génération l’en empêchera, ou du moins le soupçonnera. 

Les cybercriminels commencent à adopter une nouvelle tendance : mener des attaques à partir de fichiers non malveillants pour éviter d’être détectés. Par exemple, ils utilisent largement PowerShell, un outil populaire de Microsoft, inclus dans toutes les installations de Windows 10.

Machine learning

Le réseau de veille des menaces d’Avast Business rassemble les informations de centaines de millions d’échantillons de malwares. Celles-ci sont analysées par des outils avancés de machine learning (« apprentissage automatique ») qui sont formés à identifier les formats de cyberattaques. Avec cette analyse proactive de pré-exécution, la protection de nouvelle génération peut arrêter les attaques avant même qu’elles ne se produisent.

Pour évaluer des menaces nouvelles et inconnues, nous avons créé un canal unique et sophistiqué de machine learning nous permettant de former et de déployer rapidement des modèles de détection de malwares en moins de 12 heures. Pour améliorer nos modèles de détection de malwares, nous utilisons aussi des techniques avancées telles que les réseaux de neurones à convolution.

Deep learning

Certains pensent que le terme « machine learning » fait référence à ce qu’on appelle, en cybersécurité, le « deep learning » (apprentissage approfondi). Mais le deep learning est en fait un sous-ensemble du machine learning, qui est lui-même un sous-ensemble de l’intelligence artificielle (IA). Jusqu’à récemment, les logiciels ne pouvaient identifier des objets qu’à partir d’une série de règles limitée. Cela donnait donc lieu à des erreurs lorsqu’il s’agissait d’objets ambigus ou ressemblant à autre chose.

Mais la technologie du deep learning permet à un ordinateur d’utiliser une série de règles plus complexe (et généralement, de nombreuses données sur un sujet) pour apprendre à reconnaître ce qui est un bus ou non (cf image de captcha) ou un autre objet. Cela est rendu possible par le groupement, la comparaison et le traitement de divers points des données observées, selon des règles qui lui permettent de voir des différences subtiles entre des types de choses. Par exemple, la relation entre la taille d'une roue et la taille d'un véhicule, le ratio de longueur à hauteur et/ou la largeur d'un véhicule par rapport aux autres véhicules sur la route. En cybersécurité, cette technologie est de plus en plus utilisée pour identifier les cybermenaces de nouvelle génération, plus sophistiquées, en apprenant ce que sont les caractéristiques d’une attaque, pas seulement les signatures d’attaques existantes.

Détection du trafic

Cette technologie analyse le trafic du réseau pour détecter les activités malveillantes. Par exemple, elle peut bloquer le trafic des malwares en leur empêchant de communiquer avec les pirates. Comme le pirate ne sait pas que le fichier a été déployé sur l’appareil de quelqu’un, il ne peut pas mener l’attaque sur la victime potentielle. 

Autres procédés utilisés par la protection des terminaux de nouvelle génération

  • Collecte centralisée des événements et analyse
  • Détection du comportement des ransomwares et blocage
  • Analyse de la sandbox
  • Restauration des changements après la détection d'événements
  • Détection rétrospective

Lisez notre guide « Trois tests et outils de cybersécurité pour protéger votre petite entreprise ».

En résumé, la protection des terminaux de nouvelle génération ne repose pas seulement sur un ensemble d’antivirus ou de technologies dont la détection est basée sur les signatures. Elle implique un certain nombre de systèmes et de processus capables d’identifier de petites parties, ou des fragments d’attaques plus sophistiquées. Des logiciels qui en apprennent constamment sur les menaces, par exemple. La protection des terminaux de nouvelle génération peut donc protéger les utilisateurs de manière proactive et en temps réel.

NGEP vs AVNG

Quelle est la différence entre une protection des terminaux de nouvelle génération (NGEP) et un antivirus nouvelle génération (AVNG) ? Comment peut-on les comparer ? En 2016, l’AVNG a été reconnu comme l’étape de cybersécurité suivant l’« antivirus traditionnel » ou « AV traditionnel ».

Face à l’évolution des cybermenaces, de nombreux antivirus traditionnels se sont révélés inefficaces. L’antivirus nouvelle génération comprend donc de nouvelles approches. Parmi les différences majeures, on peut citer :

  • Meilleure prévention des malwares courants et inconnus 
  • Analyse contextuelle pour informer des actions et des performances des malwares
  • Administration améliorée 
  • Remédiation des attaques (plutôt que se contenter de les arrêter)

Récemment, des plateformes de protection des terminaux ont vu le jour et comprennent plus que de simples AVNG. Ces plateformes combinent généralement des fonctions de détection et de réponse des terminaux (EDR, « Endpoint Detection and Response ») avec un AVNG sur une seule plateforme. Bien qu’efficaces, ces solutions ne concernent principalement que les grandes entreprises dotées d’un centre d’opérations de sécurité (SOC) et d’une équipe dédiée d’intervention en cas d’incident qui surveille et analyse les données provenant de divers systèmes.

Les PME ne disposent pas de telles ressources pour analyser ces données d'attaque. Pour bénéficier d'une protection complète, elles ont besoin de solutions unifiées de protection des terminaux, avec un AVNG contre les menaces et un service de gestion des correctifs.  

L’avenir de la sécurité des terminaux

Des téléphones mobiles aux objets connectés, la multiplication des terminaux implique une multiplication des points d’entrée au réseau d’une entreprise pour les cybercriminels. Et avec davantage de terminaux, les attaquants disposent de plus d'options et d'angles à exploiter en ingénierie sociale, c'est-à-dire pour rendre des personnes plus susceptibles de cliquer sur un lien ou de divulguer des mots de passe. Les cybercriminels ont trouvé le maillon le plus faible : les humains. Trop de gens se disent « Je ne suis pas important, pourquoi m’attaquerait-on ? ». Mais ce qu'un attaquant peut obtenir grâce à un employé s'avère très efficace.

La protection des terminaux doit évoluer au même rythme que les cyberattaques. Avast Business reste à la pointe de l'innovation en matière de sécurité des terminaux, en garantissant à ses clients une longueur d'avance sur les cybercriminels. Notre système de protection des terminaux est l’une des solutions les plus avancées du marché, grâce à diverses méthodes avancées telles que des agents de défense complexes et des systèmes de prévention des intrusions sur l'hôte, pour sécuriser l’accès de tous les utilisateurs du réseau.

L'antivirus traditionnel se voulait réactif. Il ne peut que poursuivre les cybercriminels. Avec les progrès de l'intelligence artificielle, du deep learning et de l'analyse comportementale, la cybersécurité peut désormais avoir une longueur d'avance, car les systèmes comprennent mieux ce qui constitue une menace, même s’ils ne l'ont encore jamais vue.

Pour une protection complète, il est important qu'en plus d'une protection des terminaux de haute qualité, les employés soient formés à détecter les liens/comportements suspects et à garder tous leurs logiciels à jour.

L’avenir de la sécurité des terminaux repose sur une inspection plus approfondie des fichiers et des outils pour identifier les comportements suspects, assurer une détection et une prévention plus rapides et améliorer les rapports pour faciliter les analyses.

Luis Corrons, évangéliste de la sécurité chez Avast a contribué à cet article.

En savoir plus sur les solutions de protection des terminaux d’Avast Business.