L'antivirus seul ne protège pas votre entreprise - voici pourquoi

De nombreux fournisseurs de logiciels antivirus affirment que leur produit vous protège contre la misère numérique. C'est en partie vrai, mais il est important que les entrepreneurs réalisent qu'une solution antivirus seule ne suffit pas pour se protéger, par exemple, contre un rançongiciel ou un piratage.

Un programme antivirus ne suffit pas à protéger votre entreprise contre la cybercriminalité. « C'est un peu comme si vous faites de la moto avec seulement un pantalon de protection, mais sans casque et en T-shirt », raconte Cas Bilstra, spécialiste de la cybersécurité chez Eye Security. Il explique que les logiciels antivirus traditionnels sont très efficaces pour intercepter les logiciels malveillants connus. Les caractéristiques des virus et autres logiciels malveillants connus sont conservés dans une base de données et le programme antivirus sait reconnaître les logiciels qui répondent à l'une de ces caractéristiques. « Ensuite suit souvent une notification du programme indiquant qu'un logiciel malveillant a été détecté.  L’expérience nous a appris que ceci ne suffit pas. » 

Statique ou dynamique ?

En fait les virus et les logiciels malveillants ne sont plus les plus grandes menaces pour les organisations. Ces dernières années, les cybercriminels ont amélioré et étendu leurs tactiques et méthodes d'attaque. « C'est pourquoi, de nos jours, il ne suffit pas de disposer d'une solution antivirus traditionnelle pour protéger pleinement votre réseau », explique M. Bilstra. « Ce logiciel fonctionne de manière statique et ne peut comparer qu'avec une base de données avec un logiciel malveillant. Les logiciels antivirus ne sont pas en mesure de détecter les écarts de comportement et les modèles sur le réseau ,ou, de déterminer si les commandes exécutées sur l'ordinateur sont de nature malveillante. Des commandes qui sont normales dans une situation indiquent un pirate dans d'autres situations. Cette distinction est difficile à réaliser pour un logiciel antivirus. » Et c'est là que réside le nœud du problème, selon le spécialiste de la cybersécurité. « Le délai entre le moment où un pirate s'introduit dans vos systèmes et celui où il fait des dégâts est crucial pour pouvoir limiter l'impact d'un incident cyber. Une solution antivirus ne vous avertit qu'au moment où elle constate cet impact, ou en d'autres termes, lorsque le pirate déploie le rançongiciel. Alors vous êtes trop tard. Il s'agit de repérer les pirates avant qu'ils n'aient un impact sur les opérations commerciales ». 

Analyse comportementale sur le réseau d'entreprises

Les spécialistes soulignent depuis quelque temps que la question n'est plus de savoir si une organisation sera touchée par la cybercriminalité, mais quand. « Ce qui compte, c'est que vous parveniez à minimiser l'impact d'une attaque », explique Bilstra. « Cela signifie que vous devez vous rendre compte très tôt qu'il se passe des choses sur votre réseau qui ne devraient pas y être. Une solution ‘Endpoint Detection and Response’ (EDR) est capable de le faire, contrairement aux programmes antivirus traditionnels. Une solution EDR aide à rechercher et à investiguer des activités suspectes sur des Endpoints comme des laptops ou serveurs.  En plus, elle rend possible de réagir activement et d’intervenir  en cas de logiciels malveillants ou cyberattaques.  Une EDR sait analyser le comportement des ordinateurs sur le réseau. Il se distingue ainsi d'une solution antivirus qui ne s'intéresse qu'à une seule machine. Quand une solution EDR détecte un écart par rapport au schéma habituel, une alarme est immédiatement envoyée afin que des spécialistes puissent intervenir et veiller à ce que le piratage ne cause aucun dommage. Il est ainsi possible que vous n'en subissiez aucune conséquence négative, malgré le piratage. »

Détection et réponse

Outre l'analyse comportementale, il existe un certain nombre d'autres différences importantes entre l'antivirus (AV) et la EDR « Par exemple, une EDR contient une protection contre la désinstallation », explique Bilstra. « Cela signifie que si un pirate se trouve sur votre système et veut saboter l'EDR, ce logiciel signale automatiquement que quelque chose de suspect se passe. Cela vous permet de découvrir rapidement que quelqu'un se trouve sur votre réseau alors que vous n'en voulez pas. » Un autre avantage de l'EDR par rapport à l'AV, est que la télémétrie est collectée dans un endroit central. « Par cela, nous entendons les programmes qui sont exécutés ou installés, les fichiers qui sont visualisés, les sites web qui sont consultés, les commandes qui sont exécutées sur le système et ainsi de suite. » Un programme antivirus fonctionne localement et ne peut donc pas comparer les informations avec d'autres systèmes, contrairement à une EDR. « Il peut donc détecter facilement et beaucoup plus rapidement les déviations, sur base de toutes les informations et données recueillies en permanence. Par exemple, lorsqu'une exportation est faite des mots de passe stockés sur l'ordinateur, ou lorsque des commandes anormales sont exécutées sur un certain nombre d'ordinateurs simultanément ou peu de temps après. Finalement,, un tel système contient une capacité de réponse, comme son nom l'indique. Cela signifie que grâce à un solution EDR, les systèmes du réseau peuvent être immédiatement isolés lorsqu'un comportement suspect est détecté. De cette façon, il empêche un attaquant potentiel de pénétrer plus profondément dans le réseau. » 

Clarifier les notifications complexes

Dans la situation la plus idéale, il y aurait une solution EDR qui pourrait faire des choix parfaits de manière autonome. Malheureusement, c'est presque impossible : les programmes qui sont souvent utilisés par les pirates peuvent également avoir des cas d'utilisation légitimes, et il en va de même pour les commandes qui sont exécutées. Les criminels utilisent aussi souvent des logiciels conçus pour un usage légitime (comme les logiciels de gestion à distance) pour maintenir l'accès aux systèmes compromis. C'est pourquoi, en tant qu'organisation, vous avez besoin d'un partenaire en cybersécurité, capable d'interpréter les notifications de la solution EDR et de déterminer si un comportement anormal ou un logiciel à risque provient d'une activité légitime ou non. L'interprétation des rapports des systèmes de sécurité est un travail de spécialiste pour lequel tous les services informatiques ne disposent pas des personnes compétentes. « C'est pourquoi il est si important de travailler avec des spécialistes qui peuvent le faire et qui sont également disponibles 24 heures sur 24, 7 jours sur 7. Non seulement les personnes peuvent juger mieux que les ordinateurs si certaines anomalies comportementales sont légitimes ou malveillantes, mais elles peuvent aussi intervenir plus efficacement au moment où un pirate se trouve effectivement sur vos systèmes. » Et c'est là que réside la plus grande opportunité de limiter l'impact d'une attaque. « Le plus rapidement vous détectez une attaque, le plus vite vous pouvez éliminer les pirates et minimiser l'impact sur les opérations commerciales. » 

La détection rapide est cruciale

La complexité de l'évaluation des rapports de sécurité est due au fait qu'une expertise contextuelle est nécessaire dans le domaine de la cybersécurité. « Cela nécessite des connaissances et de l'expérience. Nous constatons que de nombreux administrateurs de systèmes, mais aussi les partenaires informatiques des entreprises, sont principalement des généralistes ayant des connaissances informatiques étendues. Pour déjouer les cybercriminels, il est nécessaire d'avoir des connaissances très pointues en matière de sécurité. » Bilstra explique que la solution EDR que Eye met en œuvre chez ses clients permet aux spécialistes de la cybersécurité de disposer à tout moment d'informations pertinentes sur le réseau du client et sur ce qui s'y passe. « Cela nous permet de détecter et d'évaluer rapidement les anomalies. Lorsqu'une attaque se produit effectivement, nous pouvons utiliser ces informations pour agir immédiatement et réduire considérablement l'impact. Les quatre premières heures d'une attaque sont cruciales. Lorsque nous disposons des bons outils et des bonnes informations, nous pouvons repousser rapidement les attaques avant qu'elles n'aient un quelconque impact sur l'entreprise. »

L'antivirus seul est insuffisant

Bilstra donne l'exemple d'une société européenne d’opérations de technologies qui utilisait une solution antivirus d'un fournisseur réputé. "Celle-ci a généré divers rapports, y compris, d'ailleurs, de nombreux faux rapports. En raison de ces nombreuses fausses alertes, un produit antivirus n'est souvent pas autorisé à intervenir de lui-même et personne ne prête attention aux alertes qui sont émises. Cela a permis aux attaquants d'aller de l'avant et de diffuser le rançongiciel sur le réseau de l'entreprise. C'est à ce moment-là qu'on a demandé notre aide en tant que spécialistes de la sécurité, mais à ce moment-là, le mal était déjà fait et nous devions encore commencer à recueillir des informations pour déterminer ce qui s'était passé et quels systèmes ont été touchés. Au final, cette entreprise a dû payer des millions pour reconstruire ses systèmes et l'entreprise a été indisponible pendant une semaine." Le spécialiste de la cybersécurité le souligne à nouveau : "Il est presque impossible de garantir que les attaquants ne pénètrent pas dans vos systèmes. Ce n'est qu'en les remarquant au moment de leur entrée mais avant qu'ils ne fassent des dégâts, que vous pouvez prendre des mesures ciblées pour éviter l'impact. Vous ne réussirez pas avec une simple solution antivirus." 

Publié le 26 avril 2022

Articles liés

Tout montrer