De nombreux fournisseurs de logiciels antivirus affirment que leur produit vous protège contre les problèmes numériques. C'est en partie vrai, mais les entrepreneurs doivent garder à l'esprit qu'une solution antivirus seule ne suffit pas pour se protéger, par exemple, contre un rançongiciel ou un piratage.
Un logiciel antivirus ne suffit pas à protéger votre entreprise contre la cybercriminalité. « C'est un peu comme faire de la moto avec seulement un pantalon de protection, mais sans casque et en T-shirt », raconte Cas Bilstra, spécialiste de la cybersécurité chez Eye Security. Il explique que les logiciels antivirus traditionnels sont très efficaces pour intercepter les logiciels malveillants connus. Les caractéristiques des virus et autres logiciels malveillants courants sont conservées dans une base de données, et le programme antivirus sait reconnaître les logiciels qui répondent à l'une de ces caractéristiques. « Ensuite, une notification du programme est envoyée, pour indiquer qu'un logiciel malveillant a été détecté. Mais l'expérience nous a appris que cela ne suffisait pas. »
Statique versus dynamique
Les virus et les logiciels malveillants ne représentent plus les principales menaces pour les entreprises. Ces dernières années, les cybercriminels ont amélioré et étendu leurs tactiques et méthodes d'attaque. « C'est pourquoi, de nos jours, il ne suffit plus de disposer d'une solution antivirus traditionnelle pour protéger pleinement votre réseau », explique M. Bilstra. « Ce logiciel fonctionne de manière statique et ne peut comparer qu'avec une base de données sur les logiciels malveillants. Les logiciels antivirus ne sont pas en mesure de détecter les écarts de comportement et les schémas sur le réseau, ou de déterminer si les commandes exécutées sur l'ordinateur sont de nature malveillante. Des commandes en apparence « normales » dans certaines situations peuvent indiquer un pirate informatique dans d'autres situations. Cette distinction est difficile à réaliser pour un logiciel antivirus. » Et c'est là que réside le nœud du problème, selon le spécialiste de la cybersécurité. « Le délai entre le moment où un cybercriminel s'introduit dans vos systèmes et celui où il fait des dégâts est crucial pour pouvoir limiter l'impact d'un incident informatique. Une solution antivirus ne vous avertit qu'au moment où elle constate cet impact, ou en d'autres termes, au moment où le pirate déploie le rançongiciel. À ce moment-là, il est déjà trop tard. Il faut repérer les cybercriminels avant qu'ils n'affectent le fonctionnement de votre entreprise ».
Analyse comportementale sur le réseau de l'entreprise
Les spécialistes soulignent depuis quelque temps que la question n'est plus de savoir si une entreprise sera touchée par la cybercriminalité, mais quand. « Ce qui compte, c'est que vous parveniez à minimiser les impacts d'une attaque », explique M. Bilstra. « Cela signifie que vous devez identifier le plus tôt possible de potentielles activités suspectes sur votre réseau. Une solution EDR (Endpoint Detection and Response) est capable de le faire, contrairement aux logiciels antivirus traditionnels. Une solution EDR vous permet de rechercher et d'examiner des activités suspectes sur des équipements comme des ordinateurs portables ou des serveurs. De plus, elle permet de réagir activement et d'intervenir en cas de logiciels malveillants ou de cyberattaques. Une solution EDR est capable d'analyser le comportement des ordinateurs sur le réseau. Elle se distingue ainsi d'une solution antivirus qui ne s'intéresse qu'à une seule machine. Quand une solution EDR détecte un écart par rapport au schéma habituel, une alarme est immédiatement envoyée afin que des spécialistes puissent intervenir et veiller à ce que le piratage ne cause aucun dommage. Ainsi, il est possible que malgré l'attaque, vous ne subissiez aucune conséquence négative. »
Détection et réponse
Outre l'analyse comportementale, il existe de nombreuses différences importantes entre l'antivirus (AV) et la solution EDR. « Par exemple, une solution EDR protège contre les désinstallations », explique M. Bilstra. « Cela signifie que si un pirate informatique se trouve sur votre système et cherche à saboter la solution EDR, cette dernière signale automatiquement que quelque chose de suspect est en train de se produire. Ainsi, vous êtes rapidement informé qu’un individu non autorisé se trouve sur votre réseau. » Un autre avantage de l'EDR par rapport à l'AV, c'est que la télémétrie est collectée dans un endroit central. « Par cela, nous entendons les programmes qui sont exécutés ou installés, les fichiers qui sont visualisés, les sites Web qui sont consultés, les commandes qui sont exécutées sur le système et ainsi de suite. » Un logiciel antivirus fonctionne localement et ne peut donc pas comparer les informations avec d'autres systèmes, contrairement à une solution EDR. « Elle peut donc détecter facilement et beaucoup plus rapidement les écarts, en se basant sur toutes les informations et données recueillies en permanence (par exemple, lorsqu'une exportation des mots de passe stockés sur un ordinateur est effectuée, ou lorsque des commandes anormales sont exécutées sur un certain nombre d'ordinateurs simultanément ou dans un laps de temps court). En fin de compte, ce genre de système offre une capacité de réponse, comme son nom l'indique. En d'autres termes, une solution EDR permet d'isoler immédiatement les systèmes du réseau lorsqu'un comportement suspect est détecté. De cette façon, elle empêche un attaquant potentiel de pénétrer plus profondément dans le réseau. »
Clarifier les notifications complexes
Dans un monde idéal, il existerait une solution EDR capable de prendre les meilleures décisions de manière autonome. Malheureusement, c'est presque impossible : les programmes souvent utilisés par les pirates informatiques peuvent également avoir des cas d'utilisation légitimes, et il en va de même pour les commandes qui sont souvent exécutées. Les criminels utilisent aussi souvent des logiciels conçus pour un usage légitime (comme les logiciels de gestion à distance) afin de maintenir l'accès aux systèmes compromis. C'est pourquoi, en tant qu'entreprise, vous avez besoin d'un partenaire en cybersécurité, capable d'interpréter les notifications de la solution EDR et de déterminer si un comportement anormal ou un logiciel à risque provient d'une activité légitime ou non. L'interprétation des rapports des systèmes de sécurité est un travail qui demande de l'expertise, et tous les services informatiques ne disposent pas de personnes compétentes. « C'est pourquoi il est si important de travailler avec des spécialistes capables de le faire et qui sont également disponibles 24 heures sur 24, 7 jours sur 7. Non seulement les personnes sont mieux à même de juger que les ordinateurs si certaines anomalies comportementales sont légitimes ou malveillantes, mais elles peuvent aussi intervenir plus efficacement en cas d'intrusion sur vos systèmes. » Et c'est à ce moment-là que vous avez plus de chances de limiter l'impact d'une attaque. « Plus vous détectez rapidement une attaque, plus vite vous pouvez vous débarrasser des pirates informatiques et minimiser l'impact sur l'activité de votre entreprise. »
La détection rapide est cruciale
La complexité de l'évaluation des rapports de sécurité est due au fait qu'une expertise contextuelle est nécessaire dans le domaine de la cybersécurité. « Cela nécessite des connaissances et de l'expérience. Nous constatons que de nombreux administrateurs de systèmes, mais aussi les partenaires informatiques des entreprises, sont principalement des généralistes ayant des connaissances informatiques étendues. Pour déjouer les cybercriminels, il est nécessaire d'avoir des connaissances très pointues en matière de sécurité. » M. Bilstra explique que la solution EDR mise en œuvre par Eye Security chez ses clients permet aux spécialistes de la cybersécurité de disposer à tout moment d'informations pertinentes sur le réseau du client et sur ce qui s'y passe. « Cela nous permet de détecter et d'évaluer rapidement les anomalies. Lorsqu'une attaque a lieu, nous pouvons utiliser ces informations pour agir immédiatement et réduire considérablement l'impact. Les quatre premières heures d'une attaque sont cruciales. Lorsque nous disposons des outils adéquats et des bonnes informations, nous pouvons repousser rapidement les attaques avant qu'elles n'aient un quelconque impact sur l'entreprise. »
L'antivirus seul est insuffisant
M. Bilstra donne l'exemple d'une entreprise européenne de technologies qui utilisait une solution antivirus éditée par un fournisseur réputé. « Celle-ci a généré divers rapports, dont bon nombre d'entre eux étaient erronés. En raison de toutes ces fausses alertes, un antivirus n'est souvent pas autorisé à intervenir lui-même et personne ne prête attention aux alertes qui sont émises. Cela a permis aux attaquants d'avancer et de diffuser le rançongiciel sur le réseau de l'entreprise. C'est à ce moment-là qu'on nous a appelés à l'aide en tant que spécialistes de la sécurité. Mais le mal était déjà fait, et nous devions commencer par recueillir des informations pour déterminer ce qui s'était passé et quels systèmes avaient été touchés. Au final, cette entreprise a dû payer des millions pour reconstruire ses systèmes et elle a été indisponible pendant une semaine. » Le spécialiste de la cybersécurité le souligne à nouveau : « Il est presque impossible d'empêcher à 100 % les attaquants d'entrer dans vos systèmes. Ce n'est qu'en les remarquant au moment de leur intrusion, mais avant qu'ils ne fassent des dégâts, que vous pouvez prendre des mesures ciblées pour éviter les impacts. Avec un simple logiciel antivirus, c'est impossible. »