De nos jours, aucun appareil n’est à l’abri d’une cyberattaque. Même ceux qui, autrefois, étaient et se disaient futés, à l’abri des attaques, présentent désormais des faiblesses à ne pas négliger.
En effet, tout appareil accédant à vos données doit être adéquatement protégé et ce, peu importe sa fonction (personnelle ou d’entreprise).
Il est important de bien comprendre qu’une attaque par rançongiciel n’arrive pas à l’exécution du chiffrement du poste. Au contraire, elle se prépare des semaines à l’avance, voire même des mois.
QUELS SONT LES OUTILS DE PRÉVENTION ?
1. L’Antivirus
L’antivirus est l’outil de protection le plus reconnu. D’ailleurs, il est celui sur lequel la confiance d’une majorité d’utilisateurs repose. L’antivirus aide à la prévention d’une attaque.
Il est construit à partir de deux modules précis : un engin et une bibliothèque de définition.
Tout d’abord, l’engin vérifie chaque fichier de votre appareil et il compare les codes de chacun d’entre eux avec ceux de la bibliothèque de signature. Ensuite, lorsqu’un fichier est identifié comme étant dangereux, il est placé en quarantaine et est isolé du système d’exploitation.
Finalement, si l’antivirus connait la méthode de nettoyage, il l’exécutera. Dans le cas contraire, il lancera une alerte afin que l’utilisateur puisse intervenir.
« À l’heure actuelle, le grand défi des entreprises en cybersécurité est la pénurie de main-d’œuvre, car elle limite la capacité d’analyser et de neutraliser les diverses attaques perpétrées. »
D’un exemple à l’autre
Vous souvenez-vous de la fameuse lettre d’amour, datant de la fin des années 1990?
Il s’agissait d’un scripte VBS caché derrière un simili fichier texte. Lorsque l’attaque avait été lancée pour la première fois, cette elle avait ravagée de nombreux postes et serveurs. À l’époque, ce virus était totalement inconnu des antivirus. Pour y remédier, le seul moyen était de déconnecter le réseau d’entreprise d’Internet, de télécharger la mise à jour du fichier de définition et de le déployer sur tous les postes.
De nos jours, la majorité des attaques sont de type Zero-Day, une attaque sans signature connue. Ces attaques sont très souvent basées sur une morphologie connue. En effet, de nombreux virus sont toujours en circulation, mais ont toutefois évolué selon les nouvelles tendances.
Endpoint Detection & Response (EDR)
Contrairement à l’antivirus, l’EDR effectue une analyse comportementale des menaces.
Il est considéré en tant qu’outil de surveillance en temps quasi réel. Il analyse l’exécution et il détermine s’il s’agit d’une menace. Toutefois, cette opération n’est pas basée sur une bibliothèque préalablement installée, mais plutôt sur l’incidence que le code aura sur votreappareil et ce, peu importe le type!
Qu’une attaque provienne d’une pièce-jointe d’un courriel, d’un ficher ou même d’un site Web, l’EDR sera en mesure de l’identifier.
Les cyberattaques installent des outils malveillants avant de passer à l’action. Pendant ce temps, l’EDR isole votre ordinateur le temps que le code soit neutralisé.
Extended Detection & Response (XDR)
Le XDR est l’extension de l’EDR. En effet, elle ajoute une corrélation entre les événements de sécurité en arrière-plan et l’intelligence artificielle afin de traiter les grands nombres de signaux. Le XDR se sert de l’infonuagique pour en optimiser l’analyse.
Dès lors, cet ajout améliore sa capacité à nettoyer et restaurer les dommages causés par un code malveillant. Cette capacité de guérison permet de rétablir l’appareil à son état initial.
La particularité d’un XDR est qu’il est fortement dépendant des services infonuagiques, en raison de la puissance de calcul et de traitement nécessaire pour analyser des trillions de signaux journaliers qui ne peuvent se restreindre à un seul appareil.
Un exemple frappant est celui de Microsoft, avec la suite Defender, qui traite, quotidiennement, jusqu’à 43 trillions de signaux. Très peu de compétiteurs peuvent avoir une vision approfondie de toutes les attaques ayant lieu à travers le monde. En effet, un algorithme d’apprentissage machine (machine learning) est en place pour capter tous les signaux. Il devient précis, jour après jour. Le premier but de l’apprentissage de machine est : le triage de l’information. En effet, le triage permet de cerner une attaque à travers une multitude d’information en constant mouvement.
Un dernier point
À l’heure actuelle, le grand défi des entreprises en cybersécurité est la pénurie de main-d’œuvre, car elle limite la capacité d’analyser et de neutraliser les diverses attaques perpétrées. Des données relevées au dernier recensement indiquent qu’il y a plus de 3.5 millions de postes à combler en cybersécurité à travers le monde.
En comparaison, vous pouvez installer le meilleur détecteur de fumée relié à une centrale, mais si vous ne disposez pas de la main d’œuvre pour analyser et pour intervenir, vous êtes toujours vulnérable à une attaque.
Il est donc impératif d’investir dans des outils fonctionnels et gérés par des spécialistes en cybersécurité. Grâce à l’intelligence artificielle, ces derniers seront en mesure d’analyser et de réagir adéquatement aux incidents.
Encore aujourd’hui, l’humain demeure au cœur de la solution.
Crédit Image à la Une : Unsplash
ARTICLE RÉDIGÉ POUR CSCIENCES:https://www.cscience.ca/chroniques/antivirus-edr-ou-xdr-quel-est-la-difference/