Protéger son entreprise avec un antivirus ou un EDR ? Une question pas si anodine.
Face à la complexité et la recrudescence des attaques, il est essentiel de se donner les moyens de sécuriser le système d’information de chaque entreprise. La protection antivirus est incontournable. L’Endpoint Detection and Response et les antivirus font partie de cet arsenal, nécessaire à chaque entreprise. Qui n’a d’ailleurs jamais entendu parler d’antivirus (AV) et Endpoint Detection and Response (EDR) ?
Deux types de solutions pour la sécurité des points de terminaison : vos ordinateurs et serveurs, en premier lieu.
Quelle est la différence ? Revenons sur un concept pas si récent que cela.
Antivirus
Définition
Le Larousse défini l’antivirus comme « Logiciel utilitaire qui détecte et détruit les virus informatiques s’attaquant à la mémoire d’un ordinateur. »
L’anti-virus existe depuis de nombreuses années, il protège contre les logiciels malveillants.
L’antivirus est un logiciel informatique ayant pour objectif de détecter et supprimer les virus et malwares du poste.
Son rôle
Un antivirus analyse les données, pages web, fichiers, logiciels et applications qui transitent par le réseau vers les appareils. Il analyse tout fichier qui entre afin de déterminer si ce dernier est potentiellement malicieux. En fonction, il bloque ou met en quarantaine le fichier.
Le fonctionnement d’un antivirus
Un antivirus déclenche l’analyse au moment de l’explosion d’un malware ou d’un ransomware. Il s’appuie sur une sorte de dictionnaire de logiciels malveillants : si le malware est référencé alors il le bloque, le met en quarantaine ou peut même le supprimer.
Les bases de signatures doivent néanmoins être mises à jour régulièrement, pour faire face aux nouvelles menaces qui apparaissent quotidiennement.
Ses limites
Son champ d’action ? L’AV se limite aux virus et aux logiciels malveillants, ce qui pose un problème car les attaquants ont la capacité de contourner la détection par la signature en ayant recours à des techniques d’évasion et des logiciels dits polymorphes.
Il ne s’attaque donc qu’aux menaces connues . Si l’ antivirus n’est pas à jour ou que la menace n’est pas encore connue alors elle ne sera pas détectée de suite augmentant ainsi le risque de cyberattaque.
Ses avantages
- Son coût, le prix par utilisateur est souvent minime pour un antivirus.
- Son efficacité contre les menaces internes. Il est impossible de forcer l’installation d’une mise à jour ou de désinstaller l’AV sans avoir les autorisations.
L’EDR (Endpoint Detection & Response)
Définition
L’acronyme EDR a été utilisé pour la première fois en 2013 par Anton Chuvakin (Gartner) et correspond à Endpoint Detection and Response.
L’EDR assure la protection des terminaux et détecte des menaces qui vont au-delà des logiciels malveillants.
Son fonctionnement
L’EDR identifie certains schémas de fonctionnement et détecte les anomalies. Il collecte des données télémétriques, comportementales issues des terminaux, pour les envoyer ensuite vers une base de données centralisée pour corrélation et analyse.
Il s’appuie sur l’IA. Grâce à son apprentissage automatique intégrée et une intelligence artificielle avancée, il peut identifier les comportements anormaux et les traiter.
Ses avantages
- Une plus grande sécurité, l’EDR permet de gérer un grand nombre de terminaux.
- Détection de menaces avancées. L’EDR lutte contre les menaces émergentes, non connues.
- Plus de visibilité. L’EDR fournit du contexte, informe sur le processus de l’attaque, et communique des informations sur sa propagation. Il fournit ainsi des informations nécessaires pour faire des investigations pour les équipes forensic.
- Permet une détection pro active. L’EDR ne se limite pas à la détection, il recherche également des schémas d’activité anormaux, suspects. Il contribue ainsi à une meilleure stratégie de sécurité.
- Automatisation : L’EDR est hyper automatisé et intervient en temps réel, or nous le savons bien, plus le système est rapide et plus il est efficace. Les agents EDR sont installés sur tous les terminaux permettant ainsi de lancer rapidement des investigations.
- L’agent est plus léger, et devient ainsi moins gourmand en ressource
En résumé l’EDR détecte, investigue, et remédie.
EDR ou Antivirus, lequel choisir ?
- Pro activité : les antivirus nécessitent une mise à jour quand l’EDR est proactif en détectant les menaces potentielles.
- Surface de protection plus large : l’antivirus protège des logiciels malveillants quand l’EDR détecte virus, logiciels malveillants, surveille le trafic suspect et les attaques sans fichiers.
- Rapidité : l’EDR agit en temps réel.
- Menace inconnue : l’EDR s’attaque aussi aux menaces inconnues contrairement à l’anti-virus. L’EDR est conçu pour protéger de tous les types de cyberattaques.
Vous l’aurez compris, là où le choix d’un antivirus peut s’avérer tout à fait judicieux si vous avez envie de protéger votre ordinateur personnel, il en est que moins certains lorsqu’il s’agit de protéger votre entreprise.
Peu importe la taille de votre structure, le nombre de terminaux utilisés et présents sur votre parc, envisager un EDR est la solution la plus adaptée.
La principale différence entre ces deux catégories de produit se situe donc dans la méthode de détection. L’antivirus reste une solution simple mais limitée.