Les cyberattaques évoluent sans cesse. Les antivirus fonctionnent sur la reconnaissance de « signatures » par l’analyse des fichiers? Eh bien il existe maintenant des attaques que j’appelle des attaques « fantômes » 👻car devenues indétectables des antivirus. En tout cas pas à partir d’une reconnaissance de signature.
💣On peut citer les attaques dites « sans fichier » qui sévissent seulement dans la mémoire vive de l’ordinateur. Il y a aussi les « menaces persistantes avancées », qui restent invisibles pendant une longue durée pour récupérer tout ce qui est possible et disparaître ensuite.
1️⃣EDR : une nouvelle réponse aux attaques furtives.
De quoi s’agit-il? Ces lettres signifient « Endpoint Detection Response ». Il y a plusieurs principes.
. D’abord le périmètre est étendu. Comme maintenant on peut accéder à internet via de multiples appareils inégalement protégés (ordinateur, smartphone, objets connectés), cet outil va analyser tous ces derniers.
📒. Ensuite l’EDR va récupérer un grand nombre de données de ces appareils au sujet de leurs connexions et de leurs processus.
🔬. Il va alors analyser ces données pour déterminer des comportements habituels et les stocker. Il pourra alors comparer une situation actuelle avec le passé.
⛑️. Avec ces éléments, l’EDR va identifier tous les écarts aux standards définis et pouvoir en temps réel, réagir à ces derniers (alertes, blocages, etc…).
2️⃣ EDR, quels avantages?
🥇. Des attaques invisibles pour les antivirus pourront être détectées par l’EDR.
🥈. La réactivité sera plus grande que l’antivirus car l’EDR peut réagir dès les premiers stades d’une attaque.
🥉. L’examen systématiques des données relatives aux communications donnera de précieux renseignements sur le mode opératoire des attaques repérées. Cela permettra d’éviter une répétition et d’améliorer la cybersécurité.
🛡️. L’EDR dispose d’une panoplie de réponses aux incidents détectés permettant de bloquer une attaque ou de minimiser son impact.
3️⃣ Conseils pour la mise en oeuvre d’un EDR
🧑🔧. Des compétences humaines sont requises pour gérer les données d’un EDR. Si l’on est une petite structure sans service informatique, il est préférable d’opter pour un MDR (Managed Detection and Response). Cela permet d’avoir des alertes et ou blocages faits en connaissance de cause.
🤔. Ne pas laisser toute sa sécurité reposer sur un EDR, comme il ne fallait pas tout laisser à l’antivirus. Comme tout est attaquable et contrable, avoir plusieurs outils de défense réduit le risque.
🫵. La première faiblesse est l’humain. Un préalable à tous ces outils est une bonne hygiène informatique. Soyez le pilote et le chef de projet de votre sécurité informatique. Ayez un plan anti-crise. L’EDR et l’antivirus ne sont que des outils partiels de votre sécurité.
