Collectivités locales, hôpitaux, PME et parfois grands industriels, nul n’échappe aujourd’hui aux vagues d’attaques par malware qui déferlent sans cesse. Une situation ubuesque alors que les entreprises ont dépensé près de 14 Mds $ en 2020 pour protéger leurs postes clients...
Comment est-il possible en 2021 qu’autant d’entreprises soient encore victimes de malwares ? Les tout premiers antivirus ont été commercialisés dans les années 80 et on peut considérer aujourd’hui que tous les postes de travail en sont équipés. Microsoft offre son logiciel de protection Defender depuis l’époque Windows XP et en a fait un véritable antivirus intégré depuis Windows 8. Alors, pourquoi autant d’entreprises se retrouvent-elles victimes d’attaques non ciblées?, des attaques aveugles, lancées à grande échelle, sans cible précise.
La faiblesse intrinsèque de l’antivirus traditionnel est due à ce qu’il s’appuie sur une base de signatures dans laquelle tous les malwares identifiés sont catalogués. C’est à partir de ces signatures que l’antivirus va se déclencher lorsqu’il reconnaît un malware ! Une approche qui est bien évidemment prise en défaut par toutes les attaques zéro-day et tous malware qui n’auraient pas encore été fichés par les éditeurs dans leur base de signatures.
Dans le contexte actuel où les attaquants se sont professionnalisés alors qu'ils adaptent sans cesse leurs attaques, la question même de l’intérêt de conserver un antivirus se pose. Déjà en 2017 Robert O’Callahan, ancien développeur Mozilla sur Firefox, conseillait aux utilisateurs de désactiver le leur! Le développeur expliquait que « les vendeurs de logiciels antivirus sont épouvantables ! N’achetez pas de logiciel antivirus et désinstallez-le si vous en avez déjà un…» Son avis est pour le moins tranché et Robert O’Callahan a admis par la suite qu’un antivirus pouvait être utile sur Windows XP et Windows 7, mais la charge est sévère. Il qualifie les antivirus de poison pour l’écosystème logiciel, avec un code mal implémenté et invasif qui complique le travail des éditeurs de navigateurs web et des développeurs pour implémenter leurs propres couches de sécurité.
L’antivirus, cette nouvelle ligne Maginot…
Sans aller jusqu’à considérer les antivirus comme un « poison » logiciel, on ne peut que s’interroger sur le nombre d’entreprises qui sont encore victimes de ransomware et de malwares pourtant connus alors que les éditeurs de solution de type EPP (Endpoint Protection Platform) ont mis en place des moyens humains et techniques a priori considérables pour repérer ces attaques le plus rapidement possible au niveau mondial et mettre à jour leurs bases de signatures. Pire, depuis plusieurs années maintenant ces mêmes éditeurs ont beaucoup communiqué sur l’Intelligence artificielle et le Machine Learning pour détecter les menaces encore inconnues. Une stratégie de multiplication des moteurs de détection au niveau de l’agent ne semble pas être capable de déjouer l’agilité des attaquants. S’emportant contre l’inefficacité de détection des SOC ainsi que des antivirus, Jean-Nicolas Piotrowski, président d’iTrust explique : « L’antivirus, c’est un peu la ligne Maginot de la sécurité, une protection que les malwares contournent soigneusement. L’antivirus est une technologie qui remonte aux années 80 et dont les modèles de fonctionnement n’ont pas été revus depuis. L’antivirus fonctionne toujours sur la base de détection de patterns et d’IOC. Or, aujourd’hui, la menace change en permanence, les signatures évoluent et les antivirus ne peuvent détecter des signatures qui ont muté plusieurs fois depuis leur apparition. Ces vieux modèles de détection ne s’appliquent pas aux menaces inconnues.» Le Français souligne que les antivirus restent la vache à lait des éditeurs de cybersécurité et que ceux-ci n’ont aucun intérêt à remettre en cause un modèle qui remplit leurs caisses. Si, techniquement, les bases de signature montrent leurs limites, la question est de savoir pourquoi les modèles d’IA censé être embarqués dans les antivirus « Next-Gen » laissent encore passer autant de ransomware. « Concrètement, très peu d’antivirus de nouvelle génération et d’EDR offrent des moteurs de détection pertinents face à des ransomware qui mutent très fréquemment », déplore Jean-Nicolas Piotrowski. « La plupart des éditeurs étaient en retard et ont annoncé qu’ils faisaient du Machine Learning alors qu’ils n’en font pas. Encore maintenant, très peu de solutions disposent de vrais moteurs de détection comportementaux. Or les EDR qui font du vrai Machine Learning fonctionnent face à ces ransomwares ! Le problème, c’est qu’il y en a très peu.» Le fondateur d’iTrust évoque le cas d’un client qui a été récemment attaqué et sur les trois EDR et antivirus de nouvelle génération dont il disposait, un seul a été capable de détecter le ramsomware à l’origine de l’attaque et encore, a posteriori. « Tous les postes ont été chiffrés à l’exception des quelques serveurs qui étaient protégés par cet EDR. L’entreprise a été bloquée pendant trois semaines !»
Renaud Bidou, directeur technique Europe du Sud de Trend Micro, défend toutefois la pertinence de l’antivirus classique malgré ce contexte qui évolue très rapidement : « Les moteurs antivirus utilisant les bases de signatures représentent un inconvénient majeur. Ils sont simples, sinon triviaux, à contourner. En revanche, ils sont rapides, peu gourmands en ressources et extrêmement fiables. Ces technologies se sont constamment améliorées depuis plus de 30 ans et les taux de faux-positifs sont extrêmement faibles. Certains utilisent également des technologies leur permettant de n’utiliser localement qu’une base réduite sur le poste, requérant une validation depuis un serveur local ou dans le Cloud pour les menaces absentes de cette base. La contrainte des mises à jour est alors supprimée et on peut aujourd’hui considérer que de tels moteurs ont une base à jour en temps réel – à l’échelle des menaces.»
Des RSSI qui privilégient le «ceinture et bretelles» et des DSI pas toujours d’accord
Face à cette situation, l’attitude des RSSI est bien souvent de se tourner vers les EDR pour pallier les manques de leurs antivirus. « Est-ce que les antivirus classiques restent pertinents ? La réponse est non!, évidemment », explique Serge Misik, CISO de Systra, groupe de transports publics. « Un EDR est aujourd’hui indispensable à toute entreprise, oui mais un EDR venant réellement des EDR et non pas du secteur des EPP.» La suspicion est de règle quant aux réelles capacités des modèles d’IA tant vantés par le marketing des éditeurs d’antivirus. Cette défiance a littéralement porté le marché des EDR qui est passé de moins de 750 millions de dollars en 2016 à 2,3 milliards en 2021 selon les prévisions de Markets&Markets et près de 7 milliards de dollars en 2027 selon Reports&Data.
Face à ce constat, le modèle qui est en train de s’imposer chez les RSSI est de coupler antivirus classique et EDR sur les postes clients. Comme le souligne Franck Lagoutte,RSSI d’Autoroutes et Tunnel du Mont Blanc, les EDR n’ont pas la couverture fonctionnelle qui permettrait de se passer d’antivirus en parallèle. Un choix qui n’est pas sans conséquences budgétaires car il va falloir expliquer au DSI qu’il faut continuer à garder une solution antivirale que l’on sait défaillante. D’autant que le coût d’un EDR est loin d’être négligeable sur la durée si on souscrit à une offre managée avec un premier niveau d’intervention assuré par un tiers ou si on doit embaucher des experts pour traiter les alertes remontées par cette nouvelle brique de sécurité…
La convergence antivirus, EDR et protection mobile est en marche
Outre une facture salée, l’EDR apporte aussi de nouvelles contraintes techniques et un nouvel agent à déployer sur des postes qui n’en manquent pas. Antivirus, agent de gestion du parc, sans compter les OneDrive, les services de mises à jour automatiques Microsoft, Adobe et autres et bien évidemment l’agent VPN indispensable pour le télétravailleur, les petites configurations sont bien souvent à genoux avant même de lancer la première application.
Pour Fabien Schwebel, CISO/RSSI d’Europcar, l’EDR n’est finalement qu’une énième évolution du bon vieil antivirus auquel les éditeurs ajoutent une brique fonctionnelle tous les deux ans… « Les antivirus ont encore de beaux jours devant eux. Aucun acteur du marché de l’antivirus ne se limite à de la signature aujourd’hui – depuis 2005-2010. L’EDR est une évolution, pas une révolution, et peut très bien être appelé antivirus.» Un jugement qui pourrait faire grincer les dents de plus d’un commercial d’éditeur d’EDR...
Face au scepticisme des RSSI, Winston Delbey, responsable du CERT chez l’éditeur de solutions EPP et EDR français Tehtris explique la spécificité de l’EDR : « Les deux technologies ont une approche différente et délivrent des services différents. L’EDR est le plus à même de répondre aux intrusions dans le système d’information et neutraliser automatiquement les programmes de la famille des ransomwares. L’antivirus, lui, va enlever 99% des programmes malveillants, lesquels sont essentiellement des programmes à vocation publicitaires, des menaces informatiques dont l’impact en termes de cybersécurité est très faible. L’EDR va cibler les menaces restantes, c’est-àdire les programmes dont la vocation est de s’introduire dans les systèmes d’information pour voler des données ou kidnapper des données via ransomware.»
Renaud Bidou, directeur technique Europe du Sud chez Trend Micro, ajoute : « Un poste ou un serveur disposant uniquement d’un EDR serait comme un véhicule sans frein, sans ABS, sans ceinture et sans airbag, mais disposant d’un système d’alerte anticollision de dernière génération !» Le nombre d’alertes remontées par les EDR ainsi que le taux de faux-positifs sont considérables, et les techniques d’évasion fleurissent. Les moteurs reposant sur des bases de signatures, au même titre que les autres technologies « déterministes», permettent, à moindre coût, de faire un premier tri d’une efficacité inégalée. L’EDR, le Machine Learning et le sandboxing sont alors nécessaires pour traiter la faible proportion de menaces qui seront passées au travers des mailles du filet – et qui sont généralement les plus malveillantes.
Les analystes du Gartner considèrent que le s technologie s EDR, EPP et MTD (Mobile Threat Defense) vont converger vers ce que l’on appelle l’UES, pour Unified Endpoint Security. Ces solutions unifiées devraient s’imposer sur le marché d’ici 2 à 4 ans. « C’est une approche qui est déjà disponible et en production chez nos clients, avec des clients qui ont la maturité de s’équiper d’EPP, d’EDR et de MTD et nous innovons aujourd’hui en ajoutant à ces briques du SOAR afin d’automatiser la réponse. Par exemple, si un implant Cobalt Strike est détecté sur un poste par l’EDR qui a réalisé une remédiation automatique. L’EDR en informe la plateforme XDR qui, avec ses capacités de SOAR va envoyer la nouvelle signature à l’ensemble des agents EPP du périmètre et ordonner un scan immédiat de l’ensemble des postes pour vérifier que cet implant n’est pas déjà présent sur les disques durs à l’état dormant.»
Plus que jamais, la sécurité à 100 % reste une douce utopie et si l’EDR peut pallier les manques de l’antivirus traditionnel, il ne sera pas la solution miracle qui permettra au RSSI de passer des week-ends apaisés. Tout comme le furent les moteurs de Machine Learning des antivirus «NextGen», les fonctions de sandboxing ou encore l’analyse comportementale, l’EDR ne sera qu’une technique additionnelle de détection et de traçage d’activité d’une menace. Une nouvelle approche dont l’efficacité dépendra aussi beaucoup de celle du SoC qui en exploite les données. L’éternel combat entre le glaive et le bouclier n’est pas près de s’achever !
Tomislav Pautard
Chief Information Security Officer (CISO) / RSSI, Thales
« L’EPP reste un peu l’hygiène de base du poste, nos défenses immunitaires contre les menaces déjà connues. L’EDR va apporter une protection en détectant les non-conformités en temps quasi réel et réagir sur des attaques «0-day » et des vulnérabilités non corrigées. L’EDR va demander un investissement beaucoup plus élevé aux équipes pour avoir un niveau de réponse efficace. Cela implique que l’entreprise a un niveau de maturité suffisamment élevé pour pouvoir le faire et réellement tirer profit des capacités d’un EDR, notamment en termes d’organisation et de cloisonnement des différentes divisions de l’entreprise. Enfin, les XDR vont ajouter une couche supplémentaire de complexité avec une capacité de s’interfacer avec d’autres composants dont les firewalls, les sondes, etc. En cela on se rapproche de fonctionnalités que l’on retrouve dans un SOC. »
Jean-Sylvain Chavanne
RSSI au CHRU de Brest
« Selon moi, les AV restent pertinents et permettent d’évacuer une bonne partie de la menace de logiciels malveillants. Les EDR sont complémentaires car ils permettent de détecter des comportements et de faire des investigations pour lever les événements de sécurité (et éventuellement les transformer en incident de sécurité). Aujourd’hui, les éditeurs d’antivirus développent leurs offres en intégrant les EDR. Mais l’action d’un antivirus, c’està-dire faire une corrélation entre une base de signature et l’en-tête d’un fichier, reste indispensable. Si l’EDR fait cette action, alors on peut se passer de l’antivirus «classique». Pour moi, c’est davantage une question de sémantique et de marketing. La question est de savoir quelles sont les actions réalisées par chaque logiciel de sécurité, que ce soient des EDR, des antivirus, etc. Ce que j’apprécie chez les EDR, c’est aussi le volet détection ainsi que leur capacité de recherche qu’ils offrent pour trouver des indicateurs de compromission sur les postes, ce qui n’est pas possible avec les antivirus.»
Clément Desrosiers
RSSI chez Lidl France
« Les antivirus ne sont plus pertinents depuis longtemps du fait de la constante augmentation du nombre de malwares développés, bien souvent générés des IA capables d’adapter constamment le code et les signatures. Cependant, je ne pense pas qu’il faille s’en passer et c’est un complément aux nouveaux types d’antivirus, car il faut à la fois traiter les problèmes passés, dont on dispose des signatures, mais également les problèmes futurs via l’EDR. Pour moi, il est impossible d’atteindre une sécurité à 100%, c’est une utopie, nous pouvons en revanche limiter l’impact d’une attaque pour l’entreprise et la personne. Il n’est pas possible de garantir le zéro infection. C’est possible vis-à-vis des virus connus, mais le plus souvent quand un groupe s’attaque à une entreprise les virus sont forgés pour cette attaque, donc inconnus, donc indétectables. L’affaire SolarWinds nous montre bien que même avec un haut niveau de détection, des choses restent indétectables. »
Franck Lagoutte
RSSI chez ATMB (Autoroutes et Tunnel du Mont Blanc)
« Les antivirus s’appuyant uniquement sur des bases de signatures ont démontré leurs limites notamment vis-à-vis d’attaques exploitant des vulnérabilités non publiées. Néanmoins, au sein de l’entreprise pour laquelle je travaille, nous n’avons pas pu basculer sur une solution à 100% EDR car certaines fonctionnalités couvertes par les antivirus classiques n’étaient plus prises en compte comme la gestion du firewall de poste et l’analyse des supports amovibles, par exemple. Nous avons donc fait le choix d’une solution hybride avec une solution antivirus traditionnelle disposant d’un module EDR. »
Romain Bottan
CISO de BoostAerospace
« Déployer un EDR en plus d’un antivirus classique ajoute un coût non négligeable, financièrement mais aussi sur le plan des performances. Même en 2021 les machines sont souvent à bout de souffle et la chasse aux processus gourmands est le quotidien des DSI… parfois au grand dam des RSSI… Il faut donc pour le RSSI miser sur le bon cheval, les nouvelles solutions/start-up avec des algorithmes inédits font leur place dans cette bataille où les éditeurs standard d’antivirus ne semblent pas prendre réellement à cœur ce virage. On parlait de fonction d’HIPS dans un antivirus – host information protection system – qui, une fois activé, surveillait et contrôlait toute l’activité sur système d’exploitation et des processus… avec une perte de 30 à 40% des performances du PC. Mais oui, les EDR rendent un réel service et il peut être très intéressant de ne déployer qu’un bon EDR en remplacement d’un antivirus ! »
Bechir Sebai
CEO d’ACG Cybersecurity
« La sécurité à 100% n’existe pas, de même que le risque zéro. La sécurité des postes de travail ne repose pas uniquement sur une solution antivirus ou EDR. La protection des postes de travail nécessite avant tout la mise en place d’une vraie stratégie de cybersécurité. Cela passe par la formation du personnel aux enjeux de la cybersécurité, mais aussi ne pas accorder les droits Admin aux utilisateurs pour empêcher les ramsomwares d’agir et se répandre dans le système d’information. Même les entreprises de cybersécurité se font aujourd’hui attaquer. Aucune solution ne peut se targuer d’éviter toute attaque de ransomware, c’est la raison pour laquelle les entreprises se doivent avant tout de miser sur une gouvernance de sécurité solide, déployer plusieurs briques de sécurité, éventuellement planifier cette montée en puissance sur plusieurs années pour des raisons de cours et sensibiliser les collaborateurs en continu sur le risque encouru.»
