L’antivirus est-il obsolète ? Le contexte des menaces informatiques est en constante évolution. On voit apparaître de nouvelles tendances qui agitent le monde de la cybersécurité chaque année ! En 2018, il semble que la nouvelle tendance populaire chez les pirates soit ce que nous appelons l’attaque sans fichier (c’est-à-dire l’attaque sans fichiers).
Selon les dernières études de Gartner et Forrester, relever le défi de la sécurité des terminaux sera une pièce centrale des programmes de cybersécurité de nombreuses entreprises en 2019.
Aujourd’hui, nous vous donnons un aperçu des raisons pour lesquelles vous ne pouvez plus dépendre uniquement d’un antivirus à balayage, et des fonctionnalités que vous devriez rechercher dans votre prochain système de sécurité des points d’extrémité. Pour protéger le réseau informatique de votre entreprise, il peut également être intéressant de faire appel à ISC Solutions, entreprise informatique à Aix-en-Provence.
Table des matières
Comprendre les limites d’un antivirus
Revenons à la base : un logiciel antivirus est un élément indispensable de tout programme de cybersécurité à plusieurs niveaux. Aujourd’hui, tous les experts recommandent de ne pas allumer un ordinateur sans que ces programmes soient installés et mis à jour.
Il s’agit principalement d’applications basées sur des signatures qui fonctionnent en arrière-plan de votre ordinateur et qui vérifient chaque fichier que vous ouvrez, analysent le trafic et consultent une base de données connue de menaces et d’attaques afin de détecter toute signature suspecte. Il s’agit d’un morceau de code du virus, comparable aux empreintes digitales, qui permet de l’identifier.
Chaque virus a sa propre signature. Même si le code du virus n’est pas exactement le même, la signature peut rester. L’intérêt de l’analyse est de détecter les virus avant qu’ils ne s’exécutent. Dès que vous téléchargez un fichier sur le disque, l’analyse commence.
L’impact d’un antivirus sur les performances
Les programmes antivirus traditionnels exécutent plusieurs types d’analyses sans tenir compte de l’activité de l’utilisateur. Par exemple, ils peuvent exécuter une analyse en temps réel sur les fichiers que vous utilisez pour s’assurer qu’ils sont propres, mais cela peut prendre beaucoup de ressources de votre système et beaucoup de place sur votre disque dur. S’ils ne sont pas correctement configurés, ces programmes peuvent avoir un réel impact négatif sur la productivité et l’expérience utilisateur.
Pour cette raison, nous voyons de nombreux membres du personnel reporter les analyses ou tout simplement les désactiver et mettre en danger toute l’organisation.
Mises à jour régulières des antivirus
Bruno Roques, directeur R&D chez Wooxo résume la situation :
« Les anti-virus actuels sont régulièrement mis à jour pour intégrer les patchs de correction suite aux attaques identifiées par les centrales, mais encore faut-il télécharger les mises à jour sur chacun des postes et tous les employés ne le font pas… »
Même si vous mettez régulièrement à jour vos logiciels, il est impossible pour les fournisseurs de produire une liste interminable de nouveaux logiciels malveillants et d’attaques. Les méchants sont créatifs et trouveront toujours un moyen de créer de toutes nouvelles façons de pénétrer dans votre système.
Analyses basées sur des signatures
Les antivirus et les anti logiciels malveillants sont principalement des applications basées sur des signatures. C’était suffisant il y a quelques années, mais la situation a changé, et cela pose désormais de sérieux problèmes : vos programmes recherchent des « empreintes digitales » qu’ils reconnaîtraient dans leur base de données et identifient des modèles communs dans le code du logiciel malveillant, ce qui signifie que leur action est limitée à ce qu’ils savent déjà.
Lorsqu’il s’agit d’un virus polymorphe ou métamorphe – un virus qui modifie une partie ou la totalité de son code au cours de sa réplication – aucun antivirus d’analyse ne sera en mesure de l’identifier par une signature. Par exemple, les célèbres ransomwares « Wannacry » et « Petya » étaient des virus polymorphes et métamorphes exploitant des vulnérabilités de type « zero-day ». Il s’agit de vulnérabilités non identifiées par les développeurs du produit, mais qui « attendent » d’être exploitées par des pirates avant d’être corrigées. Votre antivirus d’analyse ne vous en empêchera pas non plus.
Les attaques sans fichier : un antivirus obsolète
Pas de fichier, pas de notification de l’antivirus classique, pas d’analyse et pas de protection !
Elles existaient déjà depuis de nombreuses années mais semblent avoir gagné en popularité depuis 2017 : selon le Ponemon Institute, 77% des attaques enregistrées l’année dernière étaient sans fichier. Ces attaques exploitent des programmes légitimes et nativement installés (comme Power Shell ou Windows Management Instrumentation) qui peuvent exécuter des tâches de la console de contrôle directement depuis la RAM de l’appareil.
5 caractéristiques clés que toute organisation devrait exiger pour son prochain antivirus
Protection contre les attaques de type « zero-day » (ZDP)
La prévention des attaques de type « zero-day » nécessite un logiciel de sécurité multicouche efficace qui examine en profondeur votre système lorsque cela est nécessaire. Il existe désormais des moteurs dédiés à l’identification des exploits Zero-day. Ils sont basés sur des techniques de détection hybrides utilisant des algorithmes statistiques et comportementaux. Ils examinent en détail vos programmes en cours d’exécution pour trouver toute action suspecte qui pourrait être liée à un exploit zero-day.
Analyse statique
Comme les logiciels malveillants se cachent toujours dans les fichiers et les dossiers, l’analyse statique est une fonction obligatoire qui analyse les fichiers avant leur exécution, identifie le niveau de menace et les bloque en cas de risque élevé. L’avantage de l’analyse statique réside dans le fait qu’elle vérifie également les fichiers au repos qui ne sont souvent pas considérés comme une menace par les antivirus classiques et qu’elle permet donc de détecter un malware avant son exécution.
L’émulateur d’environnement (Sandbox)
Une autre approche pour gérer les changements de signature consiste à employer un émulateur d’environnement, ou sandbox. Il s’agit d’un environnement virtuel utilisé pour isoler et exécuter des programmes suspects afin de détecter tout comportement erroné et de les bloquer. Un émulateur seul ne suffira pas à vous fournir un niveau de sécurité suffisant, mais couplé à une sécurité prédictive, comme l’apprentissage automatique, il augmentera considérablement votre protection.
Analyse en condition réelle (Host Intrusion Prevention)
Ce moteur va analyser les programmes en cours d’exécution et détecter les comportements suspects, notamment lors de l’accès aux serveurs. Cette fonctionnalité est très utile contre les attaques sans fichier : par exemple, la visite d’un site web, l’utilisation d’une macro Microsoft Word ou l’exécution de PowerShell sont légitimes, mais leur activation simultanée peut résulter d’une attaque de phishing amenant l’utilisateur sur un site web malveillant. Le moteur peut donc se rendre compte qu’il ne s’agit pas d’une situation de fonctionnement normale et bloquer les programmes concernés.
Les moteurs d’apprentissage automatique
L’apprentissage automatique est une branche de l’intelligence artificielle permettant aux machines d’apprendre en leur donnant une grande quantité de données à traiter. Alors que toutes les fonctionnalités mentionnées précédemment protégeront votre système à un niveau acceptable, l’apprentissage automatique apprendra et extraira les caractéristiques comportementales utiles pour détecter les actes malveillants. Il crée une logique de détection appliquée aux programmes en cours d’exécution. Cet apprentissage permanent est ce qui permet au moteur de détecter les menaces encore inconnues !
L’analyse des antivirus reste un élément obligatoire de la sécurité de votre entreprise, mais elle ne peut plus se limiter à cette seule caractéristique. Elle ne devrait être qu’une des caractéristiques que vous cherchez à obtenir lors de l’établissement de votre stratégie de cybersécurité. Et à côté de l’aspect préventif, ne négligez jamais une protection curative forte telle qu’un plan de sauvegarde et de récupération.
