Qu'est-ce que la sécurité des noeuds finaux ?

Découvrez comment les solutions de sécurité des terminaux protègent les appareils, les utilisateurs et les organisations contre les cyberattaques de plus en plus sophistiquées

Illustration isométrique du bouclier de sécurité et des points de terminaison d'entreprise
Qu'est-ce que la sécurité des noeuds finaux ?

La sécurité des terminaux, la première ligne de défense critique d'un réseau en matière de cybersécurité, protège les utilisateurs finaux et les terminaux (ordinateurs de bureau, ordinateurs portables, appareils mobiles, serveurs)  contre les cyberattaques. La sécurité des terminaux protège également le réseau contre les adversaires qui tentent d'utiliser des terminaux pour lancer des cyberattaques sur des données sensibles et d'autres actifs sur le réseau.

Les terminaux restent le principal point d'entrée du réseau d'entreprise pour les cyberattaques. Diverses études estiment que jusqu'à 90 % des cyberattaques réussies et jusqu'à 70 % des violations de données réussies proviennent des terminaux. Selon le Rapport IBM Security® sur le coût d'une violation de données 2021, la violation de données coûte en moyennes aux entreprises 4,24 millions de dollars américains.

Aujourd'hui, les entreprises doivent protéger plus de terminaux et plus de types de terminaux qu'auparavant. Les politiques d'apport de votre propre appareil (BYOD), l'augmentation du travail à distance et le nombre croissant d'appareils IdO, d'appareils destinés aux clients et de produits connectés au réseau ont multiplié les terminaux que les pirates peuvent exploiter et les vulnérabilités que les équipes de sécurité doivent sécuriser.


Logiciel antivirus

Logiciel de sécurité des terminaux d'origine, le logiciel antivirus protège les terminaux contre les formes connues de logiciels malveillants - chevaux de Troie, vers, logiciels publicitaires, etc.

Les logiciel antivirus traditionnels analysaient les fichiers sur une unité de noeud final à la recherche de signatures de logiciel malveillant - chaînes d'octets caractéristique de virus connus ou logiciel malveillant.  Le logiciel alertait l'utilisateur ou l'administrateur lorsqu'un virus était détecté et fournissait des outils pour isoler et supprimer le virus et réparer les fichiers infectés.

Les logiciels antivirus d'aujourd'hui, souvent appelés antivirus de nouvelle génération (NGAV), peuvent identifier et combattre les nouveaux types de logiciels malveillants, y compris les logiciels malveillants qui ne laissent aucune signature. Par exemple, NGAV peut détecter les logiciels malveillants sans fichier, c'est-à-dire les logiciels malveillants qui résident en mémoire et injectent des scripts malveillants dans le code des applications légitimes. NGAV peut également identifier les activités suspectes à l'aide d'heuristiques, qui comparent les comportements suspects à ceux de virus connus, et l'analyse d'intégrité, qui analyse les fichiers à la recherche de signes d'infection par un virus ou un programme malveillant.


Plateformes de verrouillage des terminaux (EPP)

Un logiciel antivirus seul peut être suffisant pour sécuriser une poignée de terminaux. Tout ce qui va au-delà nécessite généralement une plate-forme de protection d'entreprise, ou EPP. Un EPP combine NGAV avec d'autres solutions de sécurité des terminaux, notamment :

  • Contrôle Web : parfois appelé filtre Web, ce logiciel protège les utilisateurs et votre organisation contre les codes malveillants cachés dans les sites Web ou dans les fichiers téléchargés par les utilisateurs. Le logiciel de contrôle Web comprend également des fonctionnalités de liste blanche et de liste noire qui permettent à une équipe de sécurité de contrôler les sites que les utilisateurs peuvent visiter.
  • Classification des données et prévention des pertes de données : ces technologies documentent l'endroit où les données sensibles sont stockées, que ce soit dans le cloud ou sur site, et empêchent l'accès non autorisé à ces données ou leur divulgation.
  • Pare-feu intégrés : ces pare-feu sont des matériels ou des logiciels qui renforcent la sécurité du réseau en empêchant le trafic non autorisé d'entrer et de sortir du réseau.
  • Passerelles de messagerie : ces passerelles sont des logiciels qui filtrent les e-mails entrants pour bloquer les attaques de phishing et d'ingénierie sociale.
  • Contrôle des applications : cette technologie permet aux équipes de sécurité de surveiller et de contrôler l'installation et l'utilisation des applications sur les appareils et peut bloquer l'utilisation et l'exécution d'applications dangereuses ou non autorisées.

Un EPP intègre ces solutions de terminaux dans une console de gestion centrale, où les équipes de sécurité ou les administrateurs système peuvent surveiller et gérer la sécurité de tous les terminaux. Par exemple, un EPP peut attribuer les outils de sécurité appropriés à chaque terminal, mettre à jour ou corriger ces outils selon les besoins et administrer les politiques de sécurité de l'entreprise.

Les EPP peuvent être sur site ou basés sur le cloud. Mais l'analyste du secteur Gartner  (le lien réside en dehors d'ibm.com), qui a d'abord défini la catégorie EPP, note que "les solutions EPP souhaitables sont principalement gérées dans le cloud, permettant la surveillance et la collecte continues des données d'activité, ainsi que la possibilité de prendre des mesures correctives à distance" que le terminal se trouve sur le réseau de l'entreprise ou à l'extérieur du bureau."

 


Détection et réponse des terminaux (EDR)

Les EPP se sont concentrés sur la prévention des menaces connues ou des menaces qui se comportent de manière connue. Une autre classe de solutions de sécurité des terminaux, appelée détection et réponse des terminaux (EDR), permet aux équipes de sécurité de répondre aux menaces qui contournent les outils préventifs de sécurité des terminaux. 

Les solutions EDR surveillent en permanence les fichiers et les applications qui pénètrent dans chaque appareil, recherchant les activités suspectes ou malveillantes qui indiquent des logiciels malveillants, des rançongiciels ou des menaces avancées. EDR collecte également en continu des données de sécurité détaillées et la télémétrie, en les stockant dans un lac de données où elles peuvent être utilisées pour une analyse en temps réel, une enquête sur les causes profondes, la chasse aux menaces, etc.

L'EDR comprend généralement des analyses avancées, une analyse comportementale, l'intelligence artificielle (IA) et l'apprentissage automatique, des capacités d'automatisation, des alertes intelligentes et des fonctionnalités d'investigation et de correction qui permettent aux équipes de sécurité de :

  • Corrélez les indicateurs de compromission (IOC) et d'autres données de sécurité des terminaux avec des flux de renseignements sur les menaces pour détecter les menaces avancées en temps réel
  • Recevez des notifications d'activité suspecte ou de menaces réelles en temps réel, ainsi que des données contextuelles qui peuvent aider à isoler les causes profondes et à accélérer l'investigation des menaces 
  • Effectuer une analyse statique (analyse de code malveillant ou infecté suspecté) ou une analyse dynamique (exécution de code suspect isolément)
  • Définir des seuils pour les comportements des terminaux et des alertes lorsque ces seuils sont dépassés
  • Automatisez les réponses, telles que la déconnexion et la mise en quarantaine d'appareils individuels, ou le blocage de processus, pour atténuer les dommages jusqu'à ce que la menace puisse être résolue
  • Déterminez si d'autres autre point de terminaison sont touchés par la même cyberattaque.

De nombreux EPP plus récents ou plus avancés incluent certaines fonctionnalités EDR, mais pour une protection complète des terminaux englobant la prévention et la réponse, la plupart des entreprises doivent utiliser les deux technologies.


Détection et réponse étendues (XDR)

La détection et la réponse étendues, ou XDR, étendent le modèle de détection et de réponse aux menaces EDR à toutes les zones ou couches de l'infrastructure, protégeant non seulement les terminaux, mais aussi les applications, les bases de données et le stockage, les réseaux et les charges de travail cloud. En tant qu'offre de logiciel en tant que service (SaaS), XDR protège les ressources sur site et dans le cloud. Certaines plates-formes XDR intègrent des produits de sécurité d'un seul fournisseur ou fournisseur de services cloud, mais les meilleures permettent également aux organisations d'ajouter et d'intégrer les solutions de sécurité qu'elles préfèrent.


Solutions connexes

Rubriques de sécurité