Qu'est-ce que la sécurité des terminaux ?

La sécurité des terminaux protège aussi le réseau des adversaires qui cherchent à utiliser des points de terminaison pour lancer des cyberattaques sur des données sensibles et d’autres actifs du réseau.

Les terminaux restent le principal point d’entrée des cyberattaques sur le réseau de l’entreprise. Diverses études estiment que 90 % des cyberattaques et 70 % des violations de données réussies proviennent des appareils finaux. Selon le rapport sur le coût d’une violation de données d’IBM, le coût moyen d’une violation de données s’élève à 4,44 millions de dollars.

Les entreprises doivent aujourd’hui protéger plus de terminaux, et types de terminaux, que par le passé. Les politiques Bring your own device (BYOD), la hausse du télétravail et l’explosion du nombre d’appareils IdO, d’appareils destinés aux clients et de produits connectés au réseau ont augmenté considérablement la quantité de points de terminaison que les pirates peuvent exploiter et les vulnérabilités que les équipes de sécurité doivent sécuriser.

Les logiciels antivirus, premiers logiciels de sécurité des points de terminaison, protège les terminaux contre les formes connues de logiciels malveillants comme les chevaux de Troie, les vers, les logiciels publicitaires et autres.

Les logiciels antivirus traditionnels scannaient les fichiers sur un point de terminaison pour détecter les signatures de logiciels malveillants, des séquences d’octets propres à des virus ou des logiciels malveillants connus. Le logiciel alertait l’utilisateur ou l’administrateur lorsqu’un virus était détecté, et fournissait des outils pour isoler et supprimer le virus ainsi que pour réparer les fichiers infectés.

Les logiciels antivirus actuels, souvent appelés antivirus de nouvelle génération (NGAV), peuvent identifier et combattre de nouveaux types de logiciels malveillants, y compris ceux qui ne laissent aucune signature. Par exemple, les NGAV peuvent détecter les logiciels malveillants sans fichiers, des logiciels malveillants qui résident en mémoire et injectent des scripts malveillants dans le code d’applications légitimes. Les NGAV peuvent également identifier des activités suspectes en utilisant des heuristiques, qui comparent des schémas de comportement suspects à ceux de virus connus, et en effectuant des analyses d’intégrité qui scannent les fichiers pour détecter des signes d’infection par des virus ou des logiciels malveillants.

Un logiciel antivirus peut suffire à sécuriser un nombre de points de terminaison. Tout ce qui fonctionne au-delà de cela nécessite généralement une plateforme de protection d’entreprise (EPP). Une EPP regroupe NGAV et d'autres solutions de sécurité des terminaux, comme :

• Contrôle Web : ce type de logiciel, parfois appelé filtre Web, protège les utilisateurs et votre entreprise des codes malveillants cachés dans les sites Web ou dans les fichiers téléchargés par les utilisateurs. Un logiciel de contrôle Web offre également des fonctionnalités de liste blanche et de liste noire qui permettent à une équipe de sécurité de contrôler les sites que les utilisateurs peuvent consulter.
  
  
• Classification des données et prévention des pertes de données : ces technologies déterminent où sont stockées les données sensibles, que ce soit dans le cloud ou sur site, et empêchent l’accès non autorisé à ces données ou leur divulgation.
  
  
• Pare-feux intégrés : ces pare-feu sont des dispositifs matériels ou logiciels qui protègent la sécurité du réseau en empêchant le trafic non autorisé de pénétrer ou de sortir du réseau.
  
  
• Passerelles de messagerie : ces passerelles sont des logiciels qui contrôlent les e-mails entrants pour bloquer les attaques de phishing et d’ingénierie sociale.
  
  
• Contrôle des applications : Cette technologie permet aux équipes de sécurité de surveiller et de contrôler l'installation et l'utilisation d'applications sur les appareils, et peut bloquer l'utilisation et l'exécution d'applications non sûres ou non autorisées.

Une EPP rassemble ces solutions de sécurité des points de terminaison dans une console de gestion centralisée, où les équipes de sécurité ou les administrateurs système peuvent surveiller et gérer la sécurité de tous les points de terminaison. Par exemple, une EPP peut attribuer les outils de sécurité appropriés à chaque point de terminaison, mettre à jour ou patcher ces outils selon les besoins, et administrer les politiques de sécurité de l'entreprise.

Les EPP peuvent être déployées sur site ou dans le cloud. Cependant, le cabinet d’études Gartner, qui a défini en premier la catégorie EPP pour le secteur, note que « les solutions EPP souhaitables sont principalement gérées dans le cloud, permettant la surveillance et la collecte continues des données d’activité, ainsi que la possibilité de prendre des mesures correctives à distance, que le point de terminaison soit sur le réseau de l’entreprise ou en dehors du bureau. »

Les EPP privilégient la prévention des menaces connues ou des menaces qui suivent des schémas connus. Une autre classe de solution de sécurité des points de terminaison, appelée détection et réponse des points de terminaison (EDR), permet aux équipes de sécurité de répondre aux menaces qui échappent aux outils de sécurité préventifs des points de terminaison.

Les solutions EDR (Endpoint Detection and Response ») surveillent en permanence les fichiers et les applications sur chaque appareil. Plus particulièrement, ils recherchent toute activité suspecte qui peut indiquer un logiciel malveillant, un ransomware ou une menace avancée. Un EDR collecte également en continu des données de sécurité et des données télémétriques détaillées, les stockant dans un data lake où elles peuvent être utilisées pour l’analyse en temps réel, l’investigation des causes racines, la traque des menaces, etc.

L'EDR comprend généralement des analyses avancées, des analyses comportementales, de l'intelligence artificielle (IA) et du machine learning, des capacités d'automatisation, des alertes intelligentes, ainsi que des fonctionnalités d'investigation et de résolution qui permettent aux équipes de sécurité de :

• Corréler les indicateurs de compromission (IOC) et d’autres données de sécurité des points de terminaison avec des flux de renseignements sur les menaces pour détecter les menaces avancées en temps réel.
  
  
• Recevoir des notifications d’activités suspectes ou de menaces réelles en temps réel, accompagnées de données contextuelles qui peuvent aider à cerner les causes racines et accélérer l’investigation des menaces.
  
  
• Procéder à une analyse statique (analyse de code suspect malveillant ou infecté) ou une analyse dynamique (exécution de code suspect en isolation).
  
  
• Définir des seuils pour les comportements des points de terminaison et des alertes en cas de dépassement de ces seuils.
  
  
• Automatiser les réponses, comme la déconnexion et la mise en quarantaine de dispositifs individuels ou le blocage de processus, pour limiter les dommages jusqu’à la résolution de la menace.
  
  
• Vérifier si d'autres points de terminaison sont impactés par la même cyberattaque.

De nombreux EPP plus récents ou plus avancés intègrent certaines capacités EDR, mais pour une protection complète des points de terminaison comprenant la prévention et la réponse, la plupart des entreprises devraient utiliser les deux technologies.

La détection et la réponse étendues (XDR) étendent le modèle de détection et de réponse aux menaces EDR à tous les domaines ou couches de l'infrastructure, protégeant non seulement les appareils terminaux, mais aussi les applications, les bases de données et le stockage, les réseaux et les workloads dans le cloud. En tant que service logiciel (SaaS), XDR protège les ressources sur site et dans le cloud. Certaines plateformes XDR intègrent des produits de sécurité d'un seul fournisseur ou fournisseur de services cloud, mais les meilleures permettent également aux organisations d'ajouter et d'intégrer les solutions de sécurité qu'elles préfèrent.