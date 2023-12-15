Publication : 20 décembre 2023
Contributeurs : Gregg Lindemulder, Amber Forrest
Un antivirus nouvelle génération (ou NGAV) est une technologie basée sur le cloud qui utilise l’intelligence artificielle, le machine learning et l’analyse comportementale afin de protéger les terminaux contre les logiciels malveillants et autres types de cybermenaces.
Contrairement aux logiciels antivirus traditionnels, qui reposent sur une détection basée sur les signatures pour identifier les menaces déjà connues, le NGAV peut détecter les logiciels malveillants inconnus et les comportements malveillants en temps quasi réel. Il offre ainsi une méthode plus efficace pour traiter les menaces modernes telles que les ransomwares, les attaques par scripting, les logiciels malveillants sans fichier et les vulnérabilités zero-day.
Les solutions antivirus héritées tirent parti d’une base de données de signatures de logiciels malveillants et d’heuristique pour détecter les virus dans les terminaux tels que les ordinateurs de bureau, les ordinateurs portables, les tablettes et les smartphones. Ces signatures sont des chaînes de caractères dans un fichier qui indiquent la présence éventuelle d’un virus.
Cette approche rend les terminaux vulnérables aux menaces potentielles qui n'ont pas encore été identifiées et cataloguées dans la base de données des signatures. Même si les signatures sont fréquemment mises à jour, un fichier malveillant nouveau ou inconnu peut passer inaperçu.
En revanche, les solutions antivirus nouvelle génération utilisent la détection comportementale pour identifier les tactiques, techniques et procédures (TTP) associées aux cyberattaques. Les algorithmes de machine learning surveillent en permanence les événements, les processus, les fichiers et les applications pour détecter les comportements malveillants.
Si une vulnérabilité inconnue est ciblée pour la première fois dans une attaque zero-day, le NGAV peut détecter et bloquer la tentative. Le NGAV peut également prévenir les attaques sans fichier telles que celles qui exploitent Windows PowerShell et les macros de documents, ou les e-mails d’hameçonnage qui persuadent les utilisateurs de cliquer sur des liens exécutant des logiciels malveillants sans fichier.
En tant que technologie cloud, le NGAV est également plus rapide, plus facile et plus rentable à déployer et à gérer que ses homologues traditionnelles. De par sa capacité à surveiller l’activité des terminaux et à fournir une réponse immédiate aux incidents, il peut bloquer un grand nombre des vecteurs d’attaque utilisés par les pirates pour pénétrer les systèmes.
Le NGAV basé sur le cloud peut être déployé, mis à jour et géré beaucoup plus rapidement, plus facilement et requiert moins de ressources que les antivirus traditionnels. Il n’y a pas de matériel ou de logiciel supplémentaire à installer et à configurer, aucune mise à jour de signature à administrer en continu, et son impact sur les performances des terminaux est minime.
Les antivirus hérités sont uniquement capables de détecter les signatures de logiciels malveillants connues qui ont été précédemment identifiées et saisies dans une base de données. Le NGAV surveille et analyse les comportements des terminaux en temps quasi réel pour détecter et bloquer les menaces connues et inconnues, y compris les attaques zero-day.
Le NGAV offre aux équipes de sécurité la possibilité de se défendre de manière proactive contre les menaces avancées ou qui évoluent très rapidement. Au fil du temps, les algorithmes de machine learning parviennent plus efficacement à identifier les comportements normaux des terminaux et à les distinguer des comportements qui augmentent le risque de cyberattaque.
Bien que les capacités diffèrent selon les fournisseurs, la plupart des solutions NGAV offrent les fonctionnalités suivantes :
Bien qu’un NGAV soit plus efficace que les logiciels antivirus traditionnels, il n’est pas infaillible. Parfois, il peut renvoyer un faux positif ou ne pas détecter de virus. Les cybercriminels et les pirates créent et testent toujours de nouvelles méthodes pour échapper aux dernières technologies de protection antivirus.
Si les défenses du NGAV sont violées sur un terminal, les entreprises s’appuient souvent sur d’autres technologies, telles que la détection et la réponse des terminaux (EDR), la gestion unifiée des terminaux (UEM) ou la gestion des événements et des informations de sécurité (SIEM). Ces solutions de sécurité offrent une approche plus large à l’échelle du système en matière de prévention et d’atténuation des cybermenaces sur de nombreux terminaux différents.
