Qu'est-ce qu'un antivirus nouvelle génération (NGAV) ?
Découvrir IBM Security MaaS360
Illustration d'un labyrinthe avec une personne naviguant sur un appareil mobile, une tablette et un ordinateur portable aux couleurs bleues et violettes

Publié le 20 décembre 2021
Contributeurs : Gregg Lindemulder, Amber Forrest

Qu'est-ce qu'un NGAV ?

Un antivirus de nouvelle génération (ou NGAV) est une technologie basée sur le cloud qui utilise l'intelligence artificielle, le machine learning et l'analyse comportementale afin de protéger les terminaux contre les logiciels malveillants et autres types de cybermenaces.

Contrairement aux logiciels antivirus traditionnels, qui reposent sur une détection basée sur les signatures pour identifier les menaces déjà connues, le NGAV peut détecter les logiciels malveillants inconnus et les comportements malveillants en temps quasi réel. Il offre ainsi une méthode plus efficace pour traiter les menaces modernes telles que les ransomwares, les attaques par scripting, les malwares sans fichier et les vulnérabilités zero-day.

Contenu connexe

Abonnez-vous aux actualités thématiques IBM Security

Comment fonctionne un NGAV ?

Les solutions antivirus héritées tirent parti d'une base de données de signatures de logiciels malveillants et d'heuristique pour détecter les virus dans les terminaux tels que les ordinateurs de bureau, les ordinateurs portables, les tablettes et les smartphones. Ces signatures sont en fait des chaînes de caractères dans un fichier qui indiquent la présence éventuelle d'un virus.

Cette approche rend les terminaux vulnérables aux menaces potentielles qui n'ont pas encore été identifiées et cataloguées dans la base de données des signatures. Même si les signatures sont fréquemment mises à jour, un fichier malveillant nouveau ou inconnu peut passer inaperçu.

En revanche, les solutions antivirus nouvelle génération utilisent la détection comportementale pour identifier les tactiques, techniques et procédures associées aux cyberattaques. Les algorithmes de machine learning surveillent en permanence les événements, les processus, les fichiers et les applications pour détecter les comportements malveillants.

Si une vulnérabilité inconnue est ciblée pour la première fois dans une attaque de type "zero-day", le NGAV peut détecter et bloquer la tentative. Le NGAV peut également prévenir les attaques sans fichier telles que celles qui exploitent Windows PowerShell et les macros de documents, ou les e-mails de hameçonnage qui persuadent les utilisateurs de cliquer sur des liens exécutant des malwares sans fichier.

En tant que technologie cloud, le NGAV est également plus rapide, plus facile et plus rentable à déployer et à gérer que les solutions antivirus traditionnelles. Grâce à sa capacité à surveiller l'activité des terminaux et à fournir une réponse immédiate aux incidents, il peut bloquer un grand nombre des vecteurs d'attaque utilisés par les pirates pour pénétrer les systèmes.

Avantages du NGAV
Déploiement rapide

Le NGAV basé sur le cloud peut être déployé, mis à jour et géré beaucoup plus rapidement, plus facilement et requiert moins de ressources audiovisuelles traditionnelles. Il n'y a pas de matériel ou de logiciel supplémentaire à installer et à configurer, pas besoin d'administrer continuellement la mise à jour des signatures et peu ou pas d'impact sur les performances des terminaux.

Détection des menaces connues et inconnues

Les antivirus hérités sont uniquement capables de détecter les signatures de logiciels malveillants connues qui ont été précédemment identifiées et saisies dans une base de données. Le NGAV surveille et analyse les comportements des terminaux en temps quasi réel pour détecter et bloquer les menaces connues et inconnues, y compris les attaques zero-day.

Protection proactive

Le NGAV offre aux équipes de sécurité la possibilité de se défendre de manière proactive contre les menaces avancées ou qui évoluent très rapidement. Au fil du temps, les algorithmes d'apprentissage automatique deviennent plus efficaces pour identifier quels sont comportements normaux des terminaux et ceux qui indiquent la probabilité d'une cyberattaque.

Capacités et limites d'un NGAV

Bien que les capacités diffèrent selon les fournisseurs, la plupart des solutions NGAV offrent les fonctionnalités suivantes :

  • Algorithmes de machine learning : un NGAV peut examiner des milliers de caractéristiques de fichiers et d'activités de terminaux en temps quasi réel, et identifier les anomalies et les actions inattendues qui pourront aider à détecter et bloquer les menaces connues et inconnues.

  • Analyse comportementale :  en analysant les comportements des utilisateurs, des appareils, des applications et des systèmes, le NGAV établit des comportements de référence et identifie les comportements suspects qui indiquent une activité malveillante ou une cyberattaque en cours.

  • Renseignements sur les menaces: de nombreuses solutions NGAV peuvent intégrer les derniers renseignements sur les menaces sur les sources, les tactiques et les impacts des attaques de logiciels malveillants spécifiques, afin de les détecter et de les bloquer plus rapidement et plus efficacement.

  • Analyse prédictive: le NGAV peut transformer l'énorme quantité de données qu'il recueille en modèles prédictifs capables de détecter la présence probable de logiciels malveillants ou bien une cyberattaque potentielle avant qu'elle ne se produise, puis de prendre des mesures pour prévenir ou minimiser les dommages.

Bien qu'un NGAV soit plus efficace que les logiciels antivirus traditionnels, il n'est pas infaillible. Il peut parfois renvoyer un faux positif. Il peut également ne pas parvenir à détecter un virus. Les cybercriminels et les pirates créent et testent continuellement de nouvelles méthodes pour échapper aux dernières technologies de protection antivirus.

Si les défenses NGAV sont violées sur un terminal, les entreprises s'appuient souvent sur d'autres technologies, telles que la détection et la réponse des terminaux (EDR), la gestion unifiée des terminaux (UEM) ou la gestion des événements et des informations de sécurité (SIEM). Ces solutions de sécurité offrent une approche plus large à l'échelle du système en matière de prévention et d'atténuation des cybermenaces sur de nombreux terminaux différents.

Solutions connexes
Protection contre les menaces mobiles IBM Security MaaS360

Déployez en toute simplicité des solutions avancées de défense contre les menaces mobiles pour assurer la protection de l’ensemble de votre environnement mobile face aux cybermenaces et aux risques liés aux utilisateurs.

Découvrez la solution de défense contre les menaces mobiles MaaS360 Essayer MaaS360 gratuitement pendant 30 jours

Gestion unifiée des nœuds finaux

Inscrivez, gérez et protégez tous vos appareils professionnels et personnels, sur site et à distance, à partir d'une console unique.

Découvrir la gestion unifiée des terminaux

Détection avancée des menaces avec IBM Security QRadar SIEM

Détectez les menaces en temps quasi réel : analysez des millions d'événements à l'aide de milliers de cas d'utilisation prédéfinis, d'analyses du comportement des utilisateurs et du réseau, de données sur les vulnérabilités des applications et de X-Force Threat Intelligence.

Découvrez la détection avancée des menaces avec QRadar SIEM
Ressources Qu'est-ce que la gestion unifiée des terminaux (UEM) ?

La gestion unifiée des terminaux (UEM) permet aux équipes informatiques et de sécurité de surveiller, gérer et sécuriser toutes les unités des utilisateurs finaux sur le réseau de manière cohérente, à l'aide d'un seul outil.

Qu’est-ce que la gestion des informations et des événements de sécurité (SIEM) ?

La SIEM aide les équipes de sécurité à détecter les anomalies de comportement des utilisateurs et à utiliser l'IA pour automatiser les processus manuels associés à la détection des menaces et à la réponse aux incidents.

Qu'est-ce que la sécurité des terminaux ?

Première ligne de défense en matière de cybersécurité d’un réseau, la sécurité des terminaux protège les utilisateurs et les appareils (ordinateurs de bureau, ordinateurs portables, appareils mobiles, serveurs) contre les cyberattaques.

Passez à l’étape suivante

IBM Security MaaS360 vous permet de gérer et de protéger tous vos appareils, qu’ils soient professionnels ou personnels, sur site ou à distance, grâce à une gestion unifiée des terminaux (UEM) pilotée par l'IA, et à partir d’une console unique. Informez-vous sur MaaS360 ou planifiez une démonstration gratuite avec un expert technique IBM.

Découvrir MaaS360 Réserver une démo live