Entre un antivirus et un Endpoint Detection and Response, lequel choisir ?

24 janvier 2022

L’antivirus est une application utilisée depuis de nombreuses années pour protéger autant les PC que les appareils mobiles contre les virus informatiques. Il excelle dans la détection et la mise en quarantaine des virus et autres logiciels malveillants de manière locale et isolée.

Cependant, le réseau d’une entreprise est très vaste, s’étendant jusqu’à la flotte de smartphones et même des objets connectés. De plus, les cybercriminels peuvent cibler des terminaux à distance sans utiliser un fichier, une technique indétectable par un antivirus traditionnel. C’est là qu’intervient l’EDR (Endpoint Detection and Response) piloté par un fournisseur de service managé. Il s’agit d’un outil embarquant une plateforme de supervision, une intelligence artificielle et un système d’apprentissage automatique capable de couvrir tout le parc informatique d’une entreprise, y compris ses appareils mobiles.

L’antivirus vient-il d’atteindre ses limites ? L’EDR managé va-t-il le supplanter ? Tour d’horizon comparatif des deux solutions.

I. Les points forts de l’EDR managé

Une solution EDR managé se concentre sur la protection des terminaux. Elle est capable de détecter toutes sortes de menaces bien au-delà des virus informatiques et des logiciels malveillants.

1. Un agent de détection proactif

L’EDR managé offre une protection contre les menaces connues et inconnues. Au lieu d’analyser des fichiers comme le ferait un antivirus traditionnel, il utilise l’intelligence artificielle (IA) pour détecter les menaces potentielles. Il est ainsi capable d’identifier les comportements suspects et de les traiter avant qu’ils ne représentent un danger pour tout le système d’information. Grâce à l’apprentissage automatique intégré, l’EDR managé est capable de corréler les données des terminaux et de bloquer l’attaque en redescendant l’information aux autres terminaux.

2. Une barrière efficace contre les menaces persistantes

Les cybercriminels peuvent attaquer des terminaux sans utiliser un fichier. Un port RDP (Remote Desktop Protocol) [1] ouvert constitue un point d’entrée qu’ils peuvent utiliser pour s’infiltrer en tant qu’administrateur. Ils peuvent rester cachés longtemps et apporter des modifications au niveau des systèmes. Lorsque la cyberattaque est détectée, il est souvent déjà trop tard.

Un antivirus traditionnel est incapable de bloquer ce type de cyberattaque. En revanche, un EDR (EndPoint Detection and Response) peut signaler tout comportement inhabituel et alerter l’administrateur pour lui permettre d’agir.
Là où l’efficacité des antivirus est insuffisante, l’EDR managé représente la principale solution technologique adaptée face aux menaces avancées et persistantes sur les terminaux.

3. Un scénario visuel pour remonter jusqu’à l’origine de la faille

Un EDR peut être considéré tel un analyste SOC (Security Operations Center) [2]. Il est capable d’établir une visualisation de la séquence complète d’une cyberattaque. Il fournit toutes les informations nécessaires sur le processus à l’origine de la faille informatique, mais aussi comment l’attaque s’est reproduite et propagée à travers le réseau.

Grâce à ces informations, l’ administrateur système est dans la capacité d’adapter les processus et les contrôles de sécurité pour éviter que le problème ne se reproduise. Dans le cas d’un ransomware, vous pouvez restaurer un point de terminaison à son dernier état fonctionnel directement à partir de la solution EDR managé.

II. Les avantages de l’antivirus

Malgré les avantages offerts par l’EDR managé, l’antivirus possède également des qualités qui lui sont propres. C’est la protection courante utilisée depuis de nombreuses années. Il est facile à déployer et la plupart des utilisateurs savent comment il fonctionne.

De nouvelles menaces sont développées quotidiennement par les cybercriminels. L’efficacité d’un programme antivirus va dépendre en grande partie de la réactivité du fournisseur et des utilisateurs finaux par rapport à la mise à jour de leur base de données virale. Beaucoup de fournisseurs offrent encore une excellente couverture capable de venir à bout de nombreuses menaces.

Là où l’antivirus garde également un avantage par rapport à l’EDR, c’est au niveau du coût. En effet, le prix par utilisateur est moins cher pour un antivirus. Cependant, investir dans un EDR managé peut valoir la peine étant donné les coûts et les dégâts que pourrait occasionner une cyberattaque ou une violation de données.

Conclusion

Dans le cadre d’une stratégie de cybersécurité dédiée aux entreprises, il est essentiel de se donner les moyens de sécuriser durablement le système d’information. Il y va de la sécurité des données et du respect légal de la RGPD. L’EDR managé représente une solution indispensable pour préserver l’infrastructure informatique d’une entreprise. Infiny Link intègre les solutions ESET Endpoint Detection and Response dans ses offres pour assurer la cybersécurité des PME en temps réel 24h/24 et 7j/7. Dès qu’un comportement inhabituel est détecté par la console EDR centralisée, une équipe dédiée chez Infiny Link est en mesure d’identifier immédiatement combien de postes sont touchés et d’en remonter la piste.

 

Références

[1] Remote Desktop Protocol

[2] Security operations center