L'antivirus n'est pas mort, il a besoin d'aide
Les cyber-menaces deviennent de plus en plus sophistiquées. Les éditeurs de logiciels de sécurité doivent donc s'adapter et les entreprises aussi. Elles ne doivent plus se cantonner dans une attitude préventive mais passer à la détection des menaces.
L'antivirus est mort ! » La phrase choc du vice-président senior de Symantec Brian Dye, cité par The Wall Street Journal en début de semaine, a beaucoup fait jaser. En réalité, les solutions d’antivirus ont encore de beaux jours devant elles. « Un email sur 291 contient un virus. Vu le nombre d’emails reçus par les entreprises, un certain nombre de menaces sont bien bloquées » avance Arnaud Cassagne, directeur technique de la société de services Nomios. Mais les antivirus ne peuvent pas être les seuls outils qu’une entreprise utilise pour se prémunir des cyberattaques. Concrètement, un antivirus fonctionne avec une liste de signatures qui l’aident à détecter une menace. Si un fichier correspond à l’une des signatures alors il est considéré comme dangereux.
Ce système a un désavantage majeur : il nécessite de connaître le virus pour pouvoir s’en protéger. Tant qu’un virus n’a pas été répertorié, les antivirus ne le reconnaissent pas. Or « les attaquants testent leur virus avec les antivirus du marché avant de s’en servir pour être certains qu’ils ne sont pas détectés », explique Jeremy D’Hoinne, analyste chez Gartner. Dans le cas contraire, ils passent par un service commercial pour chiffrer leur virus ou le changent de manière à ce que sa signature ne soit plus reconnue. « Cela a des conséquences importantes surtout pour les entreprises qui sont ciblées par des attaques. Elles peuvent recevoir des variantes de virus et avoir du mal à les détecter. Cela concerne essentiellement les grandes entreprises ou les acteurs du secteur bancaire », ajoute Jeremy D’Hoinne. Et les méthodes des attaquants ont aussi tendance à évoluer. Certains ciblent des entreprises et des salariés en particulier avec des mails personnalisés qui attirent moins l’attention. « Ils ont un objectif unique et ne sont utilisés qu’une fois. Dans ce cas-là, l’antivirus ne voir rien, car il ne connait pas la signature » explique Arnaud Cassagne.
De la prévention à la détection
Pour résoudre le problème, de nouveaux acteurs ont fait leur apparition comme Mandiant, racheté par FireEye en début d’année, Bit9 ou encore Bromium. Ils se focalisent souvent sur une technique particulière. Les éditeurs traditionnels d’antivirus ont donc dû compléter leur offre pour vendre de nouveaux modules. C’est le message qu’a voulu faire passer Symantec. Lutter contre les attaques connues n’est plus suffisant, et l’éditeur va maintenant se concentrer sur de nouvelles techniques comme les listes blanches d’applications, l’analyse du comportement du poste ou l’exécution dans des bacs à sable (ou Sandboxing). « C’est le message que véhicule Gartner depuis déjà plusieurs années : les grandes entreprises doivent compléter leur approche préventive avec une approche de détection », assure Jeremy D’Hoinne.
L’approche préventive cherche à empêcher les attaques avant qu’elles ne se produisent. D’autres techniques détectent les attaques en train d’avoir lieu ou ayant déjà eu lieu. Utile notamment pour les campagnes virales indétectables par les antivirus. Certains outils, comme Sourcefire, surveillent le comportement des postes de travail, comme les connexions réseau effectuées, les modifications de la base de registre, etc. « Une fois infecté, le poste de travail aura une activité différente du comportement normal qui peut être détecté » explique Arnaud Cassagne.
D’autres outils exécutent les applications sensibles dans un bac à sable, comme Palo Alto ou FireEye. Les bacs à sable sont des environnements contrôlés, mais les analyses durent parfois quelques minutes, la protection ne se fait donc pas en temps réel. Au final, ces solutions ne bloquent pas non plus les attaques, mais les détectent et déclenchent un rapport d’incident qui déclenche une intervention humaine sur les postes clients. Quoi qu’il en soit, « mieux vaut savoir qu’on a subi une attaque même a posteriori plutôt que de ne pas être au courant du tout ou de l’apprendre encore plus tard » résume Arnaud Cassagne.
De la difficulté à évoluer pour les entreprises
« Aujourd’hui en France, les entreprises ne sont pas encore très bien équipées », explique Arnaud Cassagne. Le principal problème vient du fait que les entreprises n’ont pas nécessairement les budgets pour s’équiper avec des outils de nouvelle génération. « L’avantage des solutions comme celle de Symantec ou de McAfee, c’est qu’elles sont déjà présentes en entreprise. Le coût de migration d’une solution à une autre est très important pour les grands comptes. Donc, ils envisagent plus facilement de réaliser des incréments des outils déjà en place » confirme Jeremy D’Hoinne.
Et dans le cas d’une approche par détection. La remontée d’incidents nécessite des interventions humaines pour vérifier notamment si le fichier malveillant a été exécuté. « Ces solutions sont beaucoup plus coûteuses en terme humain, et sont donc complexes à mettre en place. Selon nous, les entreprises auront adopté une approche orientée détection à l’horizon 2018, 2020 » anticipe Jeremy D’Hoinne qui rappelle que dans l’absolu, « toutes les entreprises n’ont pas de risque à se faire attaquer ».