Nous suivre Industrie Techno

Cybersécurité : les logiciels de détection d'attaque EDR au coeur du partenariat entre Eset et Thales

Kevin Poireault

Sujets relatifs :

, ,
Soyez le premier à réagir

Soyez le premier à réagir

Cybersécurité : les logiciels de détection d'attaque EDR au coeur du partenariat entre Eset et Thales

Contrairement à d'autres acteurs cyber, pure-players de l'EDR, Eset considère que ce nouvel outil ne remplace pas l'antivirus mais le complète.

Eset, acteur historique du logiciel antivirus, a annoncé ce 20 juin 2019, un partenariat avec Thales. L’occasion pour l’entreprise de cybersécurité d’accéder aux clients du géant français afin de leur vendre une nouvelle solution logicielle de détection des attaques, l’Endpoint Detection and Response (EDR).

«  Aujourd’hui, une attaque informatique ne repose plus forcément sur un fichier malveillant » , lance Benoit Grunemwald, directeur des opération d’Eset France. Lors de la première édition des Security Days, organisée à l’hôtel Marriott, à Paris, le 20 juin 2019, l’un des pionniers de l’antivirus a présenté le retour d’expérience de trois de ses nouveaux clients (la Cnil, la gendarmerie nationale et Spie Batignolles). L’occasion d’afficher le virage de l’entreprise vers l’offre de logiciels Endpoint Detection and Response (EDR).

Un EDR permet de détecter les menaces de cyberattaques. Peu de différence avec un antivirus, au premier abord. Pourtant, leur fonctionnement est bien différent. Un antivirus traque, dans l’ensemble du système d'information d’une entreprise, les menaces de manière automatisée en identifiant la signature de logiciels malveillants identifiés au préalable par l’éditeur. L’agent de l’EDR, installé directement sur un ordinateur ou un serveur, va plus loin : « Il reçoit l’intégralité des événements de la machine et analyse les comportements de tous les fichiers et logiciels », explique Benoit Grunemwald.

Particulièrement efficace contre les attaques ciblées

Le moteur au coeur de l’EDR vendu par Eset, baptisé Augur, est administré par 200 personnes et constitué de six algorithmes de machine learning. Il s’agit d’identifier le « génome d’une menace », selon l’Eset, c’est-à-dire caractériser les fichiers malveillants non pas en regardant leur nature (commandes suspectes dans le code source) comme le fait un antivirus mais en scrutant comment il agit et qui l’utilise.

Un EDR est particulièrement utile pour détecter des attaques ciblées, qui visent l’exfiltration de données ou le vol d’argent, par exemple, pendant lesquelles l’agent malveillant est généralement activé au tout dernier moment et donc indétectable par un antivirus.

Lorsque ses experts ont décortiqué l’attaque qu’avait subi un de ses clients, victime du groupe APT (Advanced Persistent Threat, nom donné aux attaques ciblées) Winnti Umbrella, Eset a remarqué, par exemple, que les hackers utilisaient un programme de minage de la crypto-monnaie Monero. Pas malveillant en soi, ce logiciel visait néanmoins à utiliser contre leur gré la puissance de calcul des victimes, principalement des éditeurs de jeux vidéo, pour gagner de l’argent.

Plus de 250 règles de détection, établies grâce au "Wikipedia des attaques"

Autre différence : le client a la main pour modifier son EDR. Mis à part les mises à jour effectuées par l’éditeur, un antivirus est livré en version finale, le client ne peut plus y toucher une fois installé. Dans le cas d’un EDR, le client peut faire évoluer, lui-même ou via un tiers selon son niveau de maturité en matière de sécurité informatique, la solution de cyberdéfense.

La solution EDR d’Eset fonctionne avec plus de 250 règles établies à partir de scénarios d’attaques répertoriées notamment grâce à MITRE ATT&CK, une base de données des cyberattaques gérée par un consortium de loi 1901 et modifiable par tous. Le « Wikipedia des attaques informatiques», l’a baptisé Benoît Grunemwald. Le client peut choisir d’installer dans son entreprise le nombre de règles qu’il souhaite et même en ajouter, à partir du retour d’expérience qu’un de ses confrères lui a partagé, par exemple.

Un marché en plein boom

« Nous n’en sommes qu’aux balbutiements du déploiement des EDR », précise Benoit Grunemwald. Mais la progression du marché est rapide : les EDR ont généré plus de deux fois plus de revenus en 2016 (640 millions de dollars) qu’en 2015 (238 millions de dollars), selon une étude du cabinet Gartner réalisée en 2017. Ils devraient atteindre les 1 540 millions de dollars en 2020.

« Chez Eset, nous avons commencé l’expérience il y a trois ans et nous sommes toujours en phase d’apprentissage, admet Benoit Grunemwald. Le partenariat avec Thales va nous permettre d’effectuer un bond énorme. » Et le directeur technique de glisser que l’entreprise cyber est sur le point de signer quatre autres contrats avec « des entreprises de services du numérique (ESN) de l’envergure de Thales ».
 

Bienvenue !

Vous êtes désormais inscrits. Vous recevrez prochainement notre newsletter hebdomadaire Industrie & Technologies

Nous vous recommandons

Les sondes de cybersécurité industrielle gagnent du terrain

Dossiers

Les sondes de cybersécurité industrielle gagnent du terrain

Ces outils repèrent les vulnérabilités et les anomalies dans le fonctionnement des équipements du réseau[…]

L'automate programmable se blinde contre les cyberattaques

Dossiers

L'automate programmable se blinde contre les cyberattaques

Usine 4.0 : faire face aux menaces

Dossiers

Usine 4.0 : faire face aux menaces

Smart-city, cyber-sécurité, neuro-morphique… les meilleures innovations de la semaine

Smart-city, cyber-sécurité, neuro-morphique… les meilleures innovations de la semaine

Plus d'articles