Qu’est-ce que la sécurité des endpoints ?

La sécurité des endpoints, ou protection des endpoints, est l’approche de cybersécurité qui vise à protéger les endpoints (ordinateurs de bureau, ordinateurs portables, terminaux mobiles, etc.) contre les activités malveillantes.

Selon Gartner, une plateforme de protection des endpoints (EPP) est une solution déployée pour « prévenir les attaques de logiciels malveillants s’appuyant sur des fichiers, détecter les activités malveillantes et fournir les fonctionnalités d’investigation et de correction indispensables pour répondre aux incidents et aux alertes de sécurité dynamiques. »

Qu’est-ce qu’un endpoint ?

Un endpoint désigne tout type de terminal qui se connecte au réseau de l’entreprise depuis l’extérieur de son pare-feu. En voici quelques exemples :

• Ordinateurs portables
• Tablettes
• Terminaux mobiles
• Terminaux IoT (Internet des objets)
• Systèmes de point de vente
• Commutateurs
• Imprimantes numériques
• Autres terminaux communiquant avec le réseau central

Intérêt de la sécurité des endpoints

Une stratégie de sécurité des endpoints est essentielle. En effet, tout endpoint distant peut servir de point d’entrée à une cyberattaque. Or, avec l’essor du télétravail sur fond de pandémie, les endpoints se sont multipliés. Selon un sondage de Gallup, une majorité d’Américains ont pratiqué le télétravail en 2020. En avril 2021, ils étaient encore 51 % dans le cas. Les risques posés par les endpoints et les données sensibles qu’ils renferment présentent donc un défi qui n’est pas près de disparaître.

Le paysage des endpoints est en constante évolution et, quelle que soit leur taille, les entreprises constituent des cibles de choix pour les cyberattaques. C’est de notoriété publique, et même les petites entreprises en sont conscientes. Selon une étude menée par ConnectWise en 2020, sur 700 décideurs de PME interrogés, 77 % redoutaient d’être la cible d’une attaque dans les six mois.

L’an dernier, l’Internet Crime Report du FBI faisait état d’une augmentation de 300 000 plaintes par rapport à 2019, pour des pertes déclarées dépassant 4,2 milliards de dollars. D’après le rapport d’enquête 2021 sur les compromissions de données de Verizon, « au vu de la prévalence des applications web et des services de messagerie impliqués dans les incidents, les serveurs restent de loin la principale ressource visée. Tandis que l’ingénierie sociale continue de piéger des personnes (ces attaques sont désormais passées outre les terminaux des utilisateurs), les e-mails de phishing et les sites web distribuant des logiciels malveillants à des fins de fraude ou d’espionnage tendent à s’imposer ».

Chaque compromission de données coûte en moyenne 3,86 millions de dollars à la collectivité. Aux États-Unis, les pertes ont atteint en moyenne 8,65 millions de dollars par compromission de données selon le rapport « Cost of a Data Breach Report 2020 » du Ponemon Institute (commandé par IBM). L’étude a révélé que la principale répercussion financière était le « manque à gagner », qui représente près de 40 % du coût moyen d’une compromission de données.

Protéger les endpoints contre les attaques est une gageure, sachant que les endpoints sont à la jonction entre l’humain et la machine. Les entreprises peinent à protéger leurs systèmes sans nuire aux activités légitimes de leurs employés. Les solutions technologiques sont parfois très efficaces. Néanmoins, s’il est possible d’atténuer le risque qu’un employé se laisse piéger par une attaque d’ingénierie sociale, le risque zéro n’existe pas.

Fonctionnement de la protection des endpoints

Les termes « protection des endpoints », « plateformes de protection des endpoints (EPP) » et « sécurité des endpoints » sont souvent utilisés de manière interchangeable pour décrire les solutions de sécurité gérées de manière centralisée qui sont déployées par les entreprises pour protéger les endpoints, tels que les serveurs, les postes de travail, les terminaux mobiles et les workloads, contre les cybermenaces. Les solutions de protection des endpoints analysent les fichiers, les processus et l’activité système pour y débusquer des indicateurs d’actes suspects ou malveillants.

Les solutions de protection des endpoints intègrent une console de gestion centralisée, que les administrateurs peuvent utiliser pour se connecter au réseau de leur entreprise à des fins de surveillance, de protection, d’investigation et d’intervention en cas d’incident. Pour ce faire, ils ont le choix entre une approche sur site, hybride ou dans le cloud.

L’approche « classique » consiste à définir un niveau de sécurité sur site, tributaire d’un centre de données hébergé localement pour assurer la sécurité. Ce centre de données constitue la plaque tournante de la console de gestion, qui peut ainsi, par l’entremise d’un agent, atteindre les endpoints et assurer leur sécurité. Ce modèle d’architecture en étoile peut aboutir à la création de silos de sécurité, étant donné que les administrateurs ne gèrent généralement que les endpoints présents au sein de leur périmètre.

Avec la généralisation du télétravail induite par la pandémie, les ordinateurs portables et les appareils personnels des employés ont remplacé les ordinateurs de bureau dans bon nombre d’entreprises. Ce phénomène, conjugué à la mondialisation de la main-d’œuvre, met en lumière les limites de l’approche sur site. Ces dernières années, certains fournisseurs de solutions de protection des endpoints sont passés à une approche « hybride » en partant d’une architecture existante et en l’enrichissant de fonctionnalités cloud.

La troisième approche est une solution « native au cloud » élaborée et pensée pour le cloud. Les administrateurs peuvent surveiller et gérer les endpoints à distance au moyen d’une console de gestion centralisée hébergée dans le cloud, qui se connecte aux terminaux distants par l’intermédiaire d’un agent installé sur l’endpoint. Cet agent peut travailler en synergie ou en toute indépendance pour assurer la sécurité de l’endpoint, même sans connexion Internet. Ces solutions tirent parti des contrôles et des politiques du cloud pour maximiser les performances de sécurité au-delà du périmètre traditionnel, en éliminant les silos et en élargissant la marge de manœuvre des administrateurs.

Logiciels de protection des endpoints et logiciels antivirus : deux concepts différents

Les logiciels de sécurité des endpoints protègent les endpoints de toute compromission, qu’ils soient physiques ou virtuels, sur site ou hors site, hébergés au sein de centres de données ou dans le cloud. Ils sont installés sur des ordinateurs portables, des ordinateurs de bureau, des serveurs, des machines virtuelles, ainsi que sur des endpoints distants.

L’antivirus fait souvent partie intégrante d’une solution de sécurité des endpoints et est généralement considéré comme l’une des formes les plus élémentaires de protection des endpoints. Au lieu de recourir à des techniques et des pratiques avancées, dont le Threat Hunting et la détection et l’intervention sur les endpoints (EDR), l’antivirus se contente de débusquer et de supprimer les virus connus et autres types de logiciels malveillants. Un antivirus traditionnel s’exécute en arrière-plan et analyse régulièrement le contenu du terminal pour y repérer des comportements répertoriés dans une base de données de signatures virales. Il est installé sur des terminaux individuels à l’intérieur et à l’extérieur du pare-feu.

Fonctionnalités de base d’une solution de protection des endpoints

Les outils de sécurité des endpoints chargés de la prévention continue des compromissions doivent intégrer les éléments essentiels suivants :

1. Prévention : antivirus de nouvelle génération

Les antivirus traditionnels détectent moins de la moitié des attaques. Ils procèdent en comparant des signatures malveillantes, ou fragments de code, à une base de données mise à jour par des contributeurs chaque fois qu’une nouvelle signature de logiciel malveillant est identifiée. Le problème est que les logiciels malveillants encore inconnus au bataillon ne figurent pas dans la base de données. Il y a donc un décalage entre le moment où un logiciel malveillant part à l’assaut de la cybersphère et celui où il est repérable par les solutions antivirus traditionnelles.

Un antivirus de nouvelle génération (NGAV) résout le problème en recourant à des technologies plus avancées de protection des endpoints, telles que l’intelligence artificielle (IA) et le Machine Learning. Il peut ainsi identifier les nouveaux logiciels malveillants en prenant plus d’éléments en compte, notamment les hachages de fichiers, les URL et les adresses IP.

2. Détection : EDR

La prévention ne suffit pas. Aucun rempart n’est imprenable. Certaines attaques parviendront toujours à passer entre les mailles du filet et à s’immiscer dans le réseau. Comme ce genre d’incident échappe aux solutions de sécurité classiques, les cyberattaquants peuvent disparaître des radars pendant des jours, des semaines, voire des mois. Les entreprises doivent mettre un terme à ces « défaillances silencieuses » en débusquant et en éliminant rapidement les cyberattaquants.

Pour ce faire, une solution de détection et d’intervention sur les endpoints (EDR) doit offrir une visibilité permanente et totale sur ce qui se trame sur les endpoints en temps réel. Les entreprises doivent opter pour des solutions dotées de fonctionnalités avancées de détection des cybermenaces, d’investigation et d’intervention, notamment de recherche et d’investigation des données d’incidents, de tri des alertes, de validation des activités suspectes, de Threat Hunting, ainsi que de détection et de confinement des activités malveillantes.

3. Threat Hunting managé

L’automatisation seule ne suffit pas à repérer toutes les attaques. Le savoir-faire des spécialistes de la sécurité est essentiel à l’heure de détecter les attaques sophistiquées orchestrées de nos jours.

Le Threat Hunting managé est confié à des équipes d’élite, qui tirent des enseignements des incidents passés, rassemblent des données collaboratives et dispensent des conseils sur la meilleure parade face à une activité malveillante.

4. Intégration de la cyberveille

Pour garder une longueur d’avance sur les cyberattaquants, les entreprises doivent comprendre les menaces au fur et à mesure de leur évolution. La rapidité et la furtivité sont l’apanage des cyberadversaires chevronnés et des menaces persistantes avancées (APT). Les équipes de sécurité ont donc besoin de renseignements actualisés et précis pour assurer un ajustement précis et automatique des défenses.

Une solution d’intégration de la cyberveille doit être automatisée pour pouvoir examiner tous les incidents et en prendre connaissance en quelques minutes, et non en plusieurs heures. Elle doit pouvoir générer des indicateurs de compromission directement à partir des endpoints pour permettre une défense proactive contre les futures attaques. Elle doit également intégrer un élément humain, avec la présence de chercheurs experts en sécurité, d’analystes des menaces, d’experts culturels et de linguistes capables de comprendre les menaces émergentes dans divers contextes.

L’importance de l’architecture cloud

1. Agent léger unique

Ce n’est pas parce que la protection des endpoints est un problème complexe que la solution doit l’être aussi. L’approche la plus efficace consiste à utiliser un agent léger unique pouvant être déployé immédiatement et adapté rapidement sans impact sur les performances de l’endpoint.

2. Machine Learning

La solution doit intégrer le Machine Learning afin d’enregistrer les nouvelles attaques et d’en tirer des enseignements. C’est la clé d’une cyberveille collaborative sur les techniques d’attaque à grande échelle et en temps réel.

3. Gestion optimisée

La sécurité des endpoints basée sur le cloud allège les frais généraux de gestion à plusieurs égards. Par exemple, la mise à niveau d’une solution traditionnelle est tributaire du calendrier du fournisseur. Or il faut parfois attendre un an.

Pendant ce temps, les cyberattaquants en profitent pour peaufiner leurs techniques, si bien qu’une fois la mise à niveau enfin déployée sur les systèmes clients, elle est déjà obsolète. Les plateformes cloud sont mises à jour en temps réel et leurs algorithmes sont ajustés en permanence. La version utilisée est donc toujours la plus récente.

4. Protection des systèmes connectés ou non au réseau

Avec le télétravail, la virtualisation et le cloud, les ressources ne sont pas toujours directement reliées au réseau d’entreprise. Il est donc plus important que jamais de déployer une solution complète pour endpoints capable de détecter les menaces même lorsque le terminal est hors réseau ou hors ligne. Sans une visibilité totale sur les terminaux connectés ou non au réseau, vos défenses seront constellées d’angles morts, de sorte que les cyberadversaires auront tout le loisir de passer sous le radar.

L’architecture cloud de CrowdStrike assure une visibilité constante sur les vulnérabilités des endpoints, sans avoir recours à des analyses du réseau ou des hôtes qui surchargent les systèmes. Qu’il soit connecté ou non au réseau, sur site, hors site ou dans le cloud, le capteur léger Falcon traite les données et prend des décisions au niveau de l’endpoint. En appliquant le Machine Learning sur l’hôte local, l’agent peut le protéger des logiciels malveillants connus, des exploits zero day et du blocage du hachage.

5. Garder à l’œil les cyberadversaires

Les cyberattaquants d’aujourd’hui sont professionnels et ont des moyens. Ils vont jusqu’à acheter des solutions traditionnelles de sécurité des endpoints et à les installer dans des environnements fictifs pour apprendre à contourner leurs défenses.

Mais face à une solution construite sur une architecture cloud, ils sont pris à leur propre jeu. Même en achetant et en installant les capteurs d’endpoints de la solution, leurs tentatives pour craquer le système n’échapperont pas à l’éditeur de la solution. Les rôles sont inversés : ce ne sont plus les cyberattaquants qui passent la solution au crible, mais les équipes de sécurité qui percent leurs adversaires à jour.

Protection avancée des endpoints de CrowdStrike

Les entreprises veulent une détection, une prévention et une intervention rapides et en continu. Pour ce faire, une visibilité totale sur tous les endpoints est indispensable. Les entreprises doivent également pouvoir prévenir les attaques sophistiquées en temps réel et empêcher les cyberattaquants tenaces de compromettre leurs environnements et de subtiliser des données.

CrowdStrike propose une nouvelle approche de la sécurité des endpoints. Contrairement aux solutions de sécurité traditionnelle ou de sécurité réseau, la solution de sécurité des endpoints de CrowdStrike réunit les technologies nécessaires pour mettre efficacement fin aux compromissions : antivirus de nouvelle génération, détection et intervention sur les endpoints (EDR), Threat Hunting managé et cyberveille, le tout via un agent léger unique. Falcon Enterprise comprend les modules suivants :

• La solution antivirus de nouvelle génération de CrowdStrike, Falcon Prevent™, a obtenu une note de 100 % pour la détection d’échantillons connus et inconnus de logiciels malveillants, avec un taux de faux positifs de 0 %. Falcon Prevent est la première solution pour endpoints « NGAV Approved » du secteur, comme l’ont relevé Gartner, Forrester et d’autres analystes du secteur.
• La solution EDR Falcon Insight™ collecte et analyse les informations relatives aux activités en temps réel afin de prévenir et de détecter les attaques ciblant les endpoints. Fondé sur l’architecture native au cloud de CrowdStrike, Falcon Insight enregistre toutes les activités présentant de l’intérêt en vue d’une analyse plus approfondie, à la fois à la volée et a posteriori. Les équipes de sécurité peuvent ainsi rapidement mener l’enquête et réagir aux incidents qui éludent les mesures préventives standard.
• L’équipe CrowdStrike Falcon OverWatch™ dépasse le stade de l’automatisation en matière de détection. Fort d’une des équipes les plus aguerries du secteur et de CrowdStrike Threat Graph™, une base de données capable de traiter plus de 6 billions d’événements par semaine, Falcon OverWatch identifie et désamorce plus de 30 000 tentatives de compromission par an. Dès qu’une menace est exposée, l’équipe OverWatch peut intervenir en un éclair.
• La plateforme CrowdStrike Falcon® Intelligence de CrowdStrike fait de la sécurité prédictive une réalité en intégrant cyberveille et protection des endpoints. Adapté aux entreprises de toutes tailles, CrowdStrike Falcon® Intelligence permet d’analyser instantanément toutes les cybermenaces qui ciblent les endpoints d’une entreprise. Avec CrowdStrike Falcon® Intelligence, les entreprises ont enfin la possibilité de prendre une longueur d’avance sur les cyberadversaires et de la conserver.