Antivirus vs EDR

Si vous êtes un responsable ou un spécialiste TI ou cybersécurité, vous avez sûrement entendu parler des EDR (EndPoint Detection and Response), qui sont présentés comme le dernier né des technologies de protection des ordinateurs dans un parc informatique. L'émergence de cette technologie vient aussi avec un lot de questions dont les réponses ne sont pas évidentes:

 

  • Que fait exactement le EDR?
  • Qu’est ce qui justifie l’arrivée de cette technologie?
  • Le EDR remplace t-il l’antivirus ou sont-ils complémentaires?
  • Doit-on installer le EDR sur l’antivirus?
  • Si j’ai un bon antivirus, ai-je quand même besoin d’un EDR?

 

Dans le présent article, nous allons démystifier le concept de EDR.



Role de l’antivirus

L’antivirus est l’outil traditionnellement utilisé pour protéger chaque ordinateur et serveur d’un parc informatique. Une fois installé sur un ordinateur, il analyse tout fichier qui entre sur chaque ordinateur (à travers le réseau ou via des périphériques tels que les clés USB) afin de déterminer si ce fichier est potentiellement malicieux. Si c’est le cas, l’antivirus le bloque automatiquement. Il peut aussi le supprimer ou le mettre en quarantaine. Pour faire plus simple, tous les fichiers malicieux détectés par l’antivirus sont collectivement appelés virus même s’il y en a de plusieurs types (virus, ver, cheval de Troie, etc.).

Il faut noter que les antivirus utilisent plusieurs méthodes pour détecter les fichiers malicieux dont des signatures. Ceci suppose que le fichier malicieux a déjà été vu et analysé par l’éditeur de l’antivirus. Quand le fichier malicieux est nouveau ou inconnu, l’antivirus aura du mal à le détecter.



Que font exactement les EDR?

Tout comme l’antivirus, le EDR est une technologie de protection d’ordinateur. La différence fondamentale avec l’antivirus est que le EDR peut détecter les outils malicieux, mais aussi d’autres types d’activités qui ont lieu sur un ordinateur, comme une tentative de connexion à un site web malicieux, un mouvement latéral malicieux dans le réseau, etc. Le EDR a été conçu pour détecter et répondre automatiquement à ces activités qu’un antivirus traditionnel ne peut pas détecter (et il y en a plusieurs).

Le EDR va aussi collecter et fournir des informations nécessaires pour faire des investigations (analyse forensique) en cas d’activité malicieuse identifiée. Comme on le voit, le EDR va donc au-delà des actions que prend un antivirus traditionnel.




Qu’est ce qui justifie l’arrivée de cette technologie

Les EDR sont apparus car les antivirus classiques montrent de plus en plus de limites face aux outils malicieux qui ne font qu'exposer. En effet, Internet est inondé de virus, ransomwares et autres outils malicieux (plus de 1M de nouveaux outils malicieux sont découverts chaque jour). Il n’est pas réaliste de s’attendre à ce que son antivirus soit en mesure de détecter et bloquer tout ce flot d’outils. Le EDR est donc censé fermer le gap.

Comme l’antivirus, on installe des agents EDR sur les ordinateurs à surveiller.

Très souvent, le EDR est perçu comme le successeur naturel de l'antivirus traditionnel.



Le EDR remplace t-il l’antivirus ou sont-ils complémentaires?

Il existe plusieurs fournisseurs de solutions EDR sur le marché, mais il faut savoir que leurs fonctionnalités ne sont pas forcément les mêmes. Certains EDR vont aussi avoir des fonctionnalités d’antivirus tandis que d’autres sont conçus pour détecter ce que l’antivirus classique ne peut pas détecter.

 

Doit-on installer le EDR sur l’antivirus?

Oui et Non. Si le EDR que vous avez choisi dispose de fonctionnalités d’antivirus, vous pourrez l’utiliser en lieu et place de votre antivirus. Par contre, si votre EDR n’a pas de fonctionnalités d’antivirus, il doit être installé en plus de l’antivirus. Il faut donc être prudent, la perception qui veut que le EDR remplace complètement l’antivirus n’est pas forcément vraie.



Si j’ai un bon antivirus côté, ai-je quand même besoin d’un EDR?

Pas forcément. Le EDR apporte une capacité de protection supplémentaire, mais cette capacité n’est pas forcément indispensable pour avoir un niveau de sécurité acceptable. On peut ne pas avoir d' EDR, mais avoir une bonne protection de ses ordinateurs.

Par exemple, si vous disposez déjà d’un système de détection d’intrusions (IDS/IPS ou NDR) dans votre réseau, celui-ci va détecter plusieurs types d’activités malicieuses que le EDR détecte. Dans d’autres cas, votre antivirus va tout simplement être suffisant pour vous protéger.

En fait, tout dépend des risques de sécurité que vous encourez. Pour déterminer si vous avez besoin d’un EDR ou non (ou si vous avez besoin de mesures de sécurité supplémentaires), il faut réaliser une analyse de risques de sécurité en vous inspirant de notre guide.

Autre chose importante à noter, ce n'est pas parce que vous déployez un EDR que vous allez être immunisé contre les outils malicieux qui ciblent vos ordinateurs. Il n’y jamais de protection à 100%. Nous accompagnons régulièrement des organisations victimes de cyberattaques (ransomwares, etc.) et nous observons que tant les ordinateurs ayant un antivirus ou un EDR se font infecter.

Dépendant des risques de sécurité que vous encourez, en plus de votre EDR, vous devrez peut-être déployer d’autres technologies, monitorer la sécurité de votre réseau, avoir un cadre de gouvernance de la sécurité, gérer les vulnérabilités de sécurité de votre réseau, etc. Bref, la sécurité est un processus qui doit évoluer en continu, afin de s'adapter à la nature changeante des cybermenaces.



Streamscan offre t-il une technologie EDR?

Nous offrons déjà une technologie de détection d’intrusions réseau brevetée appelée CDS, qui est utilisée par plusieurs organisations au Québec et à l'international. Notre CDS a été sélectionnée comme Innovation par le Gouvernement Fédéral du Canada.

Nous travaillons actuellement sur une technologie EDR qui sera disponible sur le marché en Q1 2022. Ce sera la 1ère technologie de ce genre développée au Québec. Nous concevons notre agent EDR pour être léger (peu de consommation de ressources), tout en permettant de réaliser des actions automatisées (blocage de fichiers malicieux, automatisation des investigations, etc.). Il est aussi focalisé sur la détection des ransomwares et l’analyse comportementale basée sur l’AI.

Si vous voulez en savoir plus sur notre agent EDR, laissez nous un message.



Comment Streamscan peut vous aider?

Avant de vous lancer dans des projets de déploiement de EDR, nous vous recommandons de prendre un pas de recul en faisant une analyse de risques, afin de déterminer si c’est une bonne option pour vous. L’on ne devrait pas changer son antivirus par un EDR tout simplement parce que c’est le produit hot du moment.

De plus, notre longue expérience en matière de réponse aux incidents nous a permis d’identifier quels sont les antivirus les plus efficaces, quels EDR sont les plus recommandés, etc. Nous pouvons donc vous aider à faire les meilleurs choix.

Enfin, si vous utilisez notre service de surveillance de sécurité MDR, en fonction de l’évolution des cyberattaques qui vous ciblent, si nous constatons qu’il est nécessaire d’évoluer vers la mise en place d’un EDR, nous en discuterons avec vous et nous vous accompagnerons dans sa sélection et mise en place.

Besoin d'aide ? StreamScan est là.

Que vous ayez besoin d'aide pour mener un audit de sécurité, élaborer un plan de sécurité ou mettre en œuvre une solution de Détection et Réponse Gérées (MDR), StreamScan dispose d'experts ayant des années d'expérience dans le secteur manufacturier qui peuvent vous aider. Contactez-nous à l'adresse securitepme@streamscan.ai ou appelez-nous au 1 877 208-9040.

CTA Webinaire