Etant donné le tumultueux cyber-environnement dans lequel nous vivons aujourd’hui, les organisations deviennent de plus en plus conscientes de l’importance de la protection des endpoints liés au réseau.

1. La sécurité endpoint : efficace, mais pas efficient
Etant donné le tumultueux cyber-environnement dans lequel nous vivons aujourd’hui, les
organisations deviennent de plus en plus conscientes de l’importance de la protection des endpoints
liés au réseau. Une étude Ponemon a révélé que le coût d’une violation de données aux Etats Unis
en 2014 était d’environ 12,7 millions $ ̶ une prise de conscience pour toutes les entreprises qui
doivent donc se concentrer sur la protection de leurs données sensibles et, en même temps, faire
face à l’invasion des appareils personnells à l’intérieur de leur périmètre réseau.
Endpoint devices
Le nombre moyen d’appareils utilisés par un employé a considérablement augmenté au cours de la
dernière décennie et, sans surprise, le nombre de problèmes de sécurité qu’ils peuvent engendrer a
suivi. Ces dispositifs sont soit fournit par l’organisation soit appartiennent au personnel (compte tenu
de la tendance BYOD – abréviation de l’anglais « bring your own device » ; en français : PAP,
abréviation de « prenez vos appareils personnels ») et, lorsqu’ils sont connectés au réseau créent un
risque important pour les entreprises de toutes tailles. La sécurisation de tous les endpoints, qui
peuvent varier de l’ordinateur de bureau, ordinateurs portables, smartphones, tablettes jusqu’à
l’équipement spécialisé, peut être une tâche difficile, en effet, en particulier compte tenu des nouvelles
possibilités qu’elles offrent aux pirates qualifiés, au détriment de l’organisation elle-même.
La sécurité endpoint est un système de gestion de la sécurité basée sur un logiciel qui se trouve sur
un serveur géré centralement ou sur un serveur passerelle (host gateway), au-dessus du logiciel client
préexistant sur chaque endpoint. Son objectif est d’identifier, de gérer et de contrôler les dispositifs
qui tentent d’accéder au réseau de l’entreprise. Les éléments requis pour une connexion réussie
peuvent inclure un système d’exploitation légitime, un client VPN et un antivirus à jour. Si ces
conditions de base ne sont pas respectées, les appareils bénéficient d’un accès restreint ou sont
même mis en quarantaine sur un réseau local virtuel (VLAN). Quel que soit le modèle de prestation,
avec la sécurité endpoint, le serveur hôte doit : 1. valider les informations d’identification des
utilisateurs; 2. analyser les périphériques pour s’assurer qu’ils respectent la politique de sécurité; et
3. mettre à jour le logiciel si nécessaire. Cependant, lors de la livraison en mode SaaS (Software as
a Service), le serveur hôte et le logiciel d’accompagnement doivent être mises à jour par le vendeur.
Le logiciel de protection fournie est, en fait, un regroupement de plusieurs logicielles, un ensemble de
produits qui sont normalement autonomes. La technique de regroupement et le choix des produits
diffèrent d’un fournisseur à l’autre. Cette combinaison de techniques est intégrée dans un seul produit,
destiné à détecter les comportements malveillants et réagir en conséquence (soit en bloquant le trafic
réseau suspect ou en empêchant une application d’être exécutée). Néanmoins, les capacités de ses
produits les plus souvent rencontrées (antimalware, pare-feu basé sur l’hôte, évaluation de la
vulnérabilité, etc.) ne sont pas exhaustives. Pour voir pourquoi, consultez notre précédent article sur
le besoin pressant du Security Analytics.

2. Cela étant dit, d’une part, les avantages évidents de cette approche sont: de bloquer les attaques 0-
day, offrir une couverture forensique de base et protéger les systèmes en ligne et hors ligne. D’autre
part, les inconvénients de cette solution résident dans le déploiement et la gestion du logiciel agent,
lourd en termes de ressources, car il nécessite une configuration manuelle, le suivi et la mise à jour.
En conséquence, la sécurité des endpoints devient difficile à mettre en œuvre dans les entreprises
qui souhaitent adopter une politique BYOD. En d’autres termes : efficaces, mais pas efficients.
Franchissant une étape supplémentaire dans le sens de la pleine efficacité, ITrust a créé Reveelium,
une solution sans agent, conçue pour éviter la surcharge des endpoints ainsi que pour aider les
entreprises à développer une véritable architecture analytique. Reveelium est capable d’identifier les
symptômes de tous les comportements malveillants grâce à son système automatisé de détection
d’anomalies. Construit comme une technologie multi-dimensionnelle Big Data, Reveelium comprend
: un moteur de détection des signaux faibles, qui est le fruit de recherches avancées en algorithmes
statistiques et en intelligence artificielle. Ses résultats sont enrichis par un moteur de corrélation qui
intègre des détecteurs spécialiséset des règles issues de l’expertise des ingénieurs et des consultants
de sécurité d’ITrust. Le système s’appuie enfin sur une base de connaissance globale, la « mémoire
» de Reveelium, qui identifie et collecte les comportements de tous les Reveelium des clients, afin de
faire bénéficier chacun d’eux de l’expérience des autres.
Reveelium permet non seulement de détecter en temps réel les comportements qui dévient de la
norme, mais c’est également une solution non-intrusive de type Plug & Play, qui n’a pas besoin d’être
maintenue par une source externe. Facilement combinée avec des outils préinstallés, avec une
capacité de détection accrue et un taux faible de faux positifs, Reveelium peut également être livrée
en mode SaaS.
Liens :
https://www.reveelium.com/fr/endpoint-security-not-efficient/
https://www.itrust.fr/securite-endpoint-pas-efficient