Qu’est-ce qu’une plate-forme de protection des terminaux ?

Une plate-forme de protection des terminaux (EPP) est une solution de sécurité complète déployée sur des terminaux afin d’assurer leur protection contre les menaces.

Définition d’une plate-forme de protection des terminaux

Généralement, ce type de solution est géré dans le Cloud et utilise les données du Cloud pour faciliter une surveillance avancée et la correction à distance.
Les solutions de plate-forme de protection des terminaux utilisent un large éventail de fonctionnalités de sécurité et, à un niveau de base, assurent les fonctions suivantes :

  • Prévention contre les logiciels malveillants basés sur des fichiers.
  • Détection des activités suspectes à l’aide de techniques allant du recours aux indicateurs de compromission à l’analyse comportementale.
  • Outils d’enquête et de correction pour gérer les incidents et les alertes dynamiques.

Les plates-formes de protection des terminaux constituent la dernière évolution de la stratégie de sécurité des terminaux. Elles ont été développées pour identifier les cybercriminels capables de contourner les mécanismes de sécurité des terminaux traditionnels, ainsi que pour consolider des piles de sécurité complexes. La consolidation s’accompagne d’une amélioration du partage des données, avec une optimisation des données chiffrées disponibles pour détecter les comportements suspects. Autre avantage : les opérations de sécurité sont considérablement simplifiées.

Un autre atout important des plates-formes de protection des terminaux est la migration vers le Cloud. Les plates-formes de protection des terminaux dans le Cloud peuvent utiliser un agent léger unique pour surveiller un parc entier de terminaux. De plus, les données collectables et utilisables vont bien au-delà des terminaux appartenant à une seule entreprise. Elles peuvent s’appuyer sur des données partagées globales illustrant les tactiques des cybercriminels pour améliorer la détection des attaques de cybercriminels.

Dans son étude sur les fonctionnalités critiques des plates-formes de protection des terminaux, Gartner souligne l’importance des solutions basées dans le Cloud : « Le modèle Cloud des plates-formes de protection des terminaux accélère le retour sur investissement, réduit les coûts d’administration et facilite l’agilité dans les améliorations de produit par rapport aux déploiements on premise traditionnels. » »

Dans son dernier Magic Quadrant pour les plates-formes de protection des terminaux, Gartner estime que ces plates-formes évoluent pour devenir des solutions automatisées et orchestrées, tant au niveau de la détection d’incidents que des réponses aux violations de la sécurité.Gartner conseille aux responsables de la sécurité et de la gestion des risques de s’assurer que leur fournisseur de plates-formes de protection des terminaux s’adapte suffisamment vite pour savoir contrer les menaces modernes. »

Au-delà de la réponse aux incidents, les plates-formes de protection des terminaux basées dans le Cloud rendent possible l’analyse comportementale en temps réel. La plate-forme de protection des terminaux la plus avancée s’appuie sur le traitement des flux d’événements, qui est la technologie utilisée pour la détection des fraudes à la carte de crédit, pour transformer la sécurité des terminaux. Cette méthode permet de détecter les comportements des cybercriminels qui tentent d’utiliser l’apparence de la normalité pour masquer leurs tactiques. VMware Carbon Black Cloud, qui est la seule plate-forme de protection des terminaux à utiliser aujourd’hui le traitement des flux d’événements, offre déjà des résultats supérieurs en matière de détection d’attaques de cybercriminels avant l’exfiltration d’informations.

Recherche de menaces et réponse aux incidents pour les déploiements hybrides

Découvrez comment la sécurité VMware aide les entreprises à mettre en œuvre le modèle zéro confiance

Comment les cybercriminels contournent les mécanismes traditionnels de sécurité des terminaux

La principale motivation derrière le développement des plates-formes de protection des terminaux était que les pirates informatiques contournaient plus facilement les solutions traditionnelles mises en place par les équipes SecOps. Fondamentalement, les cybercriminels ont un coup d’avance sur les mécanismes de sécurité des terminaux traditionnels et peuvent désormais rester indétectés sur les réseaux pendant de longues périodes.

Cinq méthodes qu’utilisent les cybercriminels pour contourner les solutions de sécurité des terminaux traditionnelles

  • Rançongiciel sans fichier : sans fichier à détecter et à bloquer, les techniques de déploiement de rançongiciels ne sont pratiquement pas contrées par des mécanismes de sécurité des terminaux traditionnels. Selon un rapport de SecureWorld sur la cybersécurité, les attaques sans fichier ont augmenté de 18 % au premier semestre 2019 par rapport au second semestre 2018. Seule une plate-forme de protection des terminaux permet d’effectuer un suivi des comportements et d’identifier des schémas pour vous alerter sur les méthodes d’attaque sans fichier.
  • Nouvelles techniques d’attaque disponibles : des techniques d’attaque avancées ont été dérobées ou développées par des cybercriminels et proposées à la vente ou simplement mises à disposition en open source sur Internet et le Dark Web. L’utilisation de ces scripts et tactiques permet aux cybercriminels d’adopter l’apparence de la normalité et de rester cachés au sein d’un réseau.
  • Terminaux obsolètes : le paysage des menaces évolue rapidement. La conséquence est que les fournisseurs de solutions de sécurité développent des correctifs et des mises à jour le plus rapidement possible pour tenter de faire face aux menaces émergentes. Le rythme des mises à jour dépasse souvent les capacités des équipes SecOps, en particulier si une politique de gestion des correctifs et d’automatisation fait défaut. De plus, les agents de terminaux tombent souvent en panne, ce qui rend vulnérables les terminaux aux attaques. Un rapport de tendances mondiales sur la sécurité des terminaux de 2019 indique que 35 % des violations de terminaux sont causées par des vulnérabilités existantes. Généralement, comme les plates-formes de protection des terminaux sont basées dans le Cloud, elles peuvent être actualisées en permanence pour protéger les terminaux contre les nouvelles menaces.
  • Plusieurs sources de données : les solutions de sécurité des terminaux traditionnelles sont relativement isolées du reste de la pile de sécurité. Cela signifie que plusieurs systèmes sont nécessaires pour visualiser l’activité sur un seul terminal et retracer toute activité suspecte sur l’ensemble du réseau au cours d’une investigation. Les plates-formes de protection des terminaux fournissent une source unique de « vérité », qui combine les données de l’ensemble des solutions de sécurité sur la plate-forme pour faciliter l’accès aux données et l’analyse des alertes.
  • Données filtrées des terminaux : de nombreuses solutions de sécurité des terminaux filtrent les données des terminaux considérées comme n’ayant aucun lien avec une menace, et ce en fonction des modèles de comportement et indicateurs de compromission connus. Aujourd’hui, alors que les cybercriminels utilisent des techniques plus avancées, ils s’appuient sur le filtrage des données des terminaux pour filtrer leur activité. Ainsi, les SecOps ne peuvent pas voir les nouveaux vecteurs. Lorsque vous capturez en continu les données d’activité des terminaux, vous pouvez analyser ces nouvelles techniques et anticiper les nouvelles menaces.

Industry Pulse : points de vue d’experts de la sécurité sur les plates-formes de protection des terminaux

Les analystes et les experts de la sécurité s’accordent à dire que les plates-formes de protection des terminaux constituent la meilleure solution pour sécuriser les réseaux contre les menaces avancées. Gartner et Forrester couvrent tous deux ce domaine de solutions avec le Magic Quadrant de Gartner des plates-formes de protection des terminaux et le rapport Forrester Wave sur les suites de solutions de sécurité des terminaux. La validation des plates-formes de protection des terminaux résulte d’une analyse du ROI réalisée par Forrester. L’étude Forrester sur l’impact économique total de la plate-forme de protection des terminaux a révélé que le ROI moyen de sept entreprises ayant adopté ce type de solution atteignait 204 %. Ce chiffre se traduit par une économie moyenne de 2,1 millions de dollars sur trois ans.

Voici ce que les experts en sécurité qui ont adopté une plate-forme de protection des terminaux ont à dire sur la valeur des EPP :

Gain de temps significatif
« Je peux désormais utiliser un SOC 24h/24 et 7j/7 pour identifier et résoudre immédiatement les problèmes qui surviennent sans avoir à contacter mon équipe à toute heure du jour et de la nuit.»
- Cozy Lavalle, responsable de l’infrastructure informatique, Progress Residential

Une console unique
« Les fonctionnalités de recherche d’informations et de recherche de menaces permettent à notre équipe d’agir rapidement et de manière concluante tout en bénéficiant d’une console basée sur le Cloud sous une console unique. Cela change la donne pour l’équipe.»
- Eric Samuelson, directeur informatique, Lithium

Suivre le rythme des menaces
« [EPP] est exactement ce dont les entreprises ont besoin pour maintenir la continuité face aux plus grandes cybermenaces actuelles. Avec ce type de plate-forme, nous sommes en mesure de rapidement analyser, répondre et éliminer nos solutions d’antivirus obsolètes.»
– Steven Lentz, CISO, Samsung Research Americas

La réponse ? Identification des anomalies de comportement

Les cybercriminels réussissent très bien à utiliser des logiciels malveillants pour atteindre leurs objectifs, car les outils antivirus traditionnels utilisent l’analyse statique comme principale tactique de sécurité. Cependant, ces outils ne permettent d’identifier que des échantillons connus. Aujourd’hui, avec le développement rapide de nouveaux logiciels malveillants chaque jour, la majorité d’entre eux apparaissent comme des fichiers inconnus. Les cybercriminels utilisent différentes techniques comme la compression ou la mise en pack pour modifier certains aspects des logiciels malveillants afin qu’ils soient différents des menaces connues. Ainsi, les attaques passent facilement à travers les défenses antivirus.

C’est là que la sécurité des terminaux de nouvelle génération et les analyses comportementales interviennent. La bonne nouvelle à propos des logiciels malveillants est que leur fonctionnement au sein d’un système ou d’un terminal finira par apparaître différemment du comportement normal des utilisateurs. Par conséquent, avec le Big Data et l’autoapprentissage qui se concentrent sur les anomalies, les logiciels malveillants potentiels peuvent être identifiés comme étant anormaux et potentiellement malveillants.

 

Solutions et produits connexes

VMware Carbon Black Endpoint

Protection des terminaux Cloud

VMware Carbon Black Cloud

Transformez la sécurité avec une protection intelligente des terminaux et des charges de travail qui s’adapte à vos besoins.

Workspace ONE Unified Endpoint Management

Gérez et sécurisez chaque terminal pour tous les cas d’usage.