Watchguard enfonce le clou : les antivirus classiques ne suffisent plus

Watchguard vient de publier la première édition de son nouveau rapport trimestriel sur les menaces. Celui-ci est basé sur les observations de ses équipements de protection unifiée contre les menaces (UTM). L’échantillon, pour cette édition, porte donc sur plus de 3 millions d’attaques, à raison de 123 en moyenne par appareil participant au service d’analyse de menaces en mode Cloud. 

Les plus de 24 000 systèmes concernés ont ainsi vu passer près de 19 millions de variantes de logiciels malveillants au dernier trimestre 2016. Selon Watchguard, 30 % d’entre elles étaient inconnues des bases de signature virales. De quoi « confirmer que la capacité des cyber criminels à repackager ou camoufler leurs malwares a dépassé la capacité des éditeurs d’antivirus à suivre le rythme avec de nouvelles signatures ». Si c’était nécessaire.

Au printemps dernier, la rédaction s’est appuyée pour VirusTotal pour tester les délais d’inscription de nouvelles signatures dans les bases des éditeurs d’antivirus. Le résultat conduisant invariablement à s’interroger sur la capacité réelle de ces outils à protéger leurs utilisateurs. Sollicités par nos soins, plusieurs éditeurs n’ont pas manqué de souligner les limites de l’exercice : les moteurs antivirus sont généralement plus sophistiqués que les seuls systèmes à base de signatures fonctionnant dans l’environnement de VirusTotal. En outre, il convient de faire la différence entre des composants de livraison, pouvant évoluer très rapidement, et la véritable charge utile qu’ils délivrent, bien plus stable dans le temps. Ce qui n’empêche pas que le temps constitue une limite bien réelle de l’antivirus classique et que la bataille de la protection du poste de travail apparaît définitivement engagée.

Et justement, Watchguard y prend part aussi. Il s’est ainsi offert, l’an passé, le module HawkEye G de la plateforme analytique d’Hexis Cyber Solutions, qui assure la détection intégrée des menaces et l’automatisation de la réponse. Celui-ci lui a permis d’annoncer, début mars, Threat Detection and Response (TDR), un service visant à offrir une approche intégrée de la protection contre les menaces, entre réseau et hôtes y étant connectées. TDR s’appuie sur les événements observés par les appliances UTM FireBox et sur les hôtes, via des agents locaux. L’ensemble est remonté au service Cloud ThreatSync, qui en assure l’analyse et la corrélation pour déclencher dans la foulée des tactiques de réponse automatique aux menaces. 

L’an passé, Gartner classait WatchGuard parmi les visionnaires de l’UTM, laissant le rôle de leaders à Check Point, Fortinet et Sophos.