Protection du poste de travail : une bataille déjà finie entre anciens et nouveaux acteurs ?

C’est tout début juillet que Cylance a ajouté son moteur d’analyse à VirusTotal. Il suivait ainsi SentinelOne qui avait fait de même au mois de mars, ou encore Endgame, un spécialiste de la détection et de la remédiation sur le point de terminaison (EDR), mais également Palo Alto Networks, qui s’est offert en début d’année LightCyber, un spécialiste de l’analyse comportementale. Mais sur VirusTotal, l’équipementier ne présente que son moteur d’analyse basé sur les signatures définies au sein de son service Cloud de renseignement sur les menaces. CrowdStrike et Invincea (depuis racheté par Sophos) avaient suivi le même chemin en août dernier.

Le calme semble ainsi appelé à revenir sur un marché qui s’était encore montré tumultueux en début d’année, à l’occasion de RSA Conference. Quelques jours avant son ouverture, CrowdStrike avait ainsi engagé une procédure en justice contre NSS Labs, l’accusant d’avoir « accédé de manière illégale à [son logiciel], contrevenu à [son] contrat [de licence], piraté [son] logiciel » et conduit des tests de sécurité « inappropriés ». Non pas que l’éditeur ait cherché à éviter un test de l’efficacité de sa solution : dans un billet de blog, il assure s’élever en fait contre la méthodologie de NSS Labs, la qualifiant « d’erronée ». En outre, Crowdstrike envisageait initialement un test privé et s’est opposé à un test public.

La justice américaine avait décidé de ne pas suivre les arguments de l’éditeur et de ne pas bloquer la publication des résultats des tests de NSS Labs, qui a finalement eu lieu à l’ouverture de RSA Conference. Selon ces résultats, SentinelOne, Invincea et Cylance proposaient alors les solutions offrant le meilleur rapport performances/coûts.

Ce n’était pas la première polémique agitant un monde de la protection du poste de travail en pleine transformation. L’an passé, Cylance a ainsi dénoncé les pratiques de certains spécialistes du test, dont MRG Effitas et AV-Comparatives. Ces derniers ont assuré que l’éditeur cherchait à révoquer leurs licences, sans les rembourser. Cylance a de son côté dénoncé des pratiques « non éthiques » alors que les deux laboratoires cherchaient à cacher leur véritable identité à coups de VPN et de fausses adresses e-mail…

Plus tôt, en mai 2016, VirusTotal avait modifié ses conditions d’utilisation exigeant que « toutes les entreprises produisant des analyses intègrent leurs scanners de détection à l’interface publique de VirusTotal, afin d’être éligibles à la réception de résultats d’antivirus dans le cadre des services fournis par l’API de VirusTotal ».

A l’époque, Stuart McClure, patron de Cylance, Ehud Shamir, RSSI de SentinelOne, ou encore Alfred Lee, vice-président de Palo Alto Networks en charge des produits, étaient monté au créneau se défendant de toute forme de parasitisme, et assurant que leurs solutions n’étaient pas affectées par ce changement des conditions d’utilisation de VirusTotal. Après l’échauffement, les esprits semblent donc aujourd’hui apaisés.