RSA Conference 2017 : la bataille pour la protection du poste de travail aura bien lieu

Les solutions de protection du poste de travail dites de nouvelle génération, ne reposant pas sur des signatures, profitent d’une attention toujours croissante. Et cela y compris des cabinets d’analystes dont Gartner qui en a récemment qualifié plusieurs de visionnaires, dont Crowdstrike, Cylance, Invincea ou encore SentinelOne. Alors sans surprise, ces éditeurs s’attirent aussi la curiosité des spécialistes des tests des anti-virus et autres outils de protection du poste de travail. SentinelOne vient d’ailleurs de réaliser un score de 100 % chez AV-Test sur macOS Sierra au mois de décembre, s’offrant le luxe d’afficher les meilleures performances et la consommation de ressources processeur la plus basse.

Mais voilà, manifestement, les tests indépendants ne sont pas toujours du goût de ces acteurs. Ainsi, Crowdstrike a engagé, le 10 février dernier, une procédure en justice contre NSS Labs l’accusant d’avoir « accédé de manière illégale à [son logiciel], contrevenu à [son] contrat [de licence], piraté [son] logiciel » et conduit des tests de sécurité « inappropriés ». Non pas que l’éditeur ait cherché à éviter un test de l’efficacité de sa solution : dans un billet de blog, il assure s’élever en fait contre la méthodologie de NSS Labs, la qualifiant « d’erronée ». En outre, Crowdstrike envisageait initialement un test privé et s’est opposé à un test public.

Las, la justice américaine a décidé de ne pas suivre les arguments de l’éditeur et de ne pas bloquer la publication des résultats des tests de NSS Labs. Ce que ce dernier ne s’est pas privé de faire à l’occasion de l’ouverture de l’édition 2017 de la conférence RSA. Et les résultats – présentés toutefois comme partiels – n’apparaissent pas bons, comparés au reste de l’industrie. Selon les tests de NSSLabs, ce sont SentinelOne, Invincea et Cylance qui offrent aujourd’hui le meilleur rapport performances/coût. Les outils de McAfee, de Symantec et de Trend Micro sont dans un mouchoir de poche, à efficacité comparable sinon légèrement supérieure à celle des trois premiers, pour un coût toutefois supérieur. A prix comparable, on trouve Sophos et Kaspersky, mais avec une efficacité évaluée moindre. Eset est positionné dans le même niveau de coût total de possession par agent protégé, mais avec une efficacité apparemment inférieure à la moyenne de l’industrie. Carbon Black est celui qui affiche l’efficacité la plus élevée, mais pour un coût par poste supérieur à la moyenne de l’industrie, qui s’établit autour de 400 $. Elle apparaît tirée vers le haut par Malwarebytes et Crowdstrike, tous deux affichant un TCO évalué par NSS Labs à plus de 1 200 $ par poste. Et pourtant, selon ce dernier, l’efficacité de leurs solutions semble bien en-deçà de la moyenne. Celle-ci s’établit à plus de 90 %, contre une évaluation à 75 % pour la solution de Crowdstrike et à moins de 60 % pour celle de Malwarebytes.

Les résultats sont toutefois appelés à évoluer dans les prochains, avec l’intégration programmée des outils d’Invincea à l’offre de Sophos, ce dernier ayant tout juste annoncé le rachat du premier la semaine passée.

Ce n’est pas la première polémique qui agite un monde de la protection du poste de travail en pleine transformation. L’an passé, Cylance a ainsi dénoncé les pratiques de certains spécialistes du test, dont MRG Effitas et AV-Comparatives. Ces derniers ont assuré que l’éditeur cherchait à révoquer leurs licences, sans les rembourser. Cylance a de son côté dénoncé des pratiques « non éthiques » alors que les deux laboratoires cherchaient à cacher leur véritable identité à coups de VPN et de fausses adresses e-mail… Mais là, l’éditeur ne cache pas sa satisfaction devant les résultats de NSS Labs.

Reste une surprise dans la démarche de Crowdstrike, qui assure ne pas avoir eu connaissance des résultats de ces tests avant de lancer son action en justice : avec Invincea et Cylance, c’est l’un des trois seuls éditeurs de solution de protection du poste de travail sans signature à avoir rejoint l’organisation des standards de test anti-malware (AMTSO). Depuis l’été dernier, les moteurs de protection de Crowdstrike et d’Invincea sont intégrés à VirusTotal.

Et au milieu du bruit généré par cette nouvelle polémique, Crowdstrike a profité de RSA Conference pour annoncer plusieurs nouveautés à sa plateforme Falcon, à commencer par une amélioration de ses algorithmes d’apprentissage automatique utilisés pour la modélisation des comportements menaçants et une solution pour macOS.