EDR vs antivirus : quelle est la différence ?

Qu’est-ce que l’EDR ?

Les outils d’EDR surveillent chaque appareil utilisé dans une organisation, qu’il soit sur place ou à distance. Les produits d’EDR enregistrent toutes les activités et transactions qui se produisent sur ces appareils et compilent les données dans un fichier journal complet en temps réel. Les équipes de sécurité peuvent ensuite analyser les données du journal pour identifier toute activité ou tout comportement anormal en cours. Les données du journal fournissent également une vue d’ensemble des lacunes actuelles et futures en matière de sécurité, ce qui permet aux équipes de sécurité de savoir où améliorer la sécurité des terminaux. Les données peuvent signaler, par exemple, si les contrôles d’accès doivent être mis à niveau ou remplacés.

Lorsque les outils d’EDR collectent des données d’activité, ils peuvent apporter des réponses automatisées basées sur des règles créées par l’équipe de sécurité. En fonction des règles définies et des menaces découvertes, les produits d’EDR peuvent prendre des mesures limitées pour arrêter ou atténuer une attaque de sécurité en cours ou avertir les équipes de sécurité si l’attaque est trop complexe et nécessite une intervention humaine. Les logiciels d’EDR peuvent également aider à détecter les menaces internes grâce à l’analyse comportementale des processus et des actions sur les terminaux.

Les informations collectées par les outils d’EDR à partir des hôtes sont notamment les suivantes :

• Les adresses IP auxquelles les terminaux de l’organisation ont été et sont actuellement connectés.
• Les comptes d’utilisateurs finaux qui se sont connectés aux appareils et les lieux à partir desquels ils ont obtenu l’accès.
• Les tentatives de changement de mot de passe, qui pourraient mettre en évidence des tentatives de connexion malveillantes.
• L’exécution des processus du système d’exploitation et des applications.
• L’activité réseau vers d’autres appareils et vice versa.
• La création et le stockage de fichiers, que ce soit localement, en cloud, dans un serveur physique, etc.
• L’utilisation de supports de stockage amovibles et les données copiées ou téléchargées.

Les produits d’EDR offrent les avantages suivants :

1. Visibilité accrue sur les hôtes. Les outils d’EDR fournissent une image complète de ce qui se passe exactement en temps réel sur tous les terminaux.
2. Suivi de la conformité. Les logiciels d’EDR aident les organisations à appliquer les réglementations relatives à la confidentialité des données, telles que le RGPD, le CCPA et l’HIPAA. Comme les outils d’EDR surveillent chaque appareil, les équipes de sécurité informatique peuvent surveiller de près les bases de données pour savoir qui accède à quoi et si des données sont exfiltrées. En cas de violation de données, il est possible d’y mettre fin immédiatement.
3. Réduction des risques. Outre la simple collecte de données, les produits d’EDR peuvent remplir les fonctions suivantes :
   • Détecter les menaces imminentes, telles que les ransomwares. 
   • Contenir et isoler les charges utiles malveillantes détectées.
   • Soutenir les investigations numériques en fournissant des éléments de preuve nécessaires à l’identification d’une violation de la sécurité.
4. Réduction des coûts. Les outils d’EDR sont déployés localement, mais toutes les informations et données sont transmises à une source centrale, telle qu’une plateforme SIEM. Les équipes de sécurité informatique peuvent ainsi réagir plus rapidement aux menaces imminentes, ce qui réduit à la fois le temps moyen de détection et le temps moyen de réaction. Cette stratégie est bien plus avantageuse que celle qui consiste à examiner chaque appareil individuellement.

Qu’est-ce qu’un antivirus ?

Le logiciel antivirus est un outil patrimonial conçu pour rechercher et arrêter automatiquement et manuellement les logiciels malveillants tels que les virus, sur les postes de travail et les serveurs. Étant donné que les outils antivirus nécessitent un accès privilégié sur les postes de travail, certains acteurs malveillants ciblent directement les produits antivirus.

Les outils antivirus recherchent les logiciels et les fichiers malveillants au moyen des techniques de détection suivantes :

• Détection basée sur la signature. Le logiciel antivirus examine le logiciel malveillant suspecté en comparant son code à des signatures de logiciels malveillants connues.
• Détection basée sur le comportement. Les outils antivirus surveillent les fichiers ou les logiciels à la recherche d’activités suspectes, telles que l’exécution anormale de fichiers ou d’appels API, la connexion à des serveurs hors site ou des modifications inhabituelles du système de fichiers.
• Détection basée sur des heuristiques. Les produits antivirus combinent les deux méthodes précédentes en examinant le code de manière statique pour détecter les composants suspects et en le laissant s’exécuter afin de vérifier s’il a un comportement suspect.

Les logiciels antivirus présentent les avantages suivants :

• Détection. Il analyse l’ensemble de l’appareil, y compris tous les répertoires et fichiers, à la recherche de virus. Les analyses peuvent être effectuées manuellement ou automatiquement, selon un calendrier adapté à l’organisation.
• Analyse sélective. Un seul fichier – par exemple, une pièce jointe à un courriel – peut être analysé.
• Éradication et désactivation des virus. Si un élément suspect est détecté (par exemple, des macros dans un fichier Excel), le logiciel antivirus tente de l’éradiquer ou de le désactiver.
• Rapport sur l’état de l’appareil. Une fois l’analyse terminée, le logiciel antivirus affiche un score complet pour donner aux utilisateurs une idée du degré de sécurité de l’appareil.

Les outils antivirus les plus récents comprennent des bases de données qui contiennent des profils de signatures de menaces fournis par les fournisseurs. Cela permet au logiciel d’évaluer les fichiers stockés sur les terminaux afin de déterminer si quelque chose de suspect s’y cache.

EDR vs antivirus : les différences

En termes simples, les outils d’EDR fournissent une suite complète de détection et de réponse qui peut se connecter à des systèmes centralisés, tandis que les logiciels antivirus offrent la possibilité d’analyser les logiciels malveillants connus et d’arrêter ou de mettre en quarantaine les fichiers suspects pour qu’ils ne s’exécutent pas.

Le logiciel d’EDR inspecte également tous les appareils en temps réel ; le logiciel antivirus est conçu pour fonctionner uniquement avec des appareils locaux où chaque utilisateur a un certain contrôle sur le logiciel antivirus.

Les logiciels d’EDR sont supérieurs dans la découverte de menaces inconnues grâce à leur utilisation de l’IA et de l’apprentissage automatique. Les outils antivirus, en revanche, ne peuvent se concentrer que sur les menaces connues. Les logiciels d’EDR fournissent également des informations en temps réel, alors que les outils antivirus ne découvrent généralement les menaces que lors d’une analyse automatique programmée ou lorsqu’on leur demande d’effectuer une analyse manuelle. En outre, les logiciels antivirus ne génèrent pas les détails nécessaires pour mener une enquête approfondie.

Lequel des deux devrait être utilisé par votre organisation ?

Lorsque l’on compare l’EDR à l’antivirus, la question demeure : lequel doit être utilisé ? La réponse dépend des exigences de sécurité de votre organisation. Les logiciels antivirus sont une excellente option pour les consommateurs dont les exigences en matière de sécurité sont limitées ; les outils d’EDR sont souvent un bien meilleur choix pour les entreprises, compte tenu de la plus grande complexité de l’infrastructure informatique et du réseau.

Il est également possible d’utiliser les deux outils de sécurité. Les entreprises peuvent utiliser un logiciel antivirus afin de détecter et atténuer les logiciels malveillants connus et déployer des outils EDR pour une sécurité plus proactive. Le logiciel antivirus s’occupant des attaques courantes, les outils EDR peuvent se concentrer sur la détection et l’arrêt des attaques plus sophistiquées.