Si vous avez déjà évalué des protections Endpoint, vous avez probablement déjà fait le constat suivant : pour commencer les promesses sont toutes les mêmes, “Alimenté par l’IA“. “Next-Gen“, “Intégré“.
Ces affirmations sont partout. Et avec plus de 90% des organisations utilisant désormais une forme de protection Endpoint plutôt qu’un antivirus, il est facile de supposer que toutes les solutions sont identiques.
Elles ne le sont pas.
Cette hypothèse devient rapidement fausse à mesure que les organisations mûrissent, passant de la prévention de base à la détection et à la réponse. Dans cette évolution, ce qui ressemblait autrefois à un simple exercice de type ‘case à cocher’ devient une décision à prendre en matière d’architecture critique. Ce que vous choisissez maintenant a un impact non seulement sur votre niveau de protection, mais également sur votre capacité à vous adapter et à réduire le risque global pesant sur votre entreprise face à l’évolution des menaces.
Alors, comment séparer le signal du bruit de fond ?
La puissance proposée par la plateforme
L’un des meilleurs indicateurs prouvant ce qu’une solution de protection peut véritablement faire pour vous, non seulement aujourd’hui mais sur le long terme, est la plateforme sur laquelle elle est construite. Toutes les fonctionnalités ne vous intéresseront peut-être pas au début, et ce n’est pas grave. Ce qui compte, c’est de savoir si les fondations vous donneront la possibilité de mûrir et d’améliorer votre cyberdéfense.
C’est là qu’une bonne réflexion amont sur la plateforme devient essentielle : choisissez-vous un produit ou bien investissez-vous dans une stratégie ?
La protection Endpoint moderne ne se limite pas à ce qui est installé sur l’appareil. Il s’agit de la télémétrie collectée, des intégrations prises en charge, des flux de travail activés et des pipelines de données qui se cachent derrière toute cette architecture. De plus, comme l’IA joue un rôle plus important dans la détection et la réponse aux menaces, la sophistication de cette infrastructure de données sous-jacente produit un véritable effet démultiplicateur.
Tout commence par les données
Avant que l’IA ne puisse vous aider, et encore moins permettre une éventuelle automatisation, vous avez besoin de données de haute qualité, bien structurées et continuellement actualisées. Ce n’est pas une idée nouvelle. En fait, la science des données s’appuie depuis longtemps sur quatre dimensions fondamentales : Volume, Variété, Vélocité et Véracité.
Appliquons ces principes à la protection Endpoint :
- Volume : quelle quantité de télémétrie est collectée ? Constatez-vous des comportements émanant d’adversaires réels à l’échelle globale, pas seulement des malwares, mais également des attaques manuelles, des abus d’outils et des méthodes de persistance furtives ?
- Variété : la plateforme ne voit-elle que les systèmes endpoint ou ingère-t-elle des données provenant de la messagerie électronique, du réseau, du Cloud, de la gestion des identités, etc. ? Les données proviennent-elles d’une grande variété de clients incluant des zones géographiques, des secteurs verticaux et des niveaux de maturité différents ? Plus de sources différentes signifient une meilleure visibilité et plus de contexte.
- Vitesse : à quelle vitesse cette télémétrie arrive-t-elle et à quelle fréquence est-elle mise à jour ? Vos modèles intègrent-ils de nouvelles menaces en quelques heures ou en quelques jours, ou dépendez-vous des pushs de signatures hebdomadaires ?
- Véracité : pouvez-vous faire confiance aux données ? Sont-elles enrichies en matière de renseignements sur les menaces (Threat-Intelligence) et sont-elles vérifiées par le biais d’une réponse aux incidents réelle ? Les détections sont-elles appuyées par une véritable recherche, et pas seulement par l’automatisation ?
Les nuances apportées au niveau de ces réponses permettent vraiment de distinguer une plateforme d’une autre. C’est justement ce qui déterminera si une solution pourra détecter les menaces émergentes avant qu’elles ne deviennent des problèmes à l’échelle du secteur dans son ensemble, ou bien si elle peinera à suivre le rythme.
Commencez par la prévention. Évoluez vers la résilience.
Le système endpoint est souvent la première, et la meilleure, opportunité de stopper une attaque. Mais si votre architecture le permet, vous pouvez étendre cette prévention à la messagerie électronique, au réseau, au Cloud et à la gestion des identités. À partir de là, vous pouvez développer des capacités en matière de réponse au niveau de l’ensemble de la surface d’attaque, renforçant ainsi votre capacité à contenir rapidement les menaces et à maintenir les systèmes de base opérationnels en cas de faille.
Chaque pas en avant accroît votre avantage. Vous réduisez les risques pesant sur votre entreprise, améliorez le temps de détection et accélérez ainsi la réponse. Et si vous ne disposez pas des ressources humaines nécessaires pour tout gérer en interne, vous pouvez vous appuyer sur des partenaires qui proposent des services MDR (Managed Detection and Response) 24h/24 et 7j/7 qui se connectent directement à votre plateforme.
Chez Sophos, ce n’est pas seulement de la théorie.
Nous protégeons plus de 600 000 organisations dans le monde entier. Notre plateforme, Sophos Central, traite quotidiennement plus de 223 téraoctets de télémétrie en matière de menaces, provenant de chaque région, secteur et surface d’attaque. Nous détectons les menaces en amont et avec une fréquence élevée, générant plus de 34 millions de détections par jour, donnant ainsi à nos défenseurs un avantage indéniable. De plus, derrière toutes ces données se trouve Sophos X-Ops, une équipe globale composée d’analystes experts en menaces, de chercheurs en malwares et de spécialistes en réponse qui surveillent des centaines de groupes malveillants et des milliers de campagnes en temps réel. Ensemble, l’intelligence et l’expertise intégrées à Sophos Central stoppent en moyenne 11 millions d’attaques par jour, avec 231 menaces avancées traitées par notre équipe MDR (Managed Detection and Response). Collectivement, nous assurons la sécurité des clients et le bon fonctionnement des entreprises, et ce sans interruption.
Ainsi, quand les gens nous posent la question suivante : “Les solutions Endpoint ne sont-elles pas toutes identiques de nos jours ?”. notre réponse est simple :
Non, elles ne le sont pas.
Ne vous fiez pas à ces fameux buzzwords. Demandez-vous plutôt ce que la plateforme voit réellement, à quelle vitesse elle apprend et qui valide les informations. En réalité, ce qui alimente la protection est aussi important que la protection elle-même. Et ceux qui disposent des meilleures données auront toujours une longueur d’avance. En fin de compte, une cybersécurité renforcée n’est pas seulement un besoin technique. Il s’agit d’un impératif qui protège les opérations, la réputation et la valeur à long terme de votre entreprise.
Billet inspiré de Not all Endpoint protection is created equal, sur le Blog Sophos.
