Publication : 20 décembre 2023
Contributeurs : Gregg Lindemulder, Amber Forrest
Un antivirus nouvelle génération (ou NGAV) est une technologie basée sur le cloud qui utilise l’intelligence artificielle, le machine learning et l’analyse comportementale afin de protéger les terminaux contre les logiciels malveillants et autres types de cybermenaces.
Contrairement aux logiciels antivirus traditionnels, qui reposent sur une détection basée sur les signatures pour identifier les menaces déjà connues, le NGAV peut détecter les logiciels malveillants inconnus et les comportements malveillants en temps quasi réel. Il offre ainsi une méthode plus efficace pour traiter les menaces modernes telles que les ransomwares, les attaques par scripting, les logiciels malveillants sans fichier et les vulnérabilités zero-day.
Obtenez des informations pour mieux prendre en charge le risque de violation de données grâce au dernier rapport sur le coût d’une violation de données.
Inscrivez-vous pour obtenir le X-Force Threat Intelligence Index
Les solutions antivirus héritées tirent parti d’une base de données de signatures de logiciels malveillants et d’heuristique pour détecter les virus dans les terminaux tels que les ordinateurs de bureau, les ordinateurs portables, les tablettes et les smartphones. Ces signatures sont des chaînes de caractères dans un fichier qui indiquent la présence éventuelle d’un virus.
Cette approche rend les terminaux vulnérables aux menaces potentielles qui n'ont pas encore été identifiées et cataloguées dans la base de données des signatures. Même si les signatures sont fréquemment mises à jour, un fichier malveillant nouveau ou inconnu peut passer inaperçu.
En revanche, les solutions antivirus nouvelle génération utilisent la détection comportementale pour identifier les tactiques, techniques et procédures (TTP) associées aux cyberattaques. Les algorithmes de machine learning surveillent en permanence les événements, les processus, les fichiers et les applications pour détecter les comportements malveillants.
Si une vulnérabilité inconnue est ciblée pour la première fois dans une attaque zero-day, le NGAV peut détecter et bloquer la tentative. Le NGAV peut également prévenir les attaques sans fichier telles que celles qui exploitent Windows PowerShell et les macros de documents, ou les e-mails d’hameçonnage qui persuadent les utilisateurs de cliquer sur des liens exécutant des logiciels malveillants sans fichier.
En tant que technologie cloud, le NGAV est également plus rapide, plus facile et plus rentable à déployer et à gérer que ses homologues traditionnelles. De par sa capacité à surveiller l’activité des terminaux et à fournir une réponse immédiate aux incidents, il peut bloquer un grand nombre des vecteurs d’attaque utilisés par les pirates pour pénétrer les systèmes.
Le NGAV basé sur le cloud peut être déployé, mis à jour et géré beaucoup plus rapidement, plus facilement et requiert moins de ressources que les antivirus traditionnels. Il n’y a pas de matériel ou de logiciel supplémentaire à installer et à configurer, aucune mise à jour de signature à administrer en continu, et son impact sur les performances des terminaux est minime.
Les antivirus hérités sont uniquement capables de détecter les signatures de logiciels malveillants connues qui ont été précédemment identifiées et saisies dans une base de données. Le NGAV surveille et analyse les comportements des terminaux en temps quasi réel pour détecter et bloquer les menaces connues et inconnues, y compris les attaques zero-day.
Le NGAV offre aux équipes de sécurité la possibilité de se défendre de manière proactive contre les menaces avancées ou qui évoluent très rapidement. Au fil du temps, les algorithmes de machine learning parviennent plus efficacement à identifier les comportements normaux des terminaux et à les distinguer des comportements qui augmentent le risque de cyberattaque.
Bien que les capacités diffèrent selon les fournisseurs, la plupart des solutions NGAV offrent les fonctionnalités suivantes :
- Algorithmes de machine learning : Un NGAV peut examiner des milliers de caractéristiques de fichiers et d’activités de terminaux en temps quasi réel, et identifier les anomalies et les actions inattendues qui pourront aider à détecter et repousser les menaces connues et inconnues.
- Analyse du comportement : Le NGAV établit une base de référence de comportements et identifie les comportements suspects qui indiquent une activité malveillante ou une cyberattaque en analysant les utilisateurs, les appareils, les applications et les systèmes.
- Renseignements sur les menaces : De nombreuses solutions NGAV peuvent intégrer les derniers renseignements sur les menaces sur les sources, les tactiques et les impacts des attaques de logiciels malveillants spécifiques afin de les détecter et de les bloquer plus rapidement et plus efficacement.
- Analyse prédictive : Le NGAV peut transformer l’énorme quantité de données qu’il recueille en modèles prédictifs capables de détecter la présence probable de logiciels malveillants ou bien une cyberattaque potentielle avant qu’elle ne se produise, puis de prendre des mesures pour prévenir ou minimiser les dommages.
Bien qu’un NGAV soit plus efficace que les logiciels antivirus traditionnels, il n’est pas infaillible. Parfois, il peut renvoyer un faux positif ou ne pas détecter de virus. Les cybercriminels et les pirates créent et testent toujours de nouvelles méthodes pour échapper aux dernières technologies de protection antivirus.
Si les défenses du NGAV sont violées sur un terminal, les entreprises s’appuient souvent sur d’autres technologies, telles que la détection et la réponse des terminaux (EDR), la gestion unifiée des terminaux (UEM) ou la gestion des événements et des informations de sécurité (SIEM). Ces solutions de sécurité offrent une approche plus large à l’échelle du système en matière de prévention et d’atténuation des cybermenaces sur de nombreux terminaux différents.
Déployez en toute simplicité des solutions avancées de défense contre les menaces mobiles pour assurer la protection de l’ensemble de votre environnement mobile face aux cybermenaces et aux risques liés aux utilisateurs.
Inscrivez, gérez et protégez tous vos appareils professionnels et personnels, sur site et à distance, à partir d'une console unique.
La gestion unifiée des terminaux (UEM) permet aux équipes informatiques et de sécurité de surveiller, gérer et sécuriser toutes les unités des utilisateurs finaux sur le réseau de manière cohérente, à l'aide d'un seul outil.
La SIEM aide les équipes de sécurité à détecter les anomalies de comportement des utilisateurs et à utiliser l'IA pour automatiser les processus manuels associés à la détection des menaces et à la réponse aux incidents.
Première ligne de défense en matière de cybersécurité d’un réseau, la sécurité des terminaux protège les utilisateurs et les appareils (ordinateurs de bureau, ordinateurs portables, appareils mobiles, serveurs) contre les cyberattaques.