Produit

EDR &. EPP : les différences, et comment faire le bon choix

Comprendre le fonctionnement des antivirus, des EPP et des EDR, et les ressources qui les opèrent.
4 min

Surveiller et réduire les risques cyber, mais aussi détecter les incidents et avoir les moyens d'agir sur la base d'alertes et de données fiables, c'est essentiel pour une organisation. Dans la panoplie d'outils qui visent à sécuriser un système d'information, vous avez forcément entendu parler d'antivirus, d'EPP et d'EDR. Vous ne voyez pas encore clairement ce qui les différencie ? Explications.

Antivirus et EPP : quelles sont les différences ?

Un antivirus détecte la présence de malwares (virus, vers, chevaux de Troie...) sur un disque ou en mémoire, sur la base de signatures et d'heuristiques de détection, en vue de bloquer les codes malveillants. 
Les antivirus next-gen peuvent aussi intégrer des moteurs d'IA, du sandboxing... 

Dans la plupart des cas, un antivirus ne fournit pas de capacité d'investigation et de qualification de comportements suspects. Il est en général prévu pour détecter des menaces connues avec un taux de faux positif volontairement très faible. Cela nécessite donc de mettre à jour sa base antivirale le plus souvent possible. 
De fait, l'antivirus n'est pas adapté à la détection de codes malveillants ciblés, développés pour des victimes spécifiques. 

Un EPP (Endpoint Protection Platform) est une évolution d'un antivirus, qui intègre : 

  • la gestion de pare-feu local, 
  • la gestion du chiffrement d'un terminal, 
  • le contrôle des terminaux USB,
  • le contrôle de l'intégrité de fichiers, 
  • le filtrage d'URL...

C'est un ensemble de fonctions visant à sécuriser des terminaux, qui pouvaient par le passé être séparées en plusieurs produits (dont l'antivirus !). 

Comment fonctionne un EPP ?

Un EPP est opéré et géré par la DSI d'une organisation via une console centralisée.  
Il peut générer des alertes, la plupart du temps sur la base d'analyses des fichiers ou de scans en mémoire. 

Néanmoins, il n'est pas capable de détecter plusieurs types d'attaques, notamment les menaces inconnues, ou celles s'appuyant sur des codes injectés en mémoire - d'où l'émergence des EDR. 

Qu'est-ce qu'un EDR ?

Un EDR analyse le comportement des terminaux (postes de travail et serveurs) pour les protéger contre les attaques (ransomwares, exploitations de failles zero-day, vol de données sensibles...), et il peut intégrer des fonctionnalités d'un antivirus ou d'un EPP.

En outre, il permet de collecter les données utiles aux analystes afin de répondre à des incidents (contexte, propagation...).
Certains EDR disposent de capacités d'auto-protection pour ne pas être désactivés par les attaquants, et ainsi conserver la visibilité sur les terminaux. 

La plupart des EDR proposent des capacités de détection sur : 

  • les indicateurs de compromissions (IOC systèmes tels que des hash ou noms de fichiers,
  • ou IOC réseaux tels que des IP, noms de domaine, URL...), 
  • les comportements suspects. 

Depuis quelques années, l'Intelligence Artificielle est utilisée pour une capacité de détection supplémentaire sur les fichiers et les comportements malveillants.

Outre les fonctionnalités de détection et d'investigation, certains EDR vont jusqu'à proposer des fonctionnalités permettant d'identifier les risques sur les terminaux (applications obsolètes, comptes utilisateur à hauts privilèges...).  

En cas d'incident, l'EDR génère des alertes, et offre la possibilité de qualifier l'événement de sécurité et, le cas échéant, d'y remédier (blocage des menaces passées outre un EPP, isolation des terminaux infectés...).

Les ressources et compétences indispensables pour opérer un EDR

Un EDR se place directement sur les terminaux.  

Si un EPP détecte et bloque les menaces connues, un EDR permet quant à lui de détecter des menaces plus complexes et / ou inconnues, du fait de sa capacité d'apprentissage et de corrélation entre les événements. 

De ce fait, il permet de comprendre et reconstituer le mode opératoire d'une attaque.

Il faut savoir qu'il nécessite des compétences cyber pour traiter et analyser les données (SOC). 

Autrefois l'EDR était réservé aux structures importantes capables d'en internaliser la gestion, mais dorénavant, les partenaires MSSP permettent aux entreprises de toutes tailles d'accéder à cette technologie et de la monitorer.

“Un EDR n’est pas un antivirus, c’est un outil nouvelle génération qui permet notamment de détecter des menaces inconnues qui ne figurent pas dans les bases de données d’un antivirus.
Il permet d’optimiser la réactivité, la visibilité, la capacité de réponse à incident, et de couvrir la totalité du parc informatique, postes de travail et serveurs inclus.”
Antonin Garcia, RSSI – Veepee

Pour en savoir plus sur les capacités de notre EDR
et ses fonctionnalités d'EPP :