Antivirus et EDR, quelle différence ?

Les cyberattaques sont toujours une menace planante sur n’importe quelle organisation, que ce soit pour le secteur public comme privé. Les moyens utilisés par les hackeurs sont en constantes évolutions et ce pour exploiter les moindres brèches des systèmes d’informations (SI). Aujourd’hui, l’EDR apparait comme une nouvelle défense face à ces attaques mais qu’en est-il vraiment ?

Qu’est-ce qu’un EDR ?

Si l’on prend la définition introductive fournie par la société Crowdstrike :

« Une solution de détection et d'intervention sur les Endpoints (EDR) est une solution de cybersécurité qui détecte et atténue les cybermenaces en surveillant en continu les Endpoints et en analysant leurs données. »

En résumé, l’EDR est un petit programme qui est lancé en permanence sur les ordinateurs qu’ils surveillent et qui analysent les flux entrants, sortants et internes à la machine. Il est également capable d’analyser les flux les périphériques externes que l’on connecte au poste, comme des clés USB, des disques durs ou des partages réseaux.

Pour fonctionner, un EDR a besoin d’une base de données, qui peut être interne à la machine ou externe (sur un cloud sécurisé accessible via internet par exemple). C’est une ressource nécessaire à n’importe quel antivirus classique pour garantir son efficacité. L’agent EDR déployé sur les postes peut ainsi évaluer ou non le caractère dangereux des flux qu’ils analysent. La plupart du temps, les EDR sont monitorés par des experts en cybersécurité qui surveillent les alertes qu’il déclenche. On peut parler alors de MDR.

Antivirus, déjà obsolète ?

               Les menaces informatiques évoluent constamment et il est nécessaire pour n’importe quel antivirus de mettre aussi souvent que possible sa base de données à jour pour les identifier. Mais contrairement à un antivirus classique qui nécessite des mises à jour d’origine humaine, un EDR est beaucoup plus réactif. Il suffit qu’il identifie sur un pc un virus inconnu pour l’ajouter à sa base de données et, en quelques minutes, protéger ainsi tous les autres ordinateurs que cet « agent » surveille également.

               Aussi, un antivirus classique réagit majoritairement en réaction à une menace. Mais quand le programme malveillant est sur le pc, il est déjà trop tard. L’EDR, en analysant les flux d’information de la machine, est capable de bloquer les intrus avant même qu’il ne pénètre sur un ordinateur.

L’EDR, une solution encore perfectible

               Bien que l’EDR soit une technologie de protection très avancée, elle a un prix. Alors qu’une licence annuelle d’ESET NOD23 HOME Security Essential (antivirus réputé) coûte environ 40€ TTC, il faut compter environ 185$ pour une licence EDR Crowdstrike Entreprise. Il faut également compter un coût supplémentaire pour la prestation de supervision. Malgré un système de « Machine Learning » similaire aux assistants IA, il est peu recommandé de laisser un EDR sans surveillance car il pourrait identifier comme menace des programmes qui ne le sont pas et les bloquer.

               Aussi, il est difficile de passer à côté de la panne mondiale Crowdstrike du 19 juillet 2024. Dans ses gros titres, le journal Le Monde dit : « La panne mondiale causée par une mise à jour défectueuse du capteur de l'agent Falcon de Crowdstrike a mis à terre 8,5 millions de systèmes Windows ». Bien que le problème soit perçu par la majorité comme une défaillance logicielle, c’est bien une erreur humaine qui en est la réelle cause.

               Bien que la société Crowdstrike ait durci ses procédures de validation de mise à jour, l’EDR n’est pas encore infaillible. D’une certaine manière, il a besoin que la menace « toque » à la porte de l’ordinateur pour la détecter. La meilleure défense reste toujours un utilisateur bien formé face aux risques, conscient des dangers d’internet, maître de son système d’information et attentionné face aux normes de sécurité en évolution permanente.