Théodore-Michel Vrangos, I-TRACING L’antimalware est mort ! Vive l’EDR !

mai 2022 par Marc Jacob

Pour Théodore-Michel Vrangos, Cofondateur, Directeur General, d’I-TRACING les antimalwares remplacés aujourd’hui par les EDR sont loin d’être des outils de sécurisation obsolètes. Il est indispensable de les déployer à la fois sur le SI, mais aussi sur les Smartphones, tablettes et autres devices de mobilité. Par contre, les EDR devront sans doute dans le futur améliorer encore leur capacité de détection pour contrer les pirates toujours plus inventifs. Donc si l’antimalware est mort ! Vive l’EDR !

Global Security Mag : Pouvez-vous nous présenter I-TRACING ?

Théodore-Michel Vrangos : I-TRACING est une société de services. Nous ne sommes pas éditeurs des solutions anti-malware, nous déployons des solutions antimalware des éditeurs majeurs du domaine tel que Proofpoint ou Microsoft ou d’autres. Nous choisissons nos solutions éditeurs en fonction des besoins de nos clients. Nous apportons d’une part le ‘’ciment’’ d’adaptation et d’intégration des solutions –puis une fois le passage en exploitation fait, nous accompagnons nos clients le support et la MCO (Maintient en Conditions Opérationnelles) des infrastructures déployées, les évolutions des périmètres, l’articulation de ces solutions avec les SOC et EDR managés que nous opérons. GS Mag : Quelles sont les dernières évolutions des pirates informatique ?

Théodore-Michel Vrangos : Nous suivons de près les acteurs attaquants tel que APT41, entité Chinoise, probablement liée au pouvoir public, qui utilise les malwares pour l’espionnage et le gain financier. De même nous suivons les mouvements et attaques du groupe UNC2452, vu par les Services USA comme étant lié aux Services d’Espionnage et Renseignement de Russie.

Dans la même famille, nous suivons aussi le groupe UNC1543 spécialiste des FAKEUPDATES via JavaScript, motivé par l’argent et extorsion. C’est un axe d’attaque malware que nous suivons en permanence, constitué des pirates attaquant les éditeurs et utilisant l’injection de code malicieux lors des opérations d’updates.

Les EDR sont les antimalware de nouvelles générations

GS Mag : En termes de sécurité, qu’apportent les antimalwares de nouvelle génération … ?

Théodore-Michel Vrangos : Les antimalwares ou anti-virus nouvelle génération, on entend souvent le terme d’EDR. La différence notable étant que l’analyse est complétée par une approche heuristique qui s’appuie sur une analyse comportementale des processus, au lieu de seulement s’appuyer une analyse statique via base de signature de code malveillant.

Les EDR sont proposés en différents mode qui permettent des déploiements en fonction l’expertise des équipes

GS Mag : Quels conseils pouvez-vous donner aux entreprises sur le choix, le déploiement et l’administration d’un antimalware ?

Théodore-Michel Vrangos : Aujourd’hui les EDR offrent différents types de déploiement, en mode « souscription (Saas), local ou hybride, des couvertures fonctionnelles (poste de travail, gestion de la flotte mobile, intégration dans un SOC, collecte des événements, etc) et techniques (support des OS Windows et/ou Linux / Mac) souvent très variés.

Il en va de même pour l’exploitation, certains consoles centrales sont très ergonomiques / user-friendly, pendant que d’autres vont jouer la carte de « l’expertise » pour un public plus averti (équipes SOC). La maturité des équipes Cybersécurité d’une entreprise peut orienter le choix.

Les entreprises doivent donc avant tout décider du périmètre à protéger et des fonctionnalités qui leur semble les plus utiles pour orienter leur choix. Et sans oublier que l’aspect budgétaire est également important avec un secteur très compétitif en ce moment.

Mais d’une manière générale, chez I-TRACING compte tenu de notre forte activité en services managés de sécurité et SOC, nous jugeons aussi les EDR sur leurs articulations et apports opérationnels aux analystes SOC, sur leur adaptation aux environnements, chaque fois spécifiques, de nos clients.

L’utilisation des EDR est indispensable pour les outils de mobilité

GS Mag : A l’ère de la mobilité des utilisateurs, qui se connectent de n’importe où et avec n’importe quel outil de mobilité à quoi peut servir un antimalware ?

Théodore-Michel Vrangos : L’intérêt d’un antimalwares/EDR sur la flotte mobile devient de plus en plus essentiel, voir indispensable pour avoir une posture cybersécurité complète.

L’usage des équipements mobiles devient une norme dans les grandes entreprises, les virus n’épargnent pas ce type d’équipements, même si par nature de conception, ils sont plus « compartimentés » d’un point de vue système et donc plus difficile à pirater. Les EDR doivent être déployés partout sur le SI

GS Mag : S’ils sont encore utiles, sur quelle partie du SI doit-on déployer ces gammes d’outil ?

Théodore-Michel Vrangos : Les antimalwares next-gen (EDR) sont essentiels, Généralement on vise en premier lieu les équipements des utilisateurs finaux. L’humain restant le « maillon faible » dans la chaîne de la cybersécurité.

GS Mag : Chaque éditeur d’antimalware propose aujourd’hui une solution adaptée aux systèmes mobiles. Quelles sont les particularités d’un antimalware pour smartphone ? Est-ce réellement efficace ? Théodore-Michel Vrangos : Tous ne le proposent pas, certains sont limités aux PC / Endpoints. Pour les outils de mobilité c’est le même principe que sur poste de travail, il est indispensable de les déployer. De fait, ils sont très efficaces pour vérifier le comportement d’une application « hostile » par exemple. Il est utopique aujourd’hui de se passer d’EDR

GS Mag : Quelles sont les alternatives aux antimalwares ?

Théodore-Michel Vrangos : La seule alternative serait un usage 100% sécurité de la part des utilisateurs de leur outils informatique ou mobile, mais c’est une utopie car sous-entendrait que tout le monde est sensibilisé aux risques IT, et adopte un comportant sans aucun risque.

GS Mag : Une entreprise peut-elle se passer d’antimalwares aujourd’hui ? Si oui, comment ?

Théodore-Michel Vrangos : Il semble compliqué de s’en passer, pour qui veut protéger son patrimoine informationnel et même sa survie en tant qu’entreprise !

GS Mag : A quoi ressembleront, selon vous, les antimalwares de demain ? Théodore-Michel Vrangos : Les EDR devront intégrer davantage d’IA et d’adaptation à un environnement IT spécifique. Ils devront être capables de créer par eux-mêmes de nouvelles alertes et contre-mesures. Et bien sûr mieux intégrés aux services tel que CERT, SOC, …