Antivirus – EDR – SIEM

Antivirus ou Endpoint Protection Platform

Les antivirus ou solution EPP installés sur un serveur informatique ou un poste de travail utilisent communément des listes de signatures pour détecter et supprimer une menace pour le système informatique. Cette approche de la sécurité est aujourd’hui limitée et ne permet plus de protéger les systèmes d’informations. Il faut considérer un antivirus comme une fonctionnalité au sein d’un système EDR ou SIEM complet et non comme la seule défense d’un ordinateur Windows ou MAC.

Endpoint Detection Response

Les menaces avancées nécessitent le déploiement de solution qui vont au delà de la détection par signature virale. Les systèmes EDR utilisent l’algorithmie, l’intelligence contextuelle ou des moteurs d’intelligence artificielle pour identifier les comportements malveillants et déployer des stratégies défensives pour contrer les menaces connues et inconnues. Après avoir analyser la menace la solution la classifie et déclenches les contre-mesures de prévention, de détection, de réponse et de résolution.

Security Information and Event Management

Permet la collecte, la gestion et la mise en corrélation des événements du système d’information. Le SIEM assure également le reporting aux différents intervenants et l’archivage sécurisé de l’information. Ces solutions permettent d’identifier une tendance ou un comportement inhabituel à l’échelle du système informatique de l’entreprise. Ce principe permet de surveiller l’intégrité du réseau dans sa totalité et d’identifier une menace au travers du réseau informatique, des machines et des applicatifs utilisés. Le SEM centralise l’information et l’interprétation de celle-ci pour permettre son analyse. Il est complété par le SIM qui effectue la collecte des données en différents points. Le SIEM permet de détecter et de lutter contre les menaces persistantes avancées.