La sécurité des terminaux (ou endpoints) englobe toutes les mesures de protection des points d'entrée que constituent les équipements des utilisateurs finaux (p. ex postes de travail, ordinateurs portables et autres mobiles) pour éviter qu'ils soient exploités par des pirates informatiques et des cyberattaques. Les systèmes de sécurité des terminaux sont un rempart contre les menaces de cybersécurité, tant sur le réseau que dans le cloud. Ce concept a fortement évolué, le logiciel antivirus traditionnel laissant la place à une solution de protection complète contre les logiciels malveillants sophistiqués et les menaces « jour zéro » en perpétuelle évolution.

Les entreprises, toutes tailles confondues, sont mises en danger par des pirates à la solde d'États, des cyberactivistes, des organisations criminelles et même des collaborateurs agissant par malveillance ou imprudence. La sécurité des terminaux est souvent considérée comme la première ligne de défense de la cybersécurité et constitue la priorité des entreprises qui cherchent à sécuriser leurs réseaux d'entreprise.

Face à la multiplication et à la sophistication croissante des menaces de cybersécurité, il est devenu impératif de se doter de solutions de protection des terminaux plus avancées. Aujourd'hui, les systèmes de protection des endpoints sont conçus pour détecter, analyser, bloquer et confiner rapidement les attaques en cours. Pour ce faire, ils doivent collaborer entre eux, mais aussi avec d'autres technologies de sécurité afin d'offrir aux administrateurs la visibilité sur les menaces avancées dont ils ont besoin pour réduire les délais de détection et d'application des mesures correctives.

Pourquoi la sécurité des terminaux est-elle si importante ?

Une plate-forme de protection des terminaux constitue un élément clé de la cybersécurité des entreprises, et ce pour plusieurs raisons. Tout d'abord, dans le monde des entreprises actuel, les données représentent souvent l'actif le plus précieux d'une société — et la perte de ces données, ou la perte de leur accès, peut exposer celle-ci à la faillite. Ensuite, les entreprises doivent également faire face à une véritable explosion du nombre de terminaux, toujours plus variés. Ces facteurs compliquent déjà à eux seuls la sécurisation des terminaux, et ces difficultés sont encore accentuées par le télétravail et les stratégies BYOD, qui créent des vulnérabilités et des failles dans la sécurité du périmètre réseau. Le paysage des menaces devient lui aussi plus complexe. En effet, les cybercriminels ne cessent d'inventer de nouvelles méthodes pour accéder aux données, subtiliser des informations, ou encore manipuler les collaborateurs pour les inciter à divulguer des informations sensibles. À cela viennent s'ajouter le coût d'opportunité induit par la réallocation des ressources à la neutralisation des menaces (et non à la réalisation des objectifs de l'entreprise), l'impact des compromissions de grande envergure sur la réputation et le coût financier réel du non-respect des obligations de conformité. Il est donc logique que les plates-formes de protection des terminaux soient désormais considérées comme des éléments indispensables de la stratégie de sécurité des entreprises modernes.

Fonctionnement de la protection des terminaux

La sécurité des terminaux consiste à assurer la protection des données et des flux de travail associés aux différents équipements individuels connectés à votre réseau. Les plates-formes de protection des terminaux (EPP) ont pour fonction première de contrôler les fichiers qui accèdent au réseau. La plupart d'entre elles tirent parti de la puissance du cloud pour conserver une base de données toujours plus volumineuse d'informations sur les menaces, ce qui permet d'éviter le stockage d'une masse croissante d'informations sur les terminaux ainsi que la maintenance nécessaire à la mise à jour de ces bases de données locales. L'accès aux données dans le cloud offre par ailleurs aux utilisateurs une rapidité et une évolutivité accrues.

La plate-forme de protection des terminaux (EPP) offre aux administrateurs système une console centralisée, installée sur un serveur ou une passerelle réseau, et permet aux professionnels de la sécurité de contrôler la sécurité de chaque équipement à distance. Un logiciel client est ensuite attribué à chaque terminal. Il peut être distribué sous la forme d'un service SaaS et géré à distance, ou être installé directement sur l'équipement. Une fois les terminaux configurés, le logiciel client peut envoyer les mises à jour aux terminaux chaque fois que nécessaire, authentifier les tentatives de connexion de chaque appareil et gérer les stratégies d'entreprise à partir d'un seul emplacement. La plate-forme EPP sécurise les terminaux via le contrôle des applications — qui bloque l'utilisation d'applications non fiables ou non autorisées — et via le chiffrement qui prévient les fuites de données.

Une fois configurée, la plate-forme EPP peut rapidement détecter les malwares et autres menaces. Certaines solutions incluent également un composant EDR (Endpoint Detection and Response). Les fonctionnalités EDR permettent de détecter des menaces plus avancées, par exemple les attaques polymorphes, les logiciels malveillants sans fichier et les attaques « jour zéro ». Grâce à la surveillance continue, la solution EDR offre une visibilité accrue et un large choix d'options de réponse.

Les solutions EPP peuvent être déployées sur site ou dans le cloud. Si les solutions cloud sont plus évolutives et peuvent s'intégrer plus facilement dans votre architecture actuelle, il est possible que certaines réglementations et certains impératifs de conformité imposent le déploiement du modèle à installer sur site.

Composants de sécurisation des terminaux

En règle générale, les logiciels de protection des terminaux incluent les composants clés suivants :

  • Classification basée sur l'apprentissage automatique pour détecter les menaces « jour zéro » en temps quasi réel
  • Protection antimalware et antivirus avancée pour protéger, détecter et neutraliser les logiciels malveillants sur plusieurs terminaux et systèmes d'exploitation
  • Protection web proactive pour une navigation Internet sécurisée
  • Classification des données et prévention des fuites de données pour empêcher l'exfiltration et la perte de données
  • Pare-feu intégré pour bloquer les attaques réseau
  • Passerelle de messagerie pour bloquer les tentatives d'attaques de phishing et d'ingénierie sociale ciblant le personnel
  • Données d'investigation numérique directement exploitables pour isoler rapidement les infections
  • Protection contre les menaces internes afin de bloquer les actions délibérées ou accidentelles des utilisateurs
  • Plate-forme de gestion centralisée des terminaux pour améliorer la visibilité et simplifier les opérations
  • Chiffrement des terminaux, des e-mails et des disques pour empêcher toute exfiltration de données

Qu'entend-on par terminal ?

Le terme « terminal » (ou endpoint) désigne une série d'équipements, dont les suivants :

  • Ordinateurs portables
  • Tablettes
  • Mobiles
  • Montres connectées
  • Imprimantes
  • Serveurs
  • Distributeurs de billets
  • Équipements médicaux

Présentation graphique « Des terminaux omniprésents »

Si un équipement est connecté à un réseau, il est considéré comme un terminal. Compte tenu de la popularité exponentielle des équipements BYOD et IoT, le nombre de terminaux individuels connectés au réseau d'une entreprise peut rapidement atteindre plusieurs dizaines, voire centaines de milliers d'appareils.

En tant que point d'entrée des menaces et logiciels malveillants, les terminaux (en particulier les équipements mobiles et distants) constituent une cible privilégiée des cybercriminels. Aujourd'hui, les terminaux mobiles ne se limitent plus aux appareils Android et aux iPhone. Pensez aux montres connectées, appareils intelligents, assistants numériques à commande vocale et autres objets connectés à Internet (IoT). Les voitures, les avions, les hôpitaux et même les foreuses de plates-formes pétrolières sont aujourd'hui équipés de capteurs connectés à un réseau. Face à l'évolution et à l'expansion des différents types de terminaux, les solutions de sécurité qui les protègent ont également dû s'adapter.

La dernière étude du SANS Institute sur la sécurité des terminaux montre clairement combien il est important d'implémenter une solution de protection complète à cet égard. Voici quelques-unes des observations de l'étude :

  • 28 % des répondants affirment que leurs terminaux ont déjà été compromis.
  • Les attaques utilisent divers vecteurs de menaces, dont les téléchargements involontaires (52 %), l'ingénierie sociale/le phishing (58 %) et/ou la compromission/le vol d'identifiants (49 %).
  • Seuls 39 % des attaques ont été détectés par un antivirus classique.
  • 39 % des compromissions ont été détectés par des alertes SIEM.

Afficher la présentation graphique

Plate-forme de protection des terminaux (EPP) ou antivirus traditionnel

Les plates-formes de protection des terminaux (EPP) et les solutions antivirus classiques diffèrent de façon fondamentale par certains points.

  • Sécurité des terminaux et sécurité réseau :
    les solutions antivirus sont conçues pour protéger un seul terminal ; elles offrent une visibilité limitée sur ce dernier, souvent uniquement accessible à partir du terminal lui-même. Une solution de sécurité des terminaux, en revanche, considère le réseau d'entreprise comme un tout et peut offrir une visibilité sur l'ensemble des terminaux connectés à partir d'un seul emplacement.
  • Administration :
    les anciennes solutions antivirus comptaient sur l'utilisateur pour effectuer manuellement des mises à jour des bases de données ou autoriser les mises à jour à des dates/heures prédéfinies. Les solutions EPP proposent une sécurité interconnectée qui libère les utilisateurs de leurs responsabilités administratives, les reportant sur l'équipe informatique ou de cybersécurité de l'entreprise.
  • Protection :
    les solutions antivirus traditionnelles utilisent une méthode de détection basée sur les signatures pour identifier les virus. En d'autres termes, si votre entreprise est le « patient zéro » ou si vos utilisateurs n'ont pas récemment mis à jour leur antivirus, vous restez vulnérable. Comme les solutions EPP actuelles tirent parti de la puissance du cloud, elles sont automatiquement mises à jour. En outre, grâce à l'utilisation de technologies telle l'analyse comportementale, il est possible de mettre au jour des menaces encore inconnues en détectant les comportements suspects.

Découvrez d'autres différences entre les solutions antivirus d'ancienne génération et les toutes dernières plates-formes EPP.

Évolution de la protection antivirus, des signatures aux machines

Le secteur de la sécurité des terminaux a émergé à la fin des années 1980 avec l'apparition de logiciels antivirus capables de reconnaître les logiciels malveillants par leurs signatures. Les premiers outils antivirus pour terminaux recherchaient les modifications correspondant à des types d'actions connues dans les systèmes de fichiers ou les applications, et signalaient ces programmes ou bloquaient leur exécution. Parallèlement à l'essor d'Internet et du commerce électronique, les logiciels malveillants sont devenus plus fréquents, plus complexes et plus difficiles à détecter. Par ailleurs, ils ne reposent plus sur des signatures, et le secteur a observé une augmentation du nombre de logiciels malveillants sans fichiers. À l'heure actuelle, la lutte contre les logiciels malveillants nécessite un effort collectif, où le logiciel antivirus ne constitue qu'une des armes d'un arsenal bien fourni.

Cette diversification des défenses accroît la complexité. Avec la multiplication des produits de sécurité aux fonctionnalités redondantes et aux consoles de gestion distinctes, il est devenu très difficile pour bon nombre d'entreprises de disposer d'une vision claire sur les attaques potentielles. Après avoir déployé une kyrielle de solutions pour terminaux au fil des ans, les équipes de sécurité finissent souvent par gérer un grand nombre d'agents et consoles offrant peu de possibilités d'intégration ou d'automatisation.

Une étude récente révèle que les solutions isolées pour terminaux sont incapables de faire face aux menaces émergentes sophistiquées. Pourtant, les mesures réactives d'urgence peuvent être remplacées par des défenses multiniveau intégrées qui s'adaptent automatiquement pour contrer les cybercriminels. Une protection des terminaux de pointe doit être en mesure d'identifier et de neutraliser les attaques dissimulées en quelques secondes, et pas au bout de plusieurs mois. Cela nécessite un système en boucle fermée qui partage automatiquement la cyberveille avec les composants connectés afin de détecter, de neutraliser et de s'adapter bien plus rapidement aux nouvelles stratégies d'attaque. Une protection multiniveau intégrée permet aux équipes de sécurité de collaborer, de partager les informations pertinentes sur les menaces et de prendre les mesures appropriées pour combattre efficacement les menaces émergentes.

Nous sommes arrivés à un stade où l'homme est limité dans sa capacité d'analyse et de travail et où il lui faut collaborer avec les machines. L'apprentissage automatique et l'intelligence artificielle permettent aux fonctionnalités de protection des terminaux d'évoluer à peu près au même rythme que les attaques. Des fonctionnalités classiques telles que le pare-feu, l'analyse de la réputation et l'analyse heuristique collaborent avec des fonctionnalités d'apprentissage automatique et de confinement pour bloquer les attaques les plus avancées.

Différences entre la sécurité des terminaux pour entreprises et la sécurité des terminaux pour particuliers

Sécurité des terminaux pour entreprises Sécurité des terminaux pour particuliers
Plus performante et adaptée à la gestion de groupes de terminaux hétérogènes Gestion limitée à un petit nombre de terminaux individuels
Plus performante et adaptée à la gestion de groupes de terminaux hétérogènes Gestion limitée à un petit nombre de terminaux individuels
Console de gestion centralisée Installation et configuration individuelles des terminaux
Fonctions d'administration à distance Gestion à distance rarement nécessaire
Configuration de la protection des terminaux à distance Configuration de la protection directement sur les terminaux
Déploiement de patchs sur tous les terminaux concernés Mise à jour automatique activée par l'utilisateur pour chaque équipement
Autorisations de modification nécessaires Utilisation d'autorisations administrateur
Surveillance possible des équipements, des activités et du comportement du personnel Surveillance des activités et du comportement limitée à un seul utilisateur

Solutions de protection avancée des terminaux