Plus il y a de couches de sécurité, mieux c'est bien sûr, mais quelle est la différence entre un antivirus traditionnel et une solution EDR (Endpoint Detection & Response).
L'antivirus et l'EDR (Endpoint Detection and Response) sont tous deux des éléments importants d'une stratégie de cybersécurité des terminaux, mais ils offrent des niveaux de protection différents et fonctionnent de manière différente.
Comment fonctionne un antivirus traditionnel?
L'antivirus traditionnel est un logiciel qui fonctionne sur la base de ce qu'il sait. Pour ce faire, il tient une liste des virus et des logiciels malveillants connus. Cette liste (ou base de données) est idéalement mise à jour très fréquemment et automatiquement.
Si un virus connu se présente, il sera arrêté. Vous recevez un message avec une demande éventuelle d'action spécifique, puis vous pouvez passer à autre chose.
Au fil des années, la liste des définitions de virus s'est allongée, faisant de la mise à jour automatique une tâche quasi-permanente. Par conséquent, le système (votre ordinateur) sur lequel réside ce logiciel est constamment surchargé, car chaque fichier, courrier ou action doit être analysé.
Quelle est la différence avec Endpoint Detection & Response (EDR)?
En fait, les logiciels antivirus tels que nous les connaissons aujourd'hui sont toujours un peu en retard sur la réalité. Attention, ne rien faire est encore pire, il n'est donc pas complètement inutile.
L'EDR ne fonctionne pas sur la base de définitions de virus, mais recherche activement et en permanence tout comportement suspect sur votre terminal. En cas d'activité indésirable, l'EDR la bloque ou la neutralise immédiatement afin d'éviter qu'elle ne se propage..
L'antivirus se concentre traditionnellement sur la détection et la suppression des logiciels malveillants sur un appareil infecté. Pour ce faire, il analyse les fichiers et les applications à la recherche de menaces connues et les bloque ou les supprime. L'antivirus est efficace contre les menaces connues, mais il peut avoir du mal à détecter les menaces inconnues ou avancées, telles que les attaques Zero Day et les logiciels malveillants sans fichier.
EDR va au-delà de l'antivirus en surveillant et en analysant les activités suspectes sur les points finaux. Cela inclut des activités telles que le trafic réseau, l'exécution des processus et le comportement des fichiers. En analysant ces activités, EDR peut détecter les menaces inconnues et avancées qui peuvent échapper aux antivirus. En plus de la détection, l'EDR fournit également des fonctionnalités de réponse aux menaces, telles que l'isolement des appareils infectés, l'arrêt des processus malveillants et la suppression des logiciels malveillants.
EDR versus l'anti-virus