Microsoft a annoncé la mise en place, dans le courant de l’année, d’une nouvelle offre centrée sur la sécurité pour les entreprises. Baptisée « Advanced Threat Protection », elle s’appuie sur les fonctionnalités de Windows 10 et les calculs réalisés dans le cloud pour avertir des menaces.
Windows Defender Advanced Threat Protection est un service qui sera proposé dans le courant de l’année aux entreprises qui en font la demande. Actuellement en phase de test, il permet de renforcer les défenses de Windows 10 en fournissant des informations basées sur le brassage d’une vaste quantité de données dans le cloud.
La sophistication des attaques augmente, les protections doivent suivre
Dans son billet d’annonce, Microsoft indique que le degré de sophistication des menaces est en hausse constante : « Les cybercriminels sont bien organisés avec une émergence alarmante des attaques soutenues par des États, du cyberespionnage et du cyberterrorisme. Même avec la meilleure défense, des attaqueurs sophistiqués utilisent l’ingénierie sociale et les failles 0-day pour pénétrer dans les réseaux d’entreprises. Plusieurs milliers de ces attaques ont été rapportées dans la seule année 2015 ».
L’éditeur indique que, selon ses mesures, une société met en moyenne 200 jours pour détecter une brèche dans sa sécurité, et qu’il faut en moyenne également 80 jours pour circonscrire l’incident. Évidemment, les pirates ont tout le temps durant cette période de réaliser leur sinistre besogne : vol de données, viol de la vie privée, dégradation de la confiance des utilisateurs et ainsi de suite.
Toujours selon Microsoft, 90 % des responsables informations sont d’accord sur un point : la protection contre les menaces doit évoluer rapidement pour fournir un véritable parapluie, avec un besoin d’agir plus rapidement. C’est le positionnement de Windows Defender Advanced Threat Protection : aider les entreprises à détecter les menaces, mener l’enquête et à y répondre.
Détecter et analyser l'attaque
L’ATP propose principalement trois axes. Le premier concerne la détection des attaques : qui en est à l’origine, à quel endroit, par quels moyens, et pourquoi. On imagine que la réponse à ces trois questions est un cas idéal, car il n’est pas toujours possible de connaître les auteurs d’une attaque, et encore moins les raisons. Pour parvenir à ce résultat, Microsoft met en avant le mixage réalisé dans le cloud d’un grand nombre de « capteurs », de statistiques mangées à la sauce Big Data, ou encore de renseignements issus de la communauté de la sécurité.
L’ensemble compose un grand graphe au sein duquel les éléments sont mis en relation. Ils sont issus de sources diverses, notamment les statistiques anonymes envoyées par plus d’un milliard d’appareils sous Windows (toutes les versions en étant capables du moins), 2 500 milliards d’adresses indexées, 600 millions d’indices de réputation ainsi que plus d’un million de fichiers suspects examinés chaque jour. Notons quand même que l’ensemble est chapoté par une équipe dédiée et que le mécanisme ne fournit donc pas seulement des résultats automatiques.
Une analyse de l'intégrité du parc
Le deuxième axe est la réponse à l’incident. Des outils seront ainsi proposés pour analyser l’intégralité du réseau à la recherche d’activités suspectes, mettre en avant les actions réalisées par les pirates, examiner les alertes ou obtenir des informations précises sur les fichiers éventuellement modifiés.
ATP peut garder en permanence un historique de six mois de l’activité des machines pour mieux indiquer ce qui sort de l’ordinaire. Les administrateurs pourront également expédier des fichiers et liens suspects à un service en ligne de « détonation », autrement dit capable de les tester pour en vérifier le comportement. Plus tard, ATP proposera en outre des outils spécifiques à la restauration du bon fonctionnement des appareils touchés.
Compléter Windows 10 et le mettre en avant
Le dernier axe est l’intégration dans l’infrastructure existante. ATP ne peut prendre place que dans un parc Windows 10, et on peut faire confiance à Microsoft pour appuyer sur ce point, afin de motiver un peu plus les entreprises à y passer. Il s’agit d’un service distant accompagnant le système. Il n’y a donc aucun élément sur site à configurer et à entretenir, le service se mariant naturellement à Office 365 Advanced Threat Protection et Advanced Threat Analytics.
L’idée d’un service distant complétant un produit local n’est pas nouvelle. Plusieurs produits de sécurité, comme AVG et Kaspersky, proposent ce type d’outil, notamment pour tout ce qui touche à la réputation d’une ressource Internet. Microsoft entend cependant proposer un packaging complet, vantant les mérites de l’interaction de son dernier système d’exploitation et de services capables de le compléter.
Cela étant, mettre en avant un produit n’a rien de répréhensible, et on préfère effectivement voir la firme proposer de vrais bonus à une telle migration qu’en forcer le rythme via une diffusion dans Windows Update. En attendant, ATP n’est pas encore une offre commerciale effective. Il faudra attendre plus tard dans l’année pour la voir proposée, sans plus de précisions.
