Protection des terminaux : qui sont les principaux fournisseurs ?

Qui n'était pas né en l'an 2000 ? Au Magic Quadrant de la protection des terminaux (EPP  ou Endpoint Protection Platform ), pas grand monde. En l'occurrence, 5 fournisseurs sur les 19 classés. Autre élément remarquable au-delà de la moyenne d'âge : la part d'entreprises européennes (géographiquement parlant, elles sont 6).

Pour positionner l'ensemble dans son « carré magique », Gartner prend deux axes en considération : « vision » et « exécution ». En fonction de celui auquel on donne la priorité, la hiérarchie varie. Aussi, le tableau qui suit n'est pas à prendre comme un classement. Il reprend toutefois l'ordre dans lequel sont placées les quatre catégories de fournisseurs : « leaders », « challengers », « visionnaires » et « acteurs de niche ».

Convergence avec l'EDR

Qu'attendre d'un EPP ? La liste des critères d'inclusion au Magic Quadrant donne une idée. Il fallait principalement en remplir, au 1^er avril 2020, au moins 12 des 15 suivants :

• Protection qui ne requiert pas une mise à jour quotidienne d'agent et/ou de définitions
• Analyse comportementale des processus
• Stockage centralisé des indicateurs de compromis (IoC) et d'attaque (IoA)
• Détection et blocage des attaques sans fichier
• Suppression automatique des malwares (y compris par quarantaine ou en stoppant des processus)
• Possibilité d'éliminer ou d'ignorer les faux positifs sans affaiblir la protection
• Console principale en SaaS
• Affichage de l'arborescence complète des processus
• Recherche de menaces, y compris sur des terminaux non connectés
• Identification des changements qu'effectuent les malwares, puis fourniture d'une assistance ou d'une option de rollback
• Possibilité d'intégrer des services de renseignement sur les menaces
• Protection contre les failles logicielles et de mémoire communes
• Collecte d'informations sur des terminaux hors du réseau d'entreprise
• Analyse statique de dossiers et de lecteurs
• Un seul agent/capteur ou une intégration à l'OS

L'argument des services managés

Il y avait une autre série de 15 critères, de « second rang », avec au moins 4 à satisfaire :

• Patching virtuel
• Priorisation des vulnérabilités en fonction du risque
• Liste noire configurable activée par défaut
• Isolation des applications
• Sandbox cloud ou réseau
• Possibilité d'utiliser des leurres
• Services gérés de monitoring et d'alerte
• Services gérés de recherche de menaces et de réponse à distance
• Support des requêtes « avancées » sur la base de données, avec opérateurs et paliers (par exemple, « afficher toutes les machines sur lesquelles se trouve un exécutable portable vieux de moins d'une semaine et soit inconnu, soit présent sur moins de 2 % du parc »)
• Aide à l'analyse et à la réponse en fonction de renseignements collectés par le fournisseur
• Capacités d'attribution des attaques et d'évaluation des motivations potentielles
• Équivalence fonctionnelle pour les systèmes non connectés à Internet
• Consolidation automatique d'alertes multisources
• Corrélation et enrichissement de signaux faibles
• Coordination de la réponse entre solutions de sécurité

En parallèle, il y a quelques critères éliminatoires. Dont un relatif à la clientèle. Il implique deux choses. D'une part, avoir au moins 7 millions de sièges actifs sur des installations dont on est le seul fournisseur EPP. De l'autre, avoir au moins 250 000 installations actives d'au moins 500 sièges. Il a coûté à Malwarebytes une place au Magic Quadrant.

Photo d'illustration © Sikov - Adobe Stock