En août 2015, la sécurité des postes de travail — ce qu’on appelle les « endpoints », les ordinateurs des employés — me préoccupe de plus en plus. Comme architecte qui veille sur les systèmes de nos dealers, je vois bien que le bon vieil antivirus montre ses limites. Pis une nouvelle approche commence à pointer, encore jeune, qu’on appellera plus tard l’EDR. Mais en 2015, on est encore avant sa maturité, pis ça vaut la peine de comprendre pourquoi.

Le problème avec l’antivirus classique, c’est qu’il fonctionne par signatures. Il reconnaît les menaces qu’il connaît déjà, comme un portier avec une liste de visages indésirables. Si la menace est sur la liste, elle est bloquée. Mais si c’est un nouveau visage, jamais vu, il passe.

L’antivirus à signatures: toujours un coup en retard

C’est la faiblesse de fond: pour reconnaître une menace, il faut l’avoir déjà rencontrée. Contre un attaquant qui change constamment son code, l’antivirus court après, toujours un pas derrière.

flowchart TD
    A[Fichier arrive sur le poste] --> B{Sur la liste<br/>des signatures connues?}
    B -->|oui| C[Bloque]
    B -->|non| D[Laisse passer]
    D --> E[Menace nouvelle = invisible]
    E --> F[On la decouvre<br/>apres les degats]

Ce qui me dérange, c’est ce « après les dégâts ». L’antivirus à signatures protège bien contre les menaces d’hier, mais il est aveugle face à celles de demain. Or, en 2015, les attaquants produisent des variantes nouvelles à la chaîne. Le portier avec sa liste est vite dépassé.

La nouvelle idée: surveiller le comportement

L’approche qui émerge — encore immature, mais prometteuse — change complètement de logique. Au lieu de reconnaître des visages connus, on surveille les comportements suspects. On ne demande plus « est-ce que je connais ce fichier? », mais « est-ce que ça agit de façon anormale? ».

C’est beaucoup plus puissant en théorie. Un programme qui se met à chiffrer tous tes fichiers — un rançongiciel — a un comportement reconnaissable, même si on n’a jamais vu ce virus-là précisément. Surveiller le comportement, c’est attraper les menaces inconnues par ce qu’elles font, pas par ce qu’elles sont.

Pourquoi je reste prudent en 2015

Mais je tempère mon enthousiasme, parce qu’en août 2015, cette approche est encore jeune. Elle génère beaucoup de fausses alertes — du comportement légitime qui a l’air louche — pis elle demande des gens compétents pour trier le vrai du faux. Une techno de détection qui crie au loup dix fois par jour finit par être ignorée, pis là elle sert à rien.

Pour mes dealers, ça veut dire pas jeter l’antivirus par-dessus bord, mais le compléter prudemment, en sachant que la détection comportementale a besoin de mûrir. C’est un repère important: la sécurité endpoint évolue de la reconnaissance vers la compréhension, mais on n’est pas encore au point où ça roule tout seul.

Ce que je retiens

En août 2015, je note un virage de fond dans la sécurité des postes: on passe de l’antivirus à signatures, toujours un coup en retard, vers une détection basée sur le comportement, capable d’attraper les menaces jamais vues. La logique change — on surveille ce qu’un programme fait, pas seulement ce qu’on connaît de lui.

Mais on est avant la maturité de cette approche. Trop de fausses alertes, besoin de gens compétents pour trier. Ma position d’architecte, c’est d’adopter prudemment, de compléter sans tout jeter, pis de surveiller comment ça mûrit. Parce que comprendre l’intention plutôt que reconnaître un visage, c’est la bonne direction — il reste juste à attendre que l’outil soit à la hauteur de la promesse.