{"id":11520,"date":"2019-03-19T09:52:38","date_gmt":"2019-03-19T09:52:38","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=11520"},"modified":"2022-05-05T13:40:12","modified_gmt":"2022-05-05T11:40:12","slug":"adaptive-anomaly-control-kesb","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/adaptive-anomaly-control-kesb\/11520\/","title":{"rendered":"Protection des postes de travail : \u00e9viter le surblocage"},"content":{"rendered":"<p>Comment les cybercriminels attaquent-ils les postes de travail\u00a0? En g\u00e9n\u00e9ral, ils exploitent les vuln\u00e9rabilit\u00e9s des programmes fr\u00e9quemment utilis\u00e9s, ou les fonctions potentiellement dangereuses d\u2019un logiciel l\u00e9gitime. Il existe bien \u00e9videmment d\u2019autres m\u00e9thodes, mais ces deux stratag\u00e8mes sont les plus courants. Il peut donc sembler logique de limiter l\u2019utilisation de tels programmes. Comment le faire sans pour autant nuire aux processus commerciaux\u00a0? Bloquer un logiciel sans r\u00e9fl\u00e9chir peut endommager s\u00e9rieusement votre entreprise. Vous devez prendre en compte les diff\u00e9rences qui existent entre les r\u00f4les de chaque employ\u00e9. Notre approche consiste \u00e0 r\u00e9duire la <a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/attack-surface\/?utm_source=kdaily&amp;utm_medium=blog&amp;utm_campaign=termin-explanation\" target=\"_blank\" rel=\"noopener\">surface d\u2019attaque<\/a> en utilisant le contr\u00f4le \u00e9volutif d\u2019anomalies, ce qui est possible gr\u00e2ce aux techniques d\u2019apprentissage automatique.<\/p>\n<p>Depuis de nombreuses ann\u00e9es MS Office avait la particularit\u00e9 d\u2019\u00eatre le roi du nombre de vuln\u00e9rabilit\u00e9s exploit\u00e9es. Cela ne signifie pas pour autant que le logiciel est mauvais. Les vuln\u00e9rabilit\u00e9s sont omnipr\u00e9sentes. C\u2019est juste que les cybercriminels se concentrent plus sur Office que sur ses concurrents parce qu\u2019il s\u2019agit du logiciel le plus commun\u00e9ment utilis\u00e9. M\u00eame si votre entreprise est pr\u00eate \u00e0 d\u00e9penser de l\u2019argent pour former le personnel \u00e0 utiliser un autre programme, d\u00e8s qu\u2019une autre suite bureautique devient populaire, elle va d\u00e9tr\u00f4ner Office et occuper la premi\u00e8re place du classement des logiciels exploit\u00e9s.<\/p>\n<p>Certains produits ont des fonctions qui sont clairement dangereuses. Par exemple, les macros de ce m\u00eame programme Office peuvent \u00eatre utilis\u00e9es pour ex\u00e9cuter un code malveillant. Mais une interdiction g\u00e9n\u00e9rale ne serait pas pratique. Les analystes et comptables financiers ont besoin de ces outils dans leurs op\u00e9rations quotidiennes.<\/p>\n<p>La t\u00e2che consiste \u00e0 d\u00e9terminer comment surveiller de pr\u00e8s ces programmes, et \u00e0 n\u2019intervenir que lorsqu\u2019une activit\u00e9 anormale est d\u00e9tect\u00e9e. Ce n\u2019est pas un probl\u00e8me.<\/p>\n<h2>Qu\u2019est-ce que vous consid\u00e9rez comme activit\u00e9 <em>anormale<\/em> ?<\/h2>\n<p>L\u2019essence de l\u2019activit\u00e9 du cybercriminel est de sembler l\u00e9gitime aux yeux des syst\u00e8mes de s\u00e9curit\u00e9. Comment un syst\u00e8me de cybers\u00e9curit\u00e9 peut-il d\u00e9terminer si le message envoy\u00e9 \u00e0 un employ\u00e9, avec un fichier important en pi\u00e8ce jointe, contient une macro ou un cheval de Troie\u00a0? Cette personne a-t-elle envoy\u00e9 un fichier .is dans le cadre du travail\u00a0? Ce fichier cache-t-il un virus\u00a0?<\/p>\n<p>Il serait possible, du moins en th\u00e9orie, d\u2019analyser manuellement le travail de chaque employ\u00e9, de d\u00e9terminer les outils indispensables et ceux dont ils n\u2019ont pas vraiment besoin et, sur la base de ces informations, d\u2019\u00e9tablir un mod\u00e8le de menaces et de bloquer certaines fonctions du programme.<\/p>\n<p>C\u2019est l\u00e0 que les choses se compliquent. Tout d\u2019abord, plus l\u2019entreprise est grande, plus il est difficile de construire un mod\u00e8le pr\u00e9cis pour chaque employ\u00e9. Ensuite, m\u00eame pour une petite entreprise, une configuration manuelle demande beaucoup de temps et d\u2019efforts de la part des administrateurs. Enfin, il faudra certainement r\u00e9p\u00e9ter tout le processus lorsque l\u2019infrastructure de l\u2019entreprise ou les outils utilis\u00e9s seront modifi\u00e9s.<\/p>\n<h2>Contr\u00f4le \u00e9volutif<\/h2>\n<p>Nous avons mis en place un processus d\u2019automatisation de la fa\u00e7on suivante : les syst\u00e8mes qui reposent sur les principes de l\u2019apprentissage automatique ont ratiss\u00e9 nos bases de donn\u00e9es relatives aux menaces, et ont g\u00e9n\u00e9r\u00e9 des mod\u00e8les standards d\u2019activit\u00e9 potentiellement dangereuse. Nous avons ensuite mis en place des points qui bloquent ces mod\u00e8les sur chaque poste de travail sp\u00e9cifique.<\/p>\n<p>Ensuite, nous avons cr\u00e9\u00e9 un mode d\u2019adaptation automatique, aussi dit Smart, pour analyser l\u2019activit\u00e9 de l\u2019utilisateur et d\u00e9terminer les r\u00e8gles qui peuvent \u00eatre appliqu\u00e9es, et celles qui pourraient interf\u00e9rer avec les op\u00e9rations normales. Ce mode fonctionne de la fa\u00e7on suivante\u00a0: le syst\u00e8me recueille les statistiques relatives au d\u00e9clenchement des r\u00e8gles de contr\u00f4le pendant un certain temps en mode apprentissage, puis cr\u00e9e un mod\u00e8le correspondant \u00e0 l\u2019op\u00e9ration normale de l\u2019utilisateur ou du groupe (sc\u00e9nario l\u00e9gitime). Le mode apprentissage est ensuite d\u00e9sactiv\u00e9, et seules les r\u00e8gles de contr\u00f4le qui bloquent les actions anormales sont activ\u00e9es.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter size-full wp-image-11525\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/93\/2019\/03\/19095419\/ControleEvolutif.png\" alt=\"\" width=\"1030\" height=\"616\"><\/p>\n<p>Si le mod\u00e8le de travail de l\u2019utilisateur change, le syst\u00e8me peut \u00e0 nouveau passer au mode apprentissage et s\u2019adapter au nouveau sc\u00e9nario. Il existe \u00e9galement une option permettant d\u2019affiner les r\u00e9glages au cas o\u00f9 il faudrait ajouter certaines exclusions.<\/p>\n<p>Le rem\u00e8de miracle n\u2019existe pas, mais ce syst\u00e8me permet de r\u00e9duire consid\u00e9rablement la surface pouvant souffrir d\u2019une attaque.<\/p>\n<p>Le module de Contr\u00f4le \u00e9volutif des anomalies (AAC) fait partie de notre solution <a href=\"https:\/\/www.kaspersky.fr\/small-to-medium-business-security\/endpoint-advanced\" target=\"_blank\" rel=\"noopener\">Kaspersky Endpoint Security for Business<\/a> r\u00e9cemment mise \u00e0 jour, et d\u00e9voil\u00e9e aux utilisateurs il y a peu. Cliquez sur la banni\u00e8re ci-dessous pour t\u00e9l\u00e9charger la version d\u2019essai.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kesb\">\n","protected":false},"excerpt":{"rendered":"<p>Vous pouvez bloquer plusieurs caract\u00e9ristiques vuln\u00e9rables du logiciel pour r\u00e9duire la surface d\u2019attaque. La question est, comment le faire sans pour autant interf\u00e9rer avec les processus commerciaux ?<\/p>\n","protected":false},"author":2706,"featured_media":11521,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2112,3151],"tags":[1972,3434,3432,322],"class_list":{"0":"post-11520","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-smb","9":"tag-apprentissage-automatique","10":"tag-controle-danomalies","11":"tag-point-de-terminaison","12":"tag-vulnerabilites"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/adaptive-anomaly-control-kesb\/11520\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/adaptive-anomaly-control-kesb\/15553\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/adaptive-anomaly-control-kesb\/13097\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/adaptive-anomaly-control-kesb\/17474\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/adaptive-anomaly-control-kesb\/15622\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/adaptive-anomaly-control-kesb\/14195\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/adaptive-anomaly-control-kesb\/18025\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/adaptive-anomaly-control-kesb\/17038\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/adaptive-anomaly-control-kesb\/22425\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/adaptive-anomaly-control-kesb\/5840\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/adaptive-anomaly-control-kesb\/25966\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/adaptive-anomaly-control-kesb\/11661\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/adaptive-anomaly-control-kesb\/10472\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/adaptive-anomaly-control-kesb\/18749\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/adaptive-anomaly-control-kesb\/22796\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/adaptive-anomaly-control-kesb\/18122\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/adaptive-anomaly-control-kesb\/22405\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/adaptive-anomaly-control-kesb\/22341\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/point-de-terminaison\/","name":"point de terminaison"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/11520","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/2706"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=11520"}],"version-history":[{"count":5,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/11520\/revisions"}],"predecessor-version":[{"id":12704,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/11520\/revisions\/12704"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/11521"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=11520"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=11520"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=11520"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}