{"id":19304,"date":"2022-08-23T17:05:53","date_gmt":"2022-08-23T15:05:53","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=19304"},"modified":"2022-08-23T17:05:53","modified_gmt":"2022-08-23T15:05:53","slug":"kedr-selabs-test-2022","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/kedr-selabs-test-2022\/19304\/","title":{"rendered":"Solutions EDR et tests ind\u00e9pendants"},"content":{"rendered":"<p>La meilleure fa\u00e7on de prouver l\u2019efficacit\u00e9 d\u2019une solution de s\u00e9curit\u00e9 est de la tester dans des conditions r\u00e9elles, et d\u2019utiliser les tactiques et les techniques d\u2019attaques cibl\u00e9es habituelles. Kaspersky participe r\u00e9guli\u00e8rement \u00e0 ces tests et est confortablement install\u00e9 <a href=\"https:\/\/www.kaspersky.fr\/top3\" target=\"_blank\" rel=\"noopener\">\u00e0 la t\u00eate de ce classement<\/a>.<\/p>\n<p>Les r\u00e9sultats du test <a href=\"https:\/\/selabs.uk\/reports\/enterprise-advanced-security-edr-2022-q2-detection\/\" target=\"_blank\" rel=\"noopener nofollow\"><em>Enterprise Advanced Security (EDR)\u00a0: Enterprise 2022 Q2 \u2013 DETECTION<\/em><\/a> ont \u00e9t\u00e9 r\u00e9v\u00e9l\u00e9s dans le rapport de juillet de <a href=\"https:\/\/selabs.uk\/\" target=\"_blank\" rel=\"noopener nofollow\">SE Labs<\/a>. Depuis plusieurs ann\u00e9es, les solutions de s\u00e9curit\u00e9 des principaux acteurs sont mises \u00e0 rude \u00e9preuve par cette entreprise britannique. Lors de ce dernier test, notre solution <em>Kaspersky Endpoint Detection and Response Expert<\/em> destin\u00e9e aux entreprises a obtenu le score parfait de 100 % de d\u00e9tection des attaques cibl\u00e9es, ce qui lui a valu la note maximale AAA.<\/p>\n<p>Ce n\u2019est pas la premi\u00e8re fois que SE Labs analyse les capacit\u00e9s de nos produits con\u00e7us pour les entreprises face aux menaces sophistiqu\u00e9es. L\u2019entreprise a auparavant effectu\u00e9 le <em>Branch Response Test<\/em>, auquel nous avons particip\u00e9 en <a href=\"https:\/\/selabs.uk\/reports\/breach-response-test-kaspersky-anti-targeted-attack-platform\/\" target=\"_blank\" rel=\"noopener nofollow\">2019<\/a>. Puis, notre produit a subi le <em>Advanced Security Test (EDR)<\/em> en <a href=\"https:\/\/selabs.uk\/reports\/enterprise-advanced-security-edr-kaspersky-2021-q4\/\" target=\"_blank\" rel=\"noopener nofollow\">2021<\/a>. Depuis, cette m\u00e9thodologie de test a \u00e9t\u00e9 ajust\u00e9e et le test a \u00e9t\u00e9 divis\u00e9 en deux parties\u00a0: d\u00e9tection et protection. Cette fois, SE Labs a \u00e9tudi\u00e9 l\u2019efficacit\u00e9 de solutions de s\u00e9curit\u00e9 lorsqu\u2019il s\u2019agit de <em>d\u00e9tecter<\/em> une activit\u00e9 malveillante. En plus de Kaspersky EDR Expert, quatre autres produits ont particip\u00e9 au test\u00a0: Broadcom Symantec, CrowdStrike, BlackBerry et une autre solution anonyme.<\/p>\n<h2>Le syst\u00e8me de notation<\/h2>\n<p>Le test comprend plusieurs v\u00e9rifications, mais il suffit de regarder la note obtenue pour <strong><em>Total Accuracy Ratings<\/em><\/strong> pour comprendre les r\u00e9sultats. Cette cat\u00e9gorie montre \u00e0 quel point chaque solution a d\u00e9tect\u00e9 les attaques aux diff\u00e9rents stades, et si elle aurait communiqu\u00e9 un faux positif \u00e0 l\u2019utilisateur. Afin d\u2019avoir une meilleure clart\u00e9 visuelle, les solutions qui ont particip\u00e9 ont re\u00e7u une note\u00a0allant de AAA (pour les produits ayant un score <em>Total Accuracy Ratings<\/em> \u00e9lev\u00e9) \u00e0 D (pour les solutions moins efficaces). Comme nous l\u2019avons mentionn\u00e9, notre solution a obtenu un taux de pr\u00e9cision total de 100 % et une note AAA.<\/p>\n<p>La cat\u00e9gorie <em>Total Accuracy Ratings<\/em> se divise en deux parties\u00a0:<\/p>\n<ul>\n<li>La pr\u00e9cision de d\u00e9tection (<em>Detection Accuracy<\/em>) qui prend en compte la d\u00e9tection de chaque attaque \u00e0 tous les stades.<\/li>\n<li>La d\u00e9tection l\u00e9gitime (<em>Legitimate Software Rating<\/em>) dont la note d\u00e9pend des faux positifs. Moins il y a de faux positifs, plus la note est \u00e9lev\u00e9e.<\/li>\n<\/ul>\n<p>Un autre indicateur est d\u00e9terminant\u00a0: les attaques d\u00e9tect\u00e9es (<em>Attacks Detected<\/em>). Il s\u2019agit du pourcentage d\u2019attaques d\u00e9tect\u00e9es par la solution \u00e0 au moins un des stades pour que l\u2019\u00e9quipe de s\u00e9curit\u00e9 de l\u2019information ait la possibilit\u00e9 de r\u00e9pondre \u00e0 l\u2019incident.<\/p>\n<h2>Comment nous avons \u00e9t\u00e9 test\u00e9s<\/h2>\n<p>Dans l\u2019id\u00e9al, le test devrait r\u00e9v\u00e9ler comment la solution agirait lors d\u2019une attaque r\u00e9elle. C\u2019est dans cette optique que SE Labs a essay\u00e9 de cr\u00e9er un environnement de test aussi r\u00e9el que possible. Tout d\u2019abord, les d\u00e9veloppeurs n\u2019ont pas configur\u00e9 les solutions de s\u00e9curit\u00e9 pour le test. Ce sont les testeurs de SE Labs qui ont effectu\u00e9 cette t\u00e2che en suivant les instructions du fournisseur\u00a0; exactement comme le font g\u00e9n\u00e9ralement les \u00e9quipes de s\u00e9curit\u00e9 de l\u2019information du client. Ensuite, les tests ont \u00e9t\u00e9 effectu\u00e9s en cha\u00eene, du premier contact au vol des donn\u00e9es ou \u00e0 toute autre cons\u00e9quence. Enfin, les tests reposaient sur les m\u00e9thodes d\u2019attaque de quatre grands groupes APT r\u00e9els et actifs\u00a0:<\/p>\n<ul>\n<li><a href=\"https:\/\/www.theregister.com\/2022\/05\/18\/wizard-spider-ransomware-conti\/\" target=\"_blank\" rel=\"noopener nofollow\">Wizard Spider<\/a>, qui vise les entreprises, les banques et m\u00eame les h\u00f4pitaux. Le cheval de Troie bancaire <a href=\"https:\/\/www.kaspersky.fr\/blog\/trickbot-new-tricks\/17922\/\" target=\"_blank\" rel=\"noopener\">Trickbot<\/a> est un de ses outils.<\/li>\n<li><a href=\"https:\/\/www.welivesecurity.com\/2022\/03\/21\/sandworm-tale-disruption-told-anew\/\" target=\"_blank\" rel=\"noopener nofollow\">Sandworm<\/a>, qui s\u2019en prend principalement aux services publics. Ce groupe est tristement c\u00e9l\u00e8bre pour son programme malveillant <a href=\"https:\/\/securelist.com\/expetrpetyanotpetya-is-a-wiper-not-ransomware\/78902\/\" target=\"_blank\" rel=\"noopener\">NotPetya<\/a>, qui se faisait passer pour un ransomware mais d\u00e9truisait les donn\u00e9es de la victime apr\u00e8s la r\u00e9cup\u00e9ration.<\/li>\n<li><a href=\"https:\/\/www.kaspersky.fr\/blog\/lazarus-defi-wallet-backdoor\/18806\/\" target=\"_blank\" rel=\"noopener\">Lazarus<\/a>, qui s\u2019est fait conna\u00eetre apr\u00e8s l\u2019attaque \u00e0 grande \u00e9chelle de Sony Pictures en novembre 2014. Alors qu\u2019il se concentrait sur le secteur bancaire, le groupe a r\u00e9cemment jet\u00e9 son d\u00e9volu sur les \u00e9changes de cryptomonnaie.<\/li>\n<li><a href=\"https:\/\/www.fox-it.com\/media\/kadlze5c\/201912_report_operation_wocao.pdf\" target=\"_blank\" rel=\"noopener nofollow\">Operation Wocao<\/a>, qui cible les services publics, les fournisseurs de services, les entreprises \u00e9nerg\u00e9tiques et technologiques, et le secteur de la sant\u00e9.<\/li>\n<\/ul>\n<h3>Les tests de d\u00e9tection des menaces<\/h3>\n<p>Lors du test <em>Detection Accuracy<\/em>, SE Labs \u00e9tudie dans quelle mesure les solutions de s\u00e9curit\u00e9 d\u00e9tectent efficacement les menaces. Pour ce faire, 17 attaques complexes bas\u00e9es sur quatre cas r\u00e9els des groupes Wizard Spider, Sandworm, Lazarus Group et Operation Wocao sont lanc\u00e9es. Quatre stades importants ont \u00e9t\u00e9 soulign\u00e9s, et chacun d\u2019entre eux comprend une ou plusieurs \u00e9tapes interconnect\u00e9es\u00a0:<\/p>\n<ul>\n<li>Livraison et ex\u00e9cution<\/li>\n<li>Action<\/li>\n<li>\u00c9l\u00e9vation des privil\u00e8ges et action<\/li>\n<li><a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/lateral-movement\/\" target=\"_blank\" rel=\"noopener\">Mouvement lat\u00e9ral<\/a> et action<\/li>\n<\/ul>\n<p>La logique du test n\u2019attend pas que la solution d\u00e9tecte tous les \u00e9v\u00e9nements \u00e0 un stade sp\u00e9cifique de l\u2019attaque. Il suffit d\u2019en identifier au moins un. Par exemple, si le produit ne d\u00e9tecte pas comment la charge utile est install\u00e9e sur le dispositif mais d\u00e9tecte une tentative d\u2019ex\u00e9cution, il a r\u00e9ussi le premier stade.<\/p>\n<p><strong>Livraison et ex\u00e9cution<\/strong>. Ce stade permet de tester la capacit\u00e9 de la solution \u00e0 d\u00e9tecter une attaque en phase pr\u00e9liminaire, c\u2019est-\u00e0-dire lors de la livraison (e-mail d\u2019hame\u00e7onnage ou lien malveillant) et lors de l\u2019ex\u00e9cution d\u2019un code dangereux. Dans des conditions r\u00e9elles, l\u2019attaque est g\u00e9n\u00e9ralement interrompue \u00e0 ce moment-l\u00e0 puisque la solution de s\u00e9curit\u00e9 n\u2019autorise pas le programme malveillant \u00e0 aller plus loin. Aux fins de ce test, la cha\u00eene d\u2019attaque continue afin d\u2019observer comment la solution agirait dans les prochains stades.<\/p>\n<p><strong>Action. <\/strong>Ici, les chercheurs \u00e9tudient le comportement de la solution lorsque les cybercriminels ont acc\u00e8s au terminal. Le produit doit d\u00e9tecter une action ill\u00e9gitime du logiciel.<\/p>\n<p><strong>\u00c9l\u00e9vation des privil\u00e8ges et action. <\/strong>Lorsqu\u2019une attaque r\u00e9ussie, l\u2019intrus essaie d\u2019obtenir plus de privil\u00e8ges dans le syst\u00e8me et de causer plus de d\u00e9g\u00e2ts. Si la solution de s\u00e9curit\u00e9 surveille ces \u00e9v\u00e9nements ou le processus d\u2019\u00e9l\u00e9vation des privil\u00e8ges, elle re\u00e7oit des points suppl\u00e9mentaires.<\/p>\n<p><strong>Mouvement lat\u00e9ral et action. <\/strong>Une fois qu\u2019ils ont acc\u00e8s au terminal, les cybercriminels essaient d\u2019infecter les autres dispositifs connect\u00e9s au r\u00e9seau de l\u2019entreprise. C\u2019est ce qu\u2019on appelle le mouvement lat\u00e9ral. Les testeurs v\u00e9rifient si la solution de s\u00e9curit\u00e9 d\u00e9tecte les tentatives de mouvement de ce type ou n\u2019importe quelle action qui r\u00e9sulte de ce comportement.<\/p>\n<p>Le produit Kaspersky EDR Expert a obtenu un score de 100 % dans cette cat\u00e9gorie. Cela signifie qu\u2019il a d\u00e9tect\u00e9 l\u2019attaque \u00e0 tous les stades.<\/p>\n<h3>La d\u00e9tection l\u00e9gitime<\/h3>\n<p>Une bonne protection doit \u00eatre capable de repousser efficacement les menaces et ne doit pas emp\u00eacher l\u2019utilisateur d\u2019utiliser des services s\u00fbrs. Pour ce faire, les chercheurs attribuent une autre note\u00a0: plus elle est \u00e9lev\u00e9e, moins la solution identifie par erreur des sites ou des programmes l\u00e9gitimes, surtout ceux qui sont connus, comme dangereux.<\/p>\n<p>L\u00e0 encore, Kaspersky EDR Expert a obtenu un score de 100 %.<\/p>\n<h2>Les r\u00e9sultats du test<\/h2>\n<p>\u00c0 partir des r\u00e9sultats de ce test, <a href=\"https:\/\/www.kaspersky.fr\/enterprise-security\/endpoint-detection-response-edr?icid=fr_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">Kaspersky Endpoint Detection and Response Expert<\/a> a obtenu la note la plus \u00e9lev\u00e9e : AAA. Trois autres produits ont eu le m\u00eame r\u00e9sultat : Symantec Endpoint Security et Cloud Workload Protection de Broadcom, CrowdStrike Falcon et une solution anonyme. Pourtant, nous sommes les seuls avec Broadcom Symantec \u00e0 avoir obtenu un score de 100 % dans la cat\u00e9gorie <em>Total Accuracy Ratings<\/em>.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>SE Labs a attribu\u00e9 la meilleure note \u00e0 Kaspersky EDR lors d\u2019un test ind\u00e9pendant qui repose sur des attaques r\u00e9elles.<\/p>\n","protected":false},"author":2706,"featured_media":19305,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2112,3150,7],"tags":[2474,2715,765,356],"class_list":{"0":"post-19304","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-products","10":"tag-edr","11":"tag-se-labs","12":"tag-tests","13":"tag-tests-independants"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/kedr-selabs-test-2022\/19304\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/kedr-selabs-test-2022\/24463\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/kedr-selabs-test-2022\/19929\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/kedr-selabs-test-2022\/26907\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/kedr-selabs-test-2022\/24821\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/kedr-selabs-test-2022\/25192\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/kedr-selabs-test-2022\/27520\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/kedr-selabs-test-2022\/27172\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/kedr-selabs-test-2022\/33872\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/kedr-selabs-test-2022\/10941\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/kedr-selabs-test-2022\/45160\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/kedr-selabs-test-2022\/19911\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/kedr-selabs-test-2022\/29172\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/kedr-selabs-test-2022\/28424\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/kedr-selabs-test-2022\/25366\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/kedr-selabs-test-2022\/30868\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/kedr-selabs-test-2022\/30576\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/tests-independants\/","name":"tests ind\u00e9pendants"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/19304","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/2706"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=19304"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/19304\/revisions"}],"predecessor-version":[{"id":19307,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/19304\/revisions\/19307"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/19305"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=19304"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=19304"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=19304"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}