Protection du poste de travail : Windows Defender ATP menace-t-il les éditeurs de solutions avancées
Pour Alex Stamos, RSSI de Facebook, la messe est dite. Il n’est pas le seul à penser ainsi. Mais tout n'est pas aussi simple, notamment dans les environnements hétérogènes.
Le commentaire d’Alex Stamos, responsable de la sécurité informatique chez Facebook, aurait pu passer inaperçu. Pourtant, il ne manque pas de soulever une question importante : lorsque l’on déploie Windows Defender ATP, reste-t-il pertinent d’y ajouter une solution d’EDR ou de protection avancée des points de terminaison (EPP), serveurs comme postes de travail ?
On l’aura compris, pour lui, ce n’est pas le cas. Le RSSI du réseau social décrit ainsi la solution de Microsoft comme « un Carbon Black ou un Cylance avec un agent intégré au système d’exploitation de base ». Sans concession, il ajoute : « je n’investirais pas dans un éditeur d’EDR Windows ces jours-ci ».
Non sans ironie, Dean Pierce, chercheur en sécurité informatique, relève l’importance des tableaux de bord produits par certains : « on ne peut défendre son entreprise sans ces graphiques en forme de beignet ! ». Et Ryan O’Horo, un autre spécialiste, de répliquer avec de tels graphiques… issus du tableau de bord de Windows Security Center. Alex Davies, de Countercept, se range également à l’avis d’Alex Stamos. Et il n’est pas seul. Le prestataire de services Third Tier a ainsi arrêté d’utiliser autre chose que ce que propose Microsoft pour protéger les postes de travail sous Windows 10. Un autre indique encourager ses clients à faire ce choix, depuis 2016.
It’s basically Carbon Black or Cylance with the agent built into the base OS. I wouldn’t invest in any Windows EDR companies these days.
— Alex Stamos (@alexstamos) June 13, 2018
The DGAF-about-antitrust era of Microsoft is a much safer one for end users. https://t.co/0mGXmVtspa
Taquin, Pete Bryan, consultant en solutions techniques chez Microsoft, spécialiste de la sécurité, renchérit : « c’est un peu plus nuancé que cela. L’EDR est le composant principal de Windows Defender ATP, mais à cela s’ajoute la surveillance de la posture de sécurité des hôtes, l’automatisation de la réponse, et l’administration des contrôles de sécurité de Windows 10 ».
Windows Defender n’a d’ailleurs pas démérité dans les tests réalisés par AV-Test pour sa campagne janvier/février 2018. L’antivirus de Microsoft a ainsi laissé passer deux échantillons malveillants… qui auraient été détectés avec les composants Defender ATP.
En fait, comme Gartner le souligne dans l’édition 2018 de son quadrant magique sur la protection des points de terminaison, « depuis deux ans, Microsoft a régulièrement amélioré les solutions de sécurité intégrées à Windows 10. Un déploiement de Windows Defender avec Defender ATP peut être considéré comme compétitif avec certaines solutions d’EPP disponibles auprès d’autres éditeurs ».
D’après le cabinet d’analystes, « Microsoft est devenu l’éditeur sur lequel on pose le plus de questions dans le cadre des appels [qui lui sont adressés par ses clients] pour évoquer le sujet de l’EPP ». La motivation ? Chercher à réduire les dépenses en faveur de tiers.
Mais il y a un bémol, toutefois. Pour profiter de Defender ATP, une licence Entreprise E5 est nécessaire. Et par rapport à la licence E3, le surcoût n’est pas négligeable : pour Windows 10 E3, il faut compter un peu plus de 10 € par utilisateur et par mois ; pour la licence E5, c’est un peu moins de 20 €. Et tout son parc n’est pas forcément couvert, à ce prix-là.
Il faudra encore attendre cet été pour que Windows Defender ATP couvre les systèmes Windows 7/8.1 et Server 2012R2/2016 – Windows Server 2019 ne sera pas oublié. En outre, la solution de Microsoft ne couvre pas les machines macOS et Linux, nativement. Pour les supporter – ainsi que les terminaux iOS et Android –, l’éditeur de Redmond a noué des partenariats avec Bitdefender, Lookout, Ziften, et plus récemment avec SentinelOne. Mais là, tout n’est pas forcément rose, et Gartner prévient : ces partenariats peuvent « conduire à disperser les capacités de visibilité et de remédiation », de quoi introduire « des complexités opérationnelles additionnelles ».