18 suites de protection pour entreprise utilisant Windows 10 sur le banc d'essai
Une solution client-serveur efficace permet de protéger le réseau informatique d'une entreprise, cible de cyberattaques. Le laboratoire d'AV-TEST a testé l'efficacité de 18 produits en matière de protection, de performance et d'utilisation et décerné à dix d'entre eux la distinction PRODUIT D'EXCELLENCE (TOP PRODUCT).
Dans les médias, on entend de plus en plus souvent parler d'attaques sur les réseaux informatiques des entreprises. En Europe, les nombreux incidents publiés semblent également être liés au Règlement Général sur la Protection des Données de l'UE (UE-RGPD) qui prescrit de les notifier après la perte de données à caractère personnel. L'utilisation de suites antivirus est également obligatoire.
18 solutions pour entreprises sur le banc d'essai
Le laboratoire d'AV-TEST a testé 18 solutions pour entreprises dans trois domaines : protection, performance (rapidité de travail) et leur influence sur l'utilisation du PC. Le laboratoire attribue un maximum de 6 points pour toutes les catégories du test. La meilleure note possible au test est donc de 18 points.
Tous les tests ont été réalisés entre juillet et août 2018. Durant cette période, chaque produit a été soumis deux fois à tous les tests. Bien que le laboratoire ait placé la barre très haut lors des tests, il a attribué à de nombreux produits non seulement un certificat pour leur sécurité, mais également la distinction PRIX D'EXCELLENCE (TOP PRODUCT). Seuls les produits ayant obtenu une note totale entre 18 et 17,5 points reçoivent cette mention. Les deux produits respectifs de Bitdefender et Kaspersky Lab l'ont remportée, mais également Microsoft, Avast, Check Point, Trend Micro et Symantec avec deux suites.
Des performances remarquables au niveau de la protection
Avec ce qu'on appelle le test en conditions réelles (real-world test) et le test avec le set de référence, le laboratoire contrôle le niveau de protection d'une solution. De plus, dans la première catégorie du test, il s'agit de reconnaître et de stopper près de 300 programmes malveillants – de dangereux malwares 0-day. Ces malwares sévissent pour certains depuis quelques heures seulement. Dans la deuxième section du test, près de 20 000 programmes malveillants déjà connus doivent être identifiés et éliminés. Ceux-ci sont en cours depuis 2 semaines au maximum. Le laboratoire connaît exactement l'âge et les dangers potentiels des malwares. Enfin, AV-TEST les trouve lui-même sur la toile – chaque jour, 24 h sur 24. Avec ses propres outils, le laboratoire teste et classifie les attaquants, les archive et les inscrit dans une banque de données. De cette façon, AV-TEST dispose de sa propre collection de programmes malveillants. État actuel de la banque de données fin septembre 2018 : plus de 830 millions de malwares !
En comparaison avec les tests précédents, le résultat de ce test est remarquable dans le domaine de la protection : 17 des 18 produits testés ont obtenu la note maximale de 6 points dans la catégorie protection. Si l'on considère les purs taux de scannage en pour cent, 14 produits ont réussi dans toutes les 4 sections du test avec un taux d'identification de 100 pour cent. Même si 3 produits ont fait quelques petites erreurs qui se sont traduites par une perte de l'ordre de la décimale, ils ont tout de même obtenu la note maximale.
Une bonne protection pour une faible surcharge du système
On le sait, les PC utilisés dans les entreprises ne sont pas toujours les plus performants. C'est pourquoi la surcharge occasionnée par le logiciel de protection sur le serveur client est un point important pour les testeurs. Pour tester la performance de manière approfondie, diverses opérations sont exécutées en laboratoire sur un PC standard et sur un PC haut de gamme : copier des données, ouvrir des sites Internet ou démarrer des logiciels. Le temps nécessaire à ces opérations sert alors de temps de référence. Ensuite, les produits sont installés individuellement sur les PC du test, les opérations sont exécutées encore une fois et le temps nécessaire est noté. Dans cette catégorie également, les suites antivirus peuvent remporter jusqu'à 6 points. Toutefois, seuls 9 produits sur 18 y sont parvenus. Les deux suites respectives de Bitdefender, Kaspersky Lab et Symantec ont obtenu le score total de 6 points, de même que les produits de Microsoft, Seqrite et Trend Micro, se plaçant devant les suites d'Avast, Carbon Black, Check Point, Palo Alto Networks et Sophos qui atteignent néanmoins la très bonne note de 5,5 points avec une légère surcharge du serveur client. Tous les autres produits ont obtenu entre 5,0 et 4,5 points. Comodo est lanterne rouge avec une surcharge assez élevée et seulement 3,5 points.
Les fausses alertes sèment le trouble chez les utilisateurs
Dans la catégorie utilisation, AV-TEST teste l'efficacité des produits au niveau des faux positives lors de la visite de sites Internet, du scannage de fichiers logiciels, de l'installation et le démarrage de logiciels. Cela semble simple, mais la réalité est toute autre : pendant le test, 500 sites web sont visités, près de 1,4 million de fichiers sont scannés et une douzaine de programmes sont installés et démarrés. Et ceci pour chaque produit testé !
De nombreuses suites ont n'ont pas accompli leur mission. Seuls 8 produits sur 18 ont obtenu la totalité des 6 points : les deux produits respectifs de Bitdefender et Kaspersky Lab, Avast, Check Point, McAfee et Microsoft. Toutes les autres suites ont tout de même atteint la bonne note de 5,5 points. Seul Seqrite a commis plus d'erreurs et remporté 5,0 points, Carbon Black n'en a même obtenu que 4,0.
Un champ d'essai de très haute qualité
Au total, 10 des 18 produits testés ont atteint la note maximale de 18 ou 17,5 points qui leur confère la mention PRODUIT D'EXCELLENCE. En comparaison avec des tests précédents, ce nombre est remarquable. Les produits de Bitdefender et Kaspersky Lab avec respectivement 2 suites de protection et Microsoft constituent le peloton de tête avec 18 points. En deuxième place arrivent les solutions d'Avast, Check Point, Symantec (les deux produits) et Trend Micro avec 17,5 points.
Les produits de McAfee, Seqrite et Sophos obtiennent également une bonne note avec 17 points. Les 5 dernières places du tableau se situent entre 16,5 et 15 points, ce qui est encore un niveau très élevé.
Le test montre la haute qualité des suites testées. Même le Windows Defender, module de protection de serveur client, a su convaincre en réalisant la meilleure performance, pour la première fois depuis qu'il est soumis au test (historique du test).
Next Generation Endpoint Security
Maik Morgenstern
Directeur technique d'AV-TEST GmbH
Depuis environ 2012, de nouvelles entreprises pénètrent le marché de l'Endpoint Security, désigné par le terme de « Next Generation Endpoint Security ». Parmi ces entreprises, on compte en autres Cylance, CrowdStrike, SentinelOne, Ensilo, DeepInstinct, Carbon Black, Palo Alto, FireEye et plus encore.
Toutes partagent la même exigence, celle de faire beaucoup mieux que les produits antivirus traditionnels :
- identification sans signatures réactives, soit notamment sans mises à jour régulières de signatures
- identification également de nouveaux programmes malveillants encore inconnus sans analyse préalable
- faible influence sur la performance du système client
- en partie identification hors connexion également
Pour y parvenir, différentes techniques sont utilisées : intelligence artificielle et apprentissage-machine, afin de reconnaître les fichiers à leur seule "apparence" avant l'exécution du programme malveillant.
Pour simplifier : un algorithme apprend à partir des ensembles d'apprentissage, c'est-à-dire des programmes clairement identifiés comme malveillants et des logiciels sains, à distinguer le bon du mauvais. On alimente l'algorithme avec des ensembles d'apprentissage toujours nouveaux et à la fin, on le teste pour voir s'il est capable d'ordonner des fichiers qui ne faisaient pas partie de l'ensemble d'apprentissage.
Les avantages : si l'algorithme a appris à l'aide des ensembles d'apprentissage et calculé un modèle permettant de savoir à quoi ressemble un malware particulier, il pourra en identifier toutes les nouvelles variantes sans problème et sans mise à jour. Au contraire, une signature ne peut identifier qu'un fichier ou certaines variantes étroitement apparentées d'un programme malveillant.
Les inconvénients : en pratique, le taux de fausses alertes augmente, un phénomène que l'on observe régulièrement dans les tests.
Les tests montrent également que l'identification par algorithme n'est efficace que si l'ensemble d'apprentissage est bien constitué. Le laboratoire a ainsi testé des produits qui identifiaient très bien les fichiers 32 bits Windows PE malveillants, mais pas du tout les versions 64 bits. Ceci est dû au fait que 99 pour cent de tous les malwares Windows PE sont des versions 32 bits et que l'algorithme n'avait aucune chance d'apprendre le comportement et l'apparence du malware 64 bits.
Autre point faible possible : que les produits de la next gen se concentrent sur certains types de fichiers, tels que les fichiers Windows PE. Les scriptes par ex. ne sont pas pris en compte par l'algorithme d'apprentissage-machine. Pour cela, d'autres modules sont nécessaires qui contrôlent séparément l'exécution de scriptes.
Les tests chez AV-TEST attestent en principe que les produits de la next gen sont en mesure d'offrir une protection équivalente aux logiciels antivirus traditionnels. En règle générale, on constate toutefois des taux de fausses alertes plus élevés et la plupart du temps un impact plus faible sur la performance du système.