Connexion
Abonnez-vous

Microsoft présente son service Advanced Threat Protection pour les entreprises

Un gracieux compagnon pour Windows 10

Microsoft présente son service Advanced Threat Protection pour les entreprises

Le 02 mars 2016 à 14h30

Microsoft a annoncé la mise en place, dans le courant de l’année, d’une nouvelle offre centrée sur la sécurité pour les entreprises. Baptisée « Advanced Threat Protection », elle s’appuie sur les fonctionnalités de Windows 10 et les calculs réalisés dans le cloud pour avertir des menaces.

Windows Defender Advanced Threat Protection est un service qui sera proposé dans le courant de l’année aux entreprises qui en font la demande. Actuellement en phase de test, il permet de renforcer les défenses de Windows 10 en fournissant des informations basées sur le brassage d’une vaste quantité de données dans le cloud.

La sophistication des attaques augmente, les protections doivent suivre

Dans son billet d’annonce, Microsoft indique que le degré de sophistication des menaces est en hausse constante : « Les cybercriminels sont bien organisés avec une émergence alarmante des attaques soutenues par des États, du cyberespionnage et du cyberterrorisme. Même avec la meilleure défense, des attaqueurs sophistiqués utilisent l’ingénierie sociale et les failles 0-day pour pénétrer dans les réseaux d’entreprises. Plusieurs milliers de ces attaques ont été rapportées dans la seule année 2015 ».

L’éditeur indique que, selon ses mesures, une société met en moyenne 200 jours pour détecter une brèche dans sa sécurité, et qu’il faut en moyenne également 80 jours pour circonscrire l’incident. Évidemment, les pirates ont tout le temps durant cette période de réaliser leur sinistre besogne : vol de données, viol de la vie privée, dégradation de la confiance des utilisateurs et ainsi de suite.

Toujours selon Microsoft, 90 % des responsables informations sont d’accord sur un point : la protection contre les menaces doit évoluer rapidement pour fournir un véritable parapluie, avec un besoin d’agir plus rapidement. C’est le positionnement de Windows Defender Advanced Threat Protection : aider les entreprises à détecter les menaces, mener l’enquête et à y répondre.

Détecter et analyser l'attaque

L’ATP propose principalement trois axes. Le premier concerne la détection des attaques : qui en est à l’origine, à quel endroit, par quels moyens, et pourquoi. On imagine que la réponse à ces trois questions est un cas idéal, car il n’est pas toujours possible de connaître les auteurs d’une attaque, et encore moins les raisons. Pour parvenir à ce résultat, Microsoft met en avant le mixage réalisé dans le cloud d’un grand nombre de « capteurs », de statistiques mangées à la sauce Big Data, ou encore de renseignements issus de la communauté de la sécurité.

L’ensemble compose un grand graphe au sein duquel les éléments sont mis en relation. Ils sont issus de sources diverses, notamment les statistiques anonymes envoyées par plus d’un milliard d’appareils sous Windows (toutes les versions en étant capables du moins), 2 500 milliards d’adresses indexées, 600 millions d’indices de réputation ainsi que plus d’un million de fichiers suspects examinés chaque jour. Notons quand même que l’ensemble est chapoté par une équipe dédiée et que le mécanisme ne fournit donc pas seulement des résultats automatiques.

windows defender atpwindows defender atp

Une analyse de l'intégrité du parc

Le deuxième axe est la réponse à l’incident. Des outils seront ainsi proposés pour analyser l’intégralité du réseau à la recherche d’activités suspectes, mettre en avant les actions réalisées par les pirates, examiner les alertes ou obtenir des informations précises sur les fichiers éventuellement modifiés.

ATP peut garder en permanence un historique de six mois de l’activité des machines pour mieux indiquer ce qui sort de l’ordinaire. Les administrateurs pourront également expédier des fichiers et liens suspects à un service en ligne de « détonation », autrement dit capable de les tester pour en vérifier le comportement. Plus tard, ATP proposera en outre des outils spécifiques à la restauration du bon fonctionnement des appareils touchés.

Compléter Windows 10 et le mettre en avant

Le dernier axe est l’intégration dans l’infrastructure existante. ATP ne peut prendre place que dans un parc Windows 10, et on peut faire confiance à Microsoft pour appuyer sur ce point, afin de motiver un peu plus les entreprises à y passer. Il s’agit d’un service distant accompagnant le système. Il n’y a donc aucun élément sur site à configurer et à entretenir, le service se mariant naturellement à Office 365 Advanced Threat Protection et Advanced Threat Analytics.

L’idée d’un service distant complétant un produit local n’est pas nouvelle. Plusieurs produits de sécurité, comme AVG et Kaspersky, proposent ce type d’outil, notamment pour tout ce qui touche à la réputation d’une ressource Internet. Microsoft entend cependant proposer un packaging complet, vantant les mérites de l’interaction de son dernier système d’exploitation et de services capables de le compléter.

Cela étant, mettre en avant un produit n’a rien de répréhensible, et on préfère effectivement voir la firme proposer de vrais bonus à une telle migration qu’en forcer le rythme via une diffusion dans Windows Update. En attendant, ATP n’est pas encore une offre commerciale effective. Il faudra attendre plus tard dans l’année pour la voir proposée, sans plus de précisions.

Commentaires (12)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Ca fixe le bon sens des employées ? <img data-src=" />.

votre avatar



ATP peut garder en permanence un historique de six mois de l’activité

des machines pour mieux indiquer ce qui sort de l’ordinaire.

Ah bah voilà, on se demandait à quoi servaient tous ces flux ouverts entre un W10 et les serveurs Microsoft: c’est pour préparer le terrain pour le SOC! <img data-src=" />

votre avatar

“vantant les mérites de l’interaction de son dernier système d’exploitation et de services capables de le compléter.”

Mouais, pas sûr que cette “possible interaction” me rassure… j’y vois au mieux une fuite supplémentaire indésirée de données (même si anonymes), et au pire une faille a exploiter pour un logiciel qui se placerai entre les deux pour brouiller le transfert ou le travestir.

votre avatar

Bah quoi c’est un SIEM &nbsp;!! comme chez Dell ou McAfee !!&nbsp;

votre avatar

J’attends qu’à chaque articles sur Apple il y ait la petite pique en fin de paragraphe à laquelle Microsoft a le droit systématiquement…

votre avatar

+1000

votre avatar







CUlater a écrit :



Ah bah voilà, on se demandait à quoi servaient tous ces flux ouverts entre un W10 et les serveurs Microsoft



si tu te demandais vraiment il suffisait de lire et de comprendre hein <img data-src=" />



http://www.zdnet.com/article/when-it-comes-to-windows-10-privacy-dont-trust-amat…

http://www.zdnet.com/article/windows-10-telemetry-secrets/


votre avatar







Mr.Nox a écrit :



J’attends qu’à chaque articles sur Apple il y ait la petite pique en fin de paragraphe à laquelle Microsoft a le droit systématiquement…





Ça en est à un point où le journaliste transforme une partie de son article en monologue intérieur. Ces piques ne donnent même plus envie de réagir tellement elles sont prévisibles.

&nbsp;

La seule “pique” viable est effectivement que le concept n’a rien de révolutionnaire… Mais tant mieux si MS y vient, l’efficacité de ce genre de chose n’est pas nulle. Faut voir ça comme une brique de plus.&nbsp;


votre avatar







YesWeekEnd a écrit :



Ça en est à un point où le journaliste transforme une partie de son article en monologue intérieur. Ces piques ne donnent même plus envie de réagir tellement elles sont prévisibles.



&nbsp;      

La seule "pique" viable est effectivement que le concept n'a rien de révolutionnaire... Mais tant mieux si MS y vient, l'efficacité de ce genre de chose n'est pas nulle. Faut voir ça comme une brique de plus.&nbsp;







Par contre,&nbsp; je suis totalement d’accord avec Vincent pour le coup. Cela n’a rien de révolutionnaire et il faut bien le souligner. C’est même avec pas mal de retard sur d’autres que Microsoft propose pour son propre OS, majoritaire en entreprise qui plus est,&nbsp; ce type de mécanismes.&nbsp;



Même si d’autres programmes sont là depuis quelques années, comme EMET pour IE qui tombe rarement lors des hackathon. Mais c’est vraiment trop rigide parfois EMET.


votre avatar







YesWeekEnd a écrit :



&nbsp;Ces piques ne donnent même plus envie de réagir tellement elles sont prévisibles.



    &nbsp;          

La seule "pique" viable est effectivement que le concept n'a rien de révolutionnaire... Mais tant mieux si MS y vient, l'efficacité de ce genre de chose n'est pas nulle. Faut voir ça comme une brique de plus.&nbsp;








    Perso je trouve ça drôle cet acharnement. Et autant sur le coté infra je suis pas suffisamment au point pour voir immédiatement toute l'idiotie de ses piques, autant coté développement ses conclusions sont burlesques. Et le fait que ça ne soit même pas voulu rend le truc encore plus amusant !         






   Ah, et sinon, oui, dans le principe ce qu'ils font n'est pas révolutionnaire, mais dans l'implémentation, ça l'est. On parle d'une analyse par défaut portant sur des millions (100m+ ?) de machines, avec tous les problèmes de souplesse (configuration), confidentialité et légalité. Oui, non, car évidemment, ce que MS propose c'est bien plus que ce que Vincent a vu par le bout de sa lorgnette :)         






   Ça me parait tellement gros comme truc que je suis pas sur qu'ils arriveront à le mettre en place comme ils le veulent. Mais bon, c'est en essayant qu'on réussi, donc bon courage à eux, l'automatisation globale de la lutte contre les malwares pourrait faire énormément de bien aux TICs.

votre avatar







Mr.Nox a écrit :



J’attends qu’à chaque articles sur Apple il y ait la petite pique en fin de paragraphe à laquelle Microsoft a le droit systématiquement…



Pour cela il faudrait que la pique sur Apple soit justifiée… <img data-src=" />





Tu sous-entends que Nxi fait tourner ses PC sous marque Pommée?


votre avatar

Parce que c’est justifié là ?



&nbsp;On parle du monde Pro et d’une gamme de protection et ça finit par parler de windows update grand public avec la proposition de Windows 10….Ce qui n’a juste rien à voir.



Et depuis quand on ne peut plus virtualiser Windows sur Mac OS ?



&nbsp;

Microsoft présente son service Advanced Threat Protection pour les entreprises

  • La sophistication des attaques augmente, les protections doivent suivre

  • Détecter et analyser l'attaque

  • Une analyse de l'intégrité du parc

  • Compléter Windows 10 et le mettre en avant

Fermer