Sécurité avec agent vs sans agent

Dans le domaine de la cybersécurité, les agents désignent des composants logiciels spécialisés, installés sur les appareils pour réaliser certaines opérations de sécurité.

Parmi les opérations en question :

  • Scans et reporting de sécurité
  • Redémarrage et réinitialisation des systèmes
  • Installation de correctifs logiciels
  • Modification des configurations
  • Surveillance générale du système

De par leur nature, les agents doivent impérativement remplir trois conditions : adaptabilité à différents environnements, maintenance minimale et faible impact sur les performances de l’hôte.

Tous les systèmes avec agent fonctionnent selon un modèle de communication « pull », emprunté au domaine du marketing. Ici, le rôle du client est tenu par le serveur central qui récupère les données des agents à la demande. Ceux-ci sont généralement déployés sur chaque machine selon un processus automatisé. Une fois la configuration terminée, le serveur central peut demander aux agents de lui communiquer des rapports de situation et les résultats des opérations de sécurité effectuées.

Sécurité sans agent

La sécurité sans agent effectue la plupart de ces opérations, à la différence près qu’elle ne recourt à aucun agent. Concrètement, cette configuration permet d’examiner les scans de sécurité et les vulnérabilités détectées sur une machine à distance, sans l’intermédiaire d’un agent. Certes, vous devrez parfois installer un logiciel sur une autre couche du système (par exemple, sur le réseau) pour capturer des métriques sur les risques associés. Il ne sera toutefois pas nécessaire d’installer des services sur l’hôte.

De leur côté, les systèmes sans agent adoptent un modèle de communication « push ». Autrement dit, les systèmes sans agent « poussent » les données vers un système distant à intervalles réguliers. Les solutions sans agent offrent ainsi davantage de flexibilité, ce qui les prédestine tout naturellement à la surveillance de sécurité de base. Elles peuvent même scanner toute une infrastructure sans pour autant être installées sur chaque sous-système. En revanche, un système central doit rester disponible pour l’orchestration des scans et le déploiement de correctifs.

Vidéo : Solutions de sécurité avec et sans agent : explications

Notons cependant que pour des hôtes aux exigences de sécurité plus strictes, l’installation de systèmes avec agent peut s’avérer nécessaire. Pour des hôtes traitant des données financières, par exemple, les agents vous permettront d’optimiser les technologies de sécurité déployées pour renforcer la surveillance et la protection, tout en améliorant la posture de sécurité globale.

Avec ou sans agent : quelle sécurité choisir ?

Ces deux configurations sont largement répandues aujourd’hui, mais comment savoir laquelle est faite pour vous ? En réalité, une sécurité maximale passe par une combinaison des deux. À condition cependant de saisir pleinement les avantages et les inconvénients de chacune.

Voici quelques arguments en faveur des systèmes sans agent :

  • Accélération de l’installation et du déploiement : les scans de sécurité peuvent être réalisés sans accès direct à tous les hôtes
  • Diminution de la maintenance et des coûts de provisionnement
  • Visibilité initiale et évolutivité supérieures
  • Configuration idéale pour les réseaux à forte bande passante
  • Besoin d’un hôte central pour exécuter et coordonner les opérations de sécurité

Et voici les arguments en faveur des systèmes avec agent :

  • Scans et surveillance approfondis des hôtes : les agents scannent les composants et services de façon plus poussée.
  • Possibilité de les utiliser comme pare-feu, grâce au blocage de connexions réseau basé sur des règles de filtrage
  • Protection au runtime par hôte ou par application
  • Contrôles de sécurité, tels que le blocage des attaques et le patching des systèmes à chaud
  • Solutions idéales pour les réseaux disposant d’une faible quantité de bande passante, les zones DMZ et les ordinateurs portables parfois hors de portée du réseau. L’agent s’installe sur les systèmes sans aucune connectivité réseau
  • Pas besoin d’un hôte central : les systèmes peuvent exécuter leurs tâches en complète autonomie : une fois installé, l’agent lance ses opérations de sécurité sur demande, sans connexion préalable à un serveur, même hors du réseau de l’entreprise

Maintenant que vous connaissez le pour et le contre de ces deux options, vous pouvez miser sur les qualités de chacune pour renforcer la protection des composants de votre infrastructure. La combinaison des systèmes avec et sans agent promet d’offrir le meilleur des deux mondes.

En savoir plus

Les contraintes de l’architecture du CSP ne devraient pas dicter la sécurité de vos workloads cloud-native. Prisma Cloud est l’une des rares plateformes de sécurité d’entreprise à rassembler des options avec et sans agent au sein d’une solution unifiée. Découvrez toute la simplicité et la puissance de l’alliance entre la sécurité avec et sans agent.

FAQ

La surveillance avec agent repose sur le déploiement de logiciels sur des serveurs ou des terminaux pour collecter des données sur l’intégrité, les performances et les événements de sécurité du système. Ces logiciels (ou agents) scannent leur hôte en temps réel et alertent en cas de problème potentiel. Ils sont donc particulièrement adaptés aux environnements nécessitant une surveillance détaillée et granulaire au niveau du système.
Les scans sans agent consistent à passer des appareils au crible pour y détecter d’éventuelles vulnérabilités ou pour vérifier leur niveau de conformité, le tout sans installer de logiciel dédié sur les systèmes cibles. En général, ces derniers sont évalués à distance, au niveau du réseau. Cette configuration se destine donc tout particulièrement aux environnements ne permettant pas l’installation d’agents ou exigeant un minimum d’impact sur les performances des systèmes.
L’évaluation des vulnérabilités avec agent s’appuie sur des logiciels installés sur les systèmes, qui les scannent en permanence à la recherche de la moindre faille. Ces agents ont une visibilité approfondie sur les configurations, les processus en cours d’exécution et les applications installées sur les systèmes, offrant ainsi une détection et une correction intégrales des vulnérabilités.
Lors d’un contrôle de conformité sans agent, les systèmes sont évalués au regard de benchmarks ou de réglementations de sécurité, sans installation préalable d’un quelconque logiciel sur les systèmes en question. La vérification des configurations systèmes est effectuée à distance, à l’aide de protocoles réseau qui offrent davantage de flexibilité et réduisent le besoin de maintenance pour le monitoring de conformité.
Le déploiement d’agent désigne le processus d’installation de composants logiciels de surveillance ou de sécurité sur les terminaux ou les serveurs qui composent le réseau. Ces agents permettent de centraliser la gestion des politiques de sécurité et de collecter des données détaillées à des fins d’analyses approfondies et de réponse à incident.
La gestion des configurations sans agent régit les paramètres et les états des systèmes sans aucune installation logicielle sur les hôtes cibles. Elle exécute des tâches de gestion directement via le réseau, à l’aide de protocoles existants tels que SSH ou WinRM. De ce fait, elle a l’avantage de couvrir un grand nombre de systèmes, sans la complexité de maintenance habituellement associée aux agents.
Le threat hunting basé sur les agents consiste à s’appuyer sur des logiciels installés sur les terminaux pour rechercher et isoler proactivement les menaces avancées qui contournent les systèmes de sécurité traditionnels. Ces agents logiciels collectent et analysent des informations détaillées sur les activités système, permettant ainsi aux threat hunters d’identifier des indicateurs de compromission et de neutraliser la menace au plus vite.
L’analyse réseau sans agent consiste à surveiller et disséquer le trafic de façon centralisée, sans déployer le moindre agent sur les appareils. Les informations collectées sont ensuite inspectées afin de repérer les anomalies, d’optimiser les performances et de détecter d’éventuelles menaces sur toute l’infrastructure réseau.
Le chiffrement des données avec agent consiste à utiliser un logiciel installé sur l’hôte pour chiffrer les données au niveau du terminal. Ces agents effectuent un contrôle granulaire des clés et des politiques de chiffrement directement sur les appareils qui stockent ou traitent des informations sensibles. Leur mission : s’assurer que les données restent chiffrées, qu’elles soient en transit ou au repos.
La vérification des correctifs sans agent consiste à contrôler la présence de correctifs au moyen d’outils basés sur le réseau, plutôt que par des logiciels locaux. Cette méthode permet de vérifier la mise à jour des systèmes au regard de vulnérabilités connues, respectant ainsi des politiques de sécurité sans avoir à installer ni gérer des agents sur chaque terminal.
La protection anti-malware avec agent consiste à installer des agents de sécurité afin de détecter et de bloquer les logiciels malveillants en temps réel. Les agents passent les appareils au crible pour détecter, isoler et neutraliser immédiatement les malwares. En outre, ils peuvent adapter les stratégies de protection en fonction des nouveaux éléments d’information issus de la Threat Intelligence.
Comme son nom l’indique, l’audit des identifiants sans agent analyse les identifiants et les niveaux d’autorisation associés sur les systèmes du réseau, sans aucune installation logicielle locale. Vérification des politiques de mot de passe, identification des comptes partagés, détection des identifiants faibles... le processus s’appuie sur des protocoles réseau pour veiller au respect des bonnes pratiques de sécurité.
La gestion des journaux avec agent regroupe la collecte, la centralisation et l’analyse de journaux provenant de divers systèmes grâce à des logiciels installés sur chaque hôte. Ces agents permettent en effet le traitement de données en temps réel et la détection rapide des anomalies, tout en livrant de précieux éclairages pour accélérer les investigations sur les incidents de sécurité.
Opérée de façon centralisée, la découverte des ressources sans agent identifie les appareils et services actifs d’un réseau, sans même déployer d’agents sur des nœuds individuels. Cette méthode recourt à des techniques et des protocoles de scanning du réseau pour inventorier et mapper les ressources connectées, offrant ainsi la visibilité nécessaire à la gestion et la planification de la sécurité.
La détection des intrusions avec agent consiste à déployer des logiciels de surveillance sur les hôtes ou les réseaux. Ces agents ont alors pour mission de détecter toute activité suspecte symptomatique d’une compromission de sécurité. Ils recherchent des schémas d’attaque connus dans le comportement des systèmes et le trafic réseau, puis en alertent les équipes sécurité afin qu’elles interviennent immédiatement.
L’application des politiques sans agent désigne la gestion et l’application des politiques de sécurité sur les appareils d’un réseau, sans passer par des agents résidents. Cette méthode s’appuie sur des protocoles de contrôle d’accès et de gestion du réseau pour configurer les appareils et ainsi assurer leur conformité aux politiques, tout en se libérant de la charge associée à la gestion des agents individuels.