Transmission des journaux, des alertes et des données de télémétrie via une diode de données

Découvrez comment
Nous utilisons l'intelligence artificielle pour les traductions de sites et, bien que nous nous efforcions d'être précis, il se peut que les traductions ne soient pas toujours exactes à 100 %. Nous vous remercions de votre compréhension.

Les réseaux gouvernementaux ont besoin d'une émulation au niveau des instructions pour bloquer les menaces « zero-day » au niveau du périmètre

MetaDefender offre une détection déterministe et évolutive des vulnérabilités « zero-day » pour les environnements gouvernementaux à haut débit
Par Vivien Vereczki
Partager cet article

La détection « zero-day » désigne le processus consistant à identifier des logiciels malveillants inconnus pour lesquels il n'existe aucune signature ni aucun historique d'analyse. Aux périmètres des réseaux gouvernementaux, où les fichiers exécutables, les fichiers de correctifs et les documents réglementés doivent passer l'inspection sans être modifiés, une détection « zero-day » efficace nécessite une émulation au niveau des instructions afin de mettre au jour les menaces qui identifient les environnements virtuels et bloquent l'analyse avant leur exécution.

En bref : les points clés

  • Les sandbox traditionnelles basées sur des machines virtuelles sont vulnérables à l'identification de l'environnement, aux délais liés au temps et aux vérifications par débogueur, tandis que les logiciels malveillants modernes utilisent ces techniques pour échapper à l'analyse avant de mettre en œuvre leur comportement malveillant.
  • MetaDefender atteint un taux de détection des failles « zero-day » de 99,9 % grâce à un processus en quatre étapes : réputation des menaces, analyse dynamique, notation des menaces et recherche active de menaces.
  • L'émulation au niveau des instructions traite les fichiers 20 fois plus rapidement que les bacs à sable traditionnels, avec un P90 inférieur à 15 secondes et un débit de 25 000 fichiers par jour et par serveur.
  • MetaDefender détecte les comportements malveillants en se référant aux tactiques et techniques du modèle MITRE ATT&CK, offrant ainsi un cadre normalisé pour accélérer le triage, signaler les incidents et partager les renseignements sur les menaces.
  • Les données IOC lisibles par machine sont directement intégrées aux workflows SIEM et SOAR, notamment Splunk, Cortex XSOAR et CEF Syslog

Pourquoi les réseaux gouvernementaux constituent des cibles de premier ordre pour les attaques « zero-day »

Les réseaux gouvernementaux comptent parmi les environnements les plus ciblés par les attaques « zero-day » en raison de ce qu’ils abritent : des systèmes sensibles, des données classifiées et des services critiques auxquels les attaquants ne peuvent pas accéder de manière fiable via des failles connues.

Selon le rapport « Global Cybersecurity Outlook 2026 » du Forum économique mondial (WEF), 23 % des organismes du secteur public font état d’une cyber-résilience insuffisante, ce qui les expose de manière disproportionnée lorsque des menaces sophistiquées parviennent à contourner les défenses périmétriques. La confiance dans la préparation nationale s’érode également : ce même rapport révèle que 31 % des personnes interrogées à l’échelle mondiale se disent peu confiantes dans la capacité de leur pays à faire face à des cyberincidents majeurs, contre 26 % en 2025.

L'IA élargit la surface d'exposition aux menaces. Selon ce même rapport, 87 % des personnes interrogées ont identifié les vulnérabilités liées à l'IA comme le risque cybernétique connaissant la croissance la plus rapide. Les cybercriminels utilisent l'IA pour affiner leur ciblage, automatiser la création d'exploits et adapter leurs attaques en temps quasi réel, devançant ainsi les outils de détection statiques sur lesquels s'appuient encore de nombreux réseaux gouvernementaux.

Les gouvernements constituent des cibles de premier ordre pour les attaques « zero-day »

Le risque cumulatif pour les défenseurs du secteur public

Les responsables de la sécurité des administrations publiques sont confrontés à des contraintes structurelles qui amplifient les risques liés aux failles « zero-day » bien au-delà de ce que connaissent la plupart des environnements du secteur privé. Les infrastructures obsolètes, les budgets limités et la convergence croissante entre les réseaux opérationnels (OT) et informatiques (IT) créent des lacunes en matière de détection qu’il est difficile de combler progressivement. Les attaquants, aidés par l’intelligence artificielle, exploitent ces failles avec une précision et une rapidité croissantes.

La dimension géopolitique ajoute une pression supplémentaire. Selon le rapport du Forum économique mondial (FEM), 64 % des organisations à l’échelle mondiale font désormais face à des cyberattaques à motivation géopolitique, notamment des perturbations des infrastructures critiques et des actes d’espionnage, le secteur public étant systématiquement identifié comme une cible privilégiée. Ce même rapport souligne que la diversification croissante des fournisseurs et les transferts de fichiers au sein de la chaîne d'approvisionnement constituent une surface d'attaque en expansion et insuffisamment surveillée au niveau du périmètre du réseau, d'autant plus que les gouvernements réorganisent leurs accords d'hébergement de données en réponse aux pressions géopolitiques.

Les sandbox traditionnelles basées sur des machines virtuelles s'avèrent inefficaces face aux techniques d'évasion en constante évolution

Les sandbox traditionnelles basées sur des machines virtuelles exécutent les fichiers au sein d'un environnement d'exploitation virtualisé et enregistrent le comportement qui en résulte. Les logiciels malveillants avancés sont conçus pour identifier cet environnement avant leur exécution, en utilisant toute une gamme de techniques de détection afin de reconnaître les conditions d'analyse et de masquer leurs activités malveillantes. Il en résulte des données comportementales incomplètes, des verdicts incohérents et des menaces qui franchissent le périmètre sans être détectées.

Une agence gouvernementale nationale comptant plus de 3 000 employés, répartis entre des environnements civils et sécurisés, a été confrontée à ce type de défaillance avec son environnement de test hérité basé sur des machines virtuelles. Des logiciels malveillants évasifs ont détecté leur environnement virtuel et ont masqué leur comportement, laissant les analystes face à des données incomplètes et à des rapports nécessitant une interprétation manuelle. Au fil du temps, cela a ralenti les enquêtes et affaibli la fiabilité des conclusions tant au sein des équipes du SOC que du CERT.

Techniques d'évasion que les bacs à sable basés sur des machines virtuelles ne parviennent pas à contrer de manière fiable

  • Retards liés au temps: les logiciels malveillants tirent parti du fait que les environnements basés sur des machines virtuelles présentent des schémas temporels observables et attendent que la fenêtre d'analyse du bac à sable soit écoulée avant de s'exécuter
  • Instructions « Red Pill »: le logiciel malveillant interroge les registres matériels, les caractéristiques du processeur et la configuration de la mémoire, qui se comportent différemment dans les environnements virtualisés, et utilise ces résultats pour confirmer qu’il fait l’objet d’une analyse.
  • Vérifications du débogueur: le logiciel malveillant examine les listes de processus, les schémas API et les indicateurs système afin de détecter la présence d'outils d'analyse, et interrompt l'exécution lorsqu'il en détecte.
  • Blocages d'exécution: le logiciel malveillant attend des interactions spécifiques de l'utilisateur ou des états d'inactivité du système qui surviennent rarement lors d'exécutions automatisées en sandbox, ce qui empêche les déclencheurs comportementaux de se déclencher

Résultats des opérations de sécurité menées par les pouvoirs publics

Capacité

Sandbox basée sur une machine virtuelle

MetaDefender

Résistance à la contournement des mesures anti-VM

Vulnérable à l'identification de l'environnement ; les logiciels malveillants peuvent détecter le matériel virtualisé et interrompre leur exécution avant que le comportement malveillant ne se déclenche

Neutralisé ; l'émulateur n'utilise ni le matériel réel ni la synchronisation du système d'exploitation, ce qui supprime les signaux sur lesquels s'appuient les logiciels malveillants pour identifier les environnements d'analyse

Résistance aux techniques de contournement anti-débogage

Vulnérable à la détection par les débogueurs ; les logiciels malveillants capables d'identifier les outils d'analyse interrompent leur exécution avant la génération des indicateurs de compromission (IOC)

Neutralisé au niveau des instructions ; l'émulateur ne révèle pas les API de processus et API que les logiciels malveillants compatibles avec les débogueurs recherchent

Contournement du délai temporel

Il attend que le délai s'écoule ; les fenêtres d'analyse sont limitées, et un logiciel malveillant qui reste inactif suffisamment longtemps contourne complètement l'observation comportementale

Contourne le délai en ne simulant que les composants nécessaires à l'exécution, sans être limité par la synchronisation réelle de l'horloge

Capture du trafic réseau

Capture le trafic réseau via PCAP, qui ne permet pas de déterminer l'intention derrière les communications chiffrées ou obscurcies

Il détecte les intentions malveillantes sur le réseau au niveau API de la mémoire, ce qui permet d'extraire les indicateurs C2 et la logique d'exfiltration même lorsque le trafic est chiffré ou dissimulé.

Cohérence de l'analyse

Cette variable varie selon l'état des machines virtuelles ; les différences environnementales entre les exécutions entraînent des résultats comportementaux incohérents et augmentent le bruit d'analyse.

Déterministe et reproductible : un même fichier produit le même résultat quelle que soit le nombre d'exécutions ou le chemin d'accès du système d'exploitation, ce qui permet de répondre aux exigences en matière de pistes d'audit et de chaîne de traçabilité.

Vitesse de traitement

Plus lente et gourmande en ressources ; l'émulation complète du système d'exploitation entraîne une surcharge qui limite le débit dans les environnements à fort volume

20 fois plus rapide que les environnements de test traditionnels, avec un objectif P90 inférieur à 15 secondes par fichier

Risque de faux positif

De plus, les variations d'état des machines virtuelles entraînent des verdicts incohérents et une augmentation du bruit analytique, ce qui sape progressivement la confiance dans les résultats de détection.

De plus, l'analyse déterministe fournit des résultats cohérents d'une exécution à l'autre, ce qui renforce la fiabilité de ces résultats et allège la charge de travail liée à la vérification manuelle pour les analystes.

Fonctionnement de l'émulation au niveau des instructions MetaDefender

MetaDefender est la solution unifiée de détection des menaces « zero-day » OPSWAT, conçue pour identifier les menaces avancées et inconnues au niveau du périmètre réseau grâce à un pipeline de traitement des menaces à quatre niveaux combinant la réputation des menaces, l’analyse dynamique, la notation des menaces et la recherche active de menaces. Alors que les sandbox basées sur des machines virtuelles émulent un environnement complet de système d’exploitation, MetaDefender opère au niveau des instructions, interprétant l’exécution des fichiers composant par composant sans exécuter de véritable système d’exploitation ni exposer les signaux matériels que recherchent les logiciels malveillants furtifs.

Environnement d'exécution réaliste

MetaDefender n'exécute pas de système d'exploitation complet et ne repose pas sur du matériel virtualisé. L'émulateur simule uniquement les composants nécessaires à l'exécution d'un fichier donné, en interprétant son comportement au niveau des instructions du processeur. Cela permet d'éliminer les empreintes du système d'exploitation et les signaux matériels que les logiciels malveillants furtifs utilisent pour détecter les environnements d'analyse, tout en offrant une détection plus rapide et plus économe en ressources que la virtualisation complète du système.

Suivi comportemental complet

Pour atteindre leurs objectifs, les échantillons de logiciels malveillants doivent interagir avec l'environnement hôte : manipuler des entrées de registre, créer ou injecter des processus, appeler des API, allouer de la mémoire et lancer des opérations réseau. MetaDefender surveille l'ensemble de ces interactions tout au long de l'exécution. Le comportement étant intercepté au niveau des instructions, les tentatives de contournement n'empêchent pas l'observation. Les comportements doivent tout de même se produire, et l'émulateur les capture quoi qu'il arrive.

Les comportements surveillés par MetaDefender sont les suivants :

  • Opérations de lecture, d'écriture et de suppression dans le registre
  • Création, arrêt et injection de processus
  • API et invocations de services système
  • Allocation et modification de mémoire, et exécution de shellcode
  • Tentatives de connexion au réseau, résolution DNS et opérations de transfert de données

Plutôt que de renvoyer API statiques ou aléatoires, MetaDefender adapte dynamiquement API et les caractéristiques de l'environnement pour qu'elles correspondent à ce à quoi s'attend le logiciel malveillant, garantissant ainsi une exécution réussie et optimisant l'extraction fiable des indicateurs de compromission (IOC).

Lutte contre l'évasion et la détection

Étant donné que MetaDefender n'utilise ni matériel physique, ni système d'exploitation complet, ni horloge physique, les techniques d'évasion qui permettent de contourner les sandbox basées sur des machines virtuelles n'ont aucun effet :

  • Les retards temporels ne trouvent aucun signal de synchronisation réel par rapport auquel se référer
  • Les instructions « Red-pill » interrogent des registres matériels qui renvoient des valeurs cohérentes avec l'émulateur
  • Les vérifications du débogueur ne détectent aucune signature de processus ni aucun API à signaler
  • Les points d'arrêt d'exécution reçoivent l'état d'inactivité ou l'interaction de l'utilisateur que le logiciel malveillant attend, simulés au niveau des instructions

La couche API adaptative renforce cette approche. Plutôt que d’exposer un environnement statique que les logiciels malveillants peuvent analyser par des tentatives répétées, MetaDefender ajuste dynamiquement API afin de refléter un contexte d’exécution cohérent et plausible, comblant ainsi l’écart entre ce à quoi s’attendent les logiciels malveillants et ce qu’ils observent.

Analyse déterministe et reproductible

MetaDefender produit le même résultat comportemental pour un même fichier, quel que soit le nombre d'exécutions ou le chemin d'accès au système d'exploitation. L'analyse n'est pas affectée par les variations d'état de la machine virtuelle, les dérives environnementales ou les différences de configuration du bac à sable entre les exécutions.

Pour les opérations de sécurité des administrations publiques, cette cohérence revêt une importance double. D’une part, elle réduit les faux positifs, que l’enquête SANS 2025 sur la détection et la réponse identifie comme le principal défi en matière de détection pour 73 % des équipes de sécurité, contre 64 % en 2024. D’autre part, les résultats déterministes répondent aux exigences en matière de pistes d’audit et de chaîne de traçabilité, fournissant ainsi les preuves requises par les cadres gouvernementaux de réponse aux incidents et de conformité.

Correspondance avec le modèle ATT&CK de MITRE

MetaDefender établit des corrélations entre les comportements malveillants observés et les tactiques et techniques spécifiques du modèle MITRE ATT&CK, offrant ainsi un cadre standardisé que les équipes de sécurité gouvernementales peuvent utiliser pour accélérer le triage et aligner leurs conclusions sur les exigences en matière de signalement des incidents. Les résultats structurés du modèle ATT&CK facilitent également le partage interinstitutionnel de renseignements sur les menaces et la mise en conformité réglementaire dans les cas où la documentation des comportements malveillants est requise. Les indicateurs de compromission (IOC) lisibles par machine sont directement intégrés aux solutions SIEM et SOAR, notamment Splunk, Cortex XSOAR et CEF Syslog.

Analyse rapide à grande échelle pour les environnements gouvernementaux à haut débit

MetaDefender traite jusqu’à 25 000 fichiers par jour et par serveur, avec un objectif P90 inférieur à 15 secondes, et prend en charge l’inspection en continu de l’ensemble des sources d’importation de fichiers gouvernementaux, telles que les supports amovibles, les pièces jointes aux e-mails, le stockage dans le cloud et les transferts via le Web. Pour les environnements gouvernementaux isolés, classifiés et hautement sécurisés, MetaDefender offre une grande souplesse de déploiement :

  • Configurations sur site, hébergées dans le cloud et hybrides
  • Ubuntu 24.04, Red Hat Enterprise Linux 9 (hors ligne) et Rocky Linux
  • Intégrations API REST API l'interface graphique pour la connectivité SIEM et SOAR
Déploiement flexible de MetaDefender pour les réseaux administratifs

Alors que les organismes publics accélèrent la diversification de leurs fournisseurs et les transferts de données vers des tiers en réponse aux pressions géopolitiques, les flux de fichiers liés à la chaîne d'approvisionnement font l'objet d'exigences croissantes en matière d'inspection au niveau du périmètre du réseau. La capacité de débit MetaDefender est conçue pour répondre à cette demande sans créer de goulots d'étranglement opérationnels.

OPSWAT avec des agences gouvernementales, des organismes de défense et des opérateurs d'infrastructures critiques afin de déployer des solutions de détection des failles « zero-day » adaptées aux exigences de l'environnement de menaces actuel.

Questions fréquemment posées

Qu'est-ce que l'émulation au niveau des instructions et en quoi diffère-t-elle d'un bac à sable classique ?

L'émulation au niveau des instructions interprète l'exécution des fichiers au niveau du processeur sans exécuter de système d'exploitation complet ni de matériel virtualisé, éliminant ainsi les signaux matériels, les schémas de synchronisation et les signatures de processus que les logiciels malveillants insaisissables analysent pour détecter les environnements d'analyse. Les bacs à sable traditionnels basés sur des machines virtuelles exposent ces signaux, ce qui permet aux logiciels malveillants d'identifier les conditions d'analyse et de supprimer leur comportement malveillant avant qu'il ne puisse être observé.

Comment MetaDefender gère-t-il le trafic réseau chiffré ou obscurci ?

MetaDefender analyse les intentions du réseau au niveau API de la mémoire plutôt que via PCAP, ce qui permet d'extraire les indicateurs C2, la logique de rappel et les schémas d'exfiltration même lorsque le trafic est chiffré, obscurci ou n'est jamais transmis. Il est donc particulièrement adapté aux environnements isolés (air-gapped) et aux réseaux soumis à des contraintes strictes en matière de surveillance du trafic.

MetaDefender prend-il en charge la mise en correspondance avec le modèle MITRE ATT&CK ?

MetaDefender analyse tous les comportements malveillants détectés à la lumière des tactiques et techniques du cadre MITRE ATT&CK, ce qui permet d'accélérer le triage, de faciliter le partage interinstitutionnel de renseignements sur les menaces et de répondre aux exigences en matière de signalement des incidents. Les indicateurs de compromission (IOC) au format lisible par machine sont directement intégrés à Splunk, Cortex XSOAR et CEF Syslog.

Quelles sont les options de déploiement disponibles pour les environnements gouvernementaux isolés physiquement ou classifiés ?

MetaDefender prend en charge les déploiements sur site, dans le cloud et hybrides, avec une compatibilité avec les systèmes d’exploitation Ubuntu 24.04, Red Hat Enterprise Linux 9 (hors ligne) et Rocky Linux pour les environnements isolés et renforcés. Sa conception API REST permet une intégration avec les architectures de sécurité existantes des administrations publiques.

En quoi MetaDefender permet-il de réduire les faux positifs par rapport aux outils de détection traditionnels ?

L'analyse déterministe MetaDefender produit les mêmes résultats comportementaux pour un même fichier, quel que soit le nombre d'exécutions ou le chemin d'accès au système d'exploitation, éliminant ainsi les variations d'état de la machine virtuelle qui sont à l'origine de verdicts incohérents dans les bacs à sable traditionnels. Selon l’enquête SANS 2025 sur la détection et la réponse, 73 % des équipes de sécurité citent les faux positifs comme leur principal défi en matière de détection, contre 64 % en 2024 ; des verdicts cohérents et étayés par des preuves réduisent directement la charge de travail des analystes.

Restez à jour avec OPSWAT!

Inscrivez-vous dès aujourd'hui pour recevoir les dernières mises à jour de l'entreprise, de l'entreprise, des histoires, des informations sur les événements, et plus encore.