Contactez-nous

Tél. +33 2 85 52 08 00

Blog

Le blog des experts Ironie

Accueil du blog

Catégories

Derniers articles

Bitdefender GravityZone 6.73

Bitdefender a déployé de nouvelles fonctionnalités dans Bitdefender GravityZone, une plateforme de cybersécurité unifiée offrant des capacités de prévention, protection, détection et réponse pour les organisations de toutes tailles. Ces nouveautés s’inscrivent dans notre stratégie de sécurité multicouche et visent à simplifier le travail des analystes sécurité, administrateurs et utilisateurs.

Nouveautés pour les analystes en sécurité

Dans un environnement de cybersécurité en constante évolution, les analystes en sécurité ont pour mission de détecter tout signe d’attaques potentiellement sophistiquées afin de rendre visible l’invisible. Cette section décrit les nouvelles fonctionnalités conçues pour améliorer les capacités des analystes, en leur offrant des outils perfectionnés pour la détection, l’investigation et la réponse aux menaces.  

Regroupement MITRE ATT&CK dans PHASR

Proactive Hardening and Attack Surface Reduction (PHASR) renforce proactivement les systèmes en analysant les comportements utilisateurs afin de prévenir les attaques Living off the Land (LotL) et les menaces ciblées. Il applique des mécanismes de détection d’anomalies pour bloquer des actions spécifiques au niveau applicatif, réduisant ainsi la surface d’attaque sans perturber les opérations.

PHASR structure désormais sa bibliothèque de règles surveillées selon le cadre MITRE ATT&CK, avec une hiérarchie à quatre niveaux — Tactique, Technique, Sous-technique et Règle surveillée — directement accessible dans Gestion des risques > PHASR > Règles surveillées. Trois nouvelles colonnes alignées sur ATT&CK — Tactiques, Techniques et Sous-techniques — apparaissent désormais dans le tableau des règles surveillées. Chaque entrée Tactique peut être développée afin d’afficher les Techniques et Sous-techniques associées, ainsi que les règles surveillées correspondantes, leurs déclencheurs, profils comportementaux, recommandations et incidents.

Les panneaux contextuels ont également été mis à jour pour refléter cette hiérarchie et afficher des informations détaillées alignées sur ATT&CK pour le nœud sélectionné, plutôt qu’un simple résumé générique de règle.

Événements Windows bruts étendus pour EDR/XDR

Les événements bruts contrôlent quels événements sur les endpoints GravityZone traite et rend disponibles pour investigation, avec une configuration appliquée au niveau de l’entreprise via Configuration > Événements bruts et des données d’événements consultables depuis l’onglet Recherche > Historique.

Cette version étend la couverture des événements bruts Windows avec neuf nouveaux types d’événements couvrant l’activité des tâches du Background Intelligent Transfer Service (BITS), la gestion des comptes utilisateurs locaux, l’activité Windows Management Instrumentation (WMI) et la modification des stratégies de groupe.

La catégorie d’activité des tâches BITS introduit les événements Ajouter un fichier, Créer et Supprimer. La catégorie Utilisateur ajoute Créer un compte local et Supprimer un compte local. La catégorie d’activité WMI ajoute Méthode d’exécution WMI, nouvelle activité WMI et nouvelle liaison WMI. La catégorie Autre ajoute Modifier la stratégie de groupe.

Nouveautés pour les administrateurs 

Les administrateurs devant constamment jongler entre de nombreuses tâches et responsabilités, les outils conçus pour faciliter leur travail quotidien sont très appréciés. Cette section décrit les nouvelles fonctionnalités conçues pour faciliter la gestion des fonctionnalités chargées de la prévention, de la protection et de la détection dans une architecture de sécurité à plusieurs niveaux.

Licence unifiée : postes de travail et serveurs

Les licences GravityZone pour les produits business appliquaient historiquement une limite de serveurs — restreignant le nombre de serveurs protégés à 30 % ou 35 % du nombre total de postes licenciés — ainsi qu’un modèle de licence comptabilisant les postes de travail et les serveurs comme des types d’entités distincts. À partir du 11 mai 2026, ces deux contraintes sont supprimées pour les nouvelles licences et les renouvellements des produits suivants :

  • GravityZone Small Business Security
  • GravityZone Business Security
  • GravityZone Business Security Premium
  • GravityZone Business Security Enterprise

Dans le modèle révisé, la limite de serveurs de 30 %/35 % ne s’applique plus, et toutes les entités protégées — postes de travail et serveurs — sont comptabilisées uniformément comme des endpoints dans un total unique de postes licenciés. Les administrateurs dimensionnant des licences pour des environnements avec un ratio élevé de serveurs par rapport aux postes de travail n’auront plus besoin de prendre en compte la limite de pourcentage de serveurs lors du calcul du nombre de licences nécessaires, qu’il s’agisse d’un nouvel achat ou d’un renouvellement.

Module complémentaire Compliance Manager pour les abonnements mensuels PHASR

Compliance Managerfournit une évaluation en temps réel de la posture de conformité des endpoints grâce à des mappings intégrés reliant les exigences de référentiels tels que le RGPD, ISO 27001, NIS2 et NIST CSF 2.0 à des contrôles techniques sur les endpoints Windows et Linux, accompagnés de recommandations de remédiation exploitables et de rapports prêts pour les audits.

Cette mise à jour étend l’éligibilité de l’add-on Compliance Manager aux entreprises utilisant le type de produit Bitdefender PHASR avec un abonnement mensuel. La disponibilité de l’add-on est gérée au niveau du type de produit, ce qui signifie que les administrateurs contrôlent son activation pour un type de produit donné indépendamment des autres configurations. Étant donné que l’add-on est lié au type de produit et non à l’entreprise elle-même, un changement de type de produit nécessite une réactivation explicite de l’add-on — il n’est pas transféré automatiquement.

Nouvelles options de déploiement d’appliances et de capteurs

Cette version introduit deux mises à jour d’infrastructure concernant la distribution des images appliances et l’onboarding des sensors.

Les images des appliances virtuelles Security Server et XDR Network Sensor (NSVA) peuvent désormais être téléchargées au format QCOW2, ajoutant la prise en charge des environnements hyperviseurs basés sur KVM. Pour les déploiements Network Sensor, la console GravityZone affiche maintenant une commande SSH prête à l’emploi pendant la configuration du sensor ; l’exécution de cette commande sur l’appliance nouvellement installée établit directement la connexion à la console sans nécessiter que les administrateurs recherchent ou saisissent manuellement les détails de connexion.

Ransomware Mitigation

Le module Ransomware Mitigation détecte l’activité ransomware sur les endpoints, bloque les tentatives de chiffrement lorsque la politique l’autorise et conserve des sauvegardes de fichiers afin de permettre la restauration.

Cette version révise la terminologie dans la page Activité des ransomwares, étend la notification Ransomware Detection pour couvrir les événements reportés et ajoute un type d’événement dédié dans le rapport Audit de sécurité — améliorant collectivement la visibilité sur les détections enregistrées mais non activement bloquées.

Mises à jour des rapports de sites Web détectés

Le Contrôle de contenu applique des politiques de filtrage Web basées sur l’hôte, agissant sur le trafic Web sortant selon des règles définies par politique incluant le blocage, l’avertissement et, avec cette version, le mode Rapport seulement. Afin de refléter l’introduction de l’action Rapport seulement dans l’Analyse du traffic Web des paramètres de politique, la couche de reporting a été mise à jour dans trois domaines.

Le rapport anciennement intitulé Sites Web bloqués/avec avertissement s’intitule désormais Sites Web détectés, élargissant son périmètre aux événements de trafic Web pour lesquels aucune action de blocage n’a été appliquée. Sur la page de configuration du rapport, le champ Action prise inclut désormais une option de signalement, permettant aux administrateurs d’isoler les événements de trafic Web enregistrés sous l’action Rapport seulement. Dans le rapport lui-même, la colonne Sites Web bloqués/avec avertissement a été renommée Sites Web détectés afin de correspondre au nouveau titre du rapport et à la couverture élargie des événements.

Mises à jour de la section Réseau

La section Réseau fournit des fonctionnalités permettant de gérer toutes les entités disponibles dans votre réseau. Les entités sont définies comme des ordinateurs physiques, machines virtuelles, serveurs de sécurité, conteneurs et dossiers disponibles dans votre réseau.

Cette version introduit plusieurs mises à jour concernant la manière dont les administrateurs interagissent avec les entités et les actions dans la section Réseau :

  • Glisser-déposer pour le déplacement des entités. Les entités peuvent désormais être déplacées en les faisant glisser depuis le tableau Réseau vers un emplacement cible dans l’arborescence, ou repositionnées directement dans le panneau de vue arborescente. Les mêmes règles et restrictions que celles régissant l’action Déplacer dans le menu principal Réseau s’appliquent aux opérations de glisser-déposer.
  • Multi-sélection pour les actions d’isolation. Les actions Isoler l’endpoint et Retirer de l’isolation acceptent désormais la multi-sélection, permettant de traiter jusqu’à 1 000 endpoints en une seule action.
  • Renommage de l’action mot de passe. L’action Modifier le mot de passe a été renommée Modifier le mot de passe de l’appliance de sécurité afin de décrire plus précisément son périmètre. Le libellé mis à jour est reflété dans toutes les zones où l’action apparaît, y compris Tâches et Activité de l’utilisateur.
  • Amélioration des libellés des vues partagées. Les textes de l’interface dans les zones liées aux vues partagées ont été révisés pour plus de clarté.
Catégories de ce billet : ,