Type something to search...
to navigateto selectESC to close
Certification "Anti-Tampering" 2025 pour Defender for Endpoint

Certification "Anti-Tampering" 2025 pour Defender for Endpoint

Introduction

Microsoft a récemment annoncé que Microsoft Defender for Endpoint a réussi avec succès les tests anti-tampering 2025 menés par AV-Comparatives, un organisme indépendant reconnu pour l’évaluation des solutions de cybersécurité. Cette reconnaissance confirme la robustesse des mécanismes de protection de Defender for Endpoint contre les tentatives de désactivation ou de modification malveillante de ses paramètres de sécurité.

Qu’est-ce que la protection anti-tampering ?

La protection anti-tampering (ou anti-falsifiation) désigne l’ensemble des mécanismes conçus pour empêcher les modifications non autorisées des paramètres de sécurité d’un système. Lorsqu’un attaquant compromet un environnement, l’une de ses premières actions consiste souvent à désactiver ou contourner les solutions de sécurité (antivirus, EDR, mises à jour, …) afin de rester indétecté, d’installer des outils malveillants, d’exfiltrer des données ou de lancer des attaques comme le ransomware.

Une menace bien réelle

Microsoft a observé une augmentation significative des attaques impliquant des tentatives de désactivation de la sécurité. En Mai 2024, Microsoft Defender XDR a détecté plus de 176000 incidents de tampering, affectant plus de 5600 organisations. En moyenne, chaque organisation ciblée a subi plus de 31 tentatives de modification non autorisée.

Les techniques utilisées incluent :

  • Modifications du registre Windows
  • Outils malveillants comme NSudo, Defender Control, Configure Defender, ToggleDefender
  • Scripts PowerShell ou batch personnalisés
  • Altération de pilotes système
Comment Microsoft Defender for Endpoint protège contre ces attaques

Microsoft Defender for Endpoint intègre une protection anti-tampering activée par défaut pour tous les clients. Elle empêche :

  • Les modifications locales ou distantes non autorisées des paramètres de sécurité
  • La désactivation de la protection en temps réel
  • La création d’exclusions dans les outils antivirus ou EDR
  • La suspension ou la terminaison des processus critiques de sécurité
  • Les modifications de fichiers système, DLL, agents ou politiques de sécurité

Même les administrateurs locaux ou les utilisateurs privilégiés ne peuvent pas contourner ces protections sans autorisation explicite, ce qui renforce considérablement la résilience des endpoints.

Certification AV-Comparatives 2025

Lors du test anti-tampering 2025 en Avril 2025, AV-Comparatives a soumis Microsoft Defender for Endpoint à une série d’attaques simulées visant à désactiver ou altérer ses protections.

TestRésultat
Processus de l’espace utilisateur (terminer, suspendre, …)Succès ✅
Services de l’espace utilisateur (pause, arrêt, désactivation, désinstallation, …)Succès ✅
Clés de registre (supprimer, retirer, renommer, ajouter, …)Succès ✅
DLL (manipulation, modification, détournement, …)Succès ✅
Intégrité de l’agent (désactiver, modifier, désinstaller, …)Succès ✅
Système de fichiers (manipulation, modification, …)Succès ✅
Pilotes du noyau (pilote ELAM, pilote de filtre, pilote de minifiltre, …)Succès ✅
Autres composants et fonctions (connexion aux services de mise à jour, …)Succès ✅

Résultat : Toutes les tentatives ont été bloquées avec succès, démontrant l’efficacité des mécanismes de défense intégrés.

image

Cette certification place Microsoft Defender for Endpoint parmi les solutions les plus fiables du marché pour la protection des postes de travail et serveurs contre les manipulations malveillantes.

Pourquoi c’est important pour les organisations :

  • Réduction du risque de compromission : en empêchant les attaquants de désactiver les défenses.
  • Conformité renforcée : en assurant l’intégrité des politiques de sécurité.
  • Moins de maintenance : les protections sont actives par défaut et ne nécessitent pas de configuration complexe.
  • Protection des environnements critiques : possibilité de créer des règles spécifiques pour les contrôleurs de domaine ou autres systèmes sensibles.
Conclusion

La certification AV-Comparatives 2025 confirme que Microsoft Defender for Endpoint est une solution de sécurité de pointe, capable de résister aux tentatives de contournement les plus sophistiquées. Dans un contexte où les attaques ciblant les outils de sécurité sont de plus en plus fréquentes, cette capacité à protéger les protections elles-mêmes est devenue essentielle.

Pour les organisations, cela signifie une meilleure résilience, une réduction des risques et une confiance accrue dans leur posture de cybersécurité.

Sources

Microsoft - Techcommunity

AV-Comparatives - Certification Anti-Tampering pour Microsoft Defender for Endpoint

Microsoft Learn - Protéger votre organisation contre la falsification

Gartner - Magic Quadrant Endpoint Protection

Avez-vous apprécié cet article ? Vous avez des questions, commentaires ou suggestions, n’hésitez pas à m’envoyer un message depuis le formulaire de contact.

N’oubliez pas de nous suivre et de partager cet article.

Tags :
Share :

Related Posts

Microsoft en leader du Magic Quadrant UCaaS 2024

Microsoft en leader du Magic Quadrant UCaaS 2024

Introduction Le Magic Quadrant de Gartner pour les communications unifiées en tant que service (UCaaS) est un outil essentiel pour les organisations cherchant à évaluer les fournisseu

Lire la suite
Microsoft en leader du Magic Quadrant DaaS 2024

Microsoft en leader du Magic Quadrant DaaS 2024

Introduction Microsoft a été reconnu comme leader dans le Magic Quadrant 2024 de Gartner pour Desktop as a Service (DaaS) pour la deuxième année consécutive. Cette reconnaissance met

Lire la suite
Vérification par courriel des participants Teams externes

Vérification par courriel des participants Teams externes

Introduction Microsoft Teams Premium introduit une nouvelle fonctionnalité de vérification par courriel pour les participants externes, renforçant ainsi la sécurité et la fiabilité de vos r

Lire la suite
Comment activer Microsoft 365 Passkey dans Entra ID

Comment activer Microsoft 365 Passkey dans Entra ID

Définition Microsoft 365 Passkey est une méthode d'authentification qui remplace les mots de passe par des options plus sécurisées comme la reconnaissance faciale, l'empreinte digitale ou u

Lire la suite
Comment se connecter avec une Passkey à Microsoft 365

Comment se connecter avec une Passkey à Microsoft 365

Définition Microsoft 365 Passkey est une méthode d'authentification qui remplace les mots de passe par des options plus sécurisées comme la reconnaissance faciale, l'empreinte digitale ou u

Lire la suite
Comment activer LAPS sur le compte Admin du MTR via Intune

Comment activer LAPS sur le compte Admin du MTR via Intune

Définition La solution LAPS (Local Administrator Password Solution) de Microsoft est un outil gratuit conçu pour améliorer la sécurité des mots de passe des comptes administrateurs loca

Lire la suite
Analyse d'impact des politiques d'accès conditionnels Entra

Analyse d'impact des politiques d'accès conditionnels Entra

Introduction Les accès conditionnels dans Entra sont des politiques de sécurité qui permettent aux administrateurs de contrôler l'accès aux applications et aux ressources en fonction de con

Lire la suite
Comment créer un compte admin local Windows via Intune LAPS

Comment créer un compte admin local Windows via Intune LAPS

Introduction J'avais publié, en Février dernier, un article qui expliquait comment remplacer le mot de passe du compte local de votre MTR via LAPS (Local Administrator Password Solution

Lire la suite
Nouvelle approche de sécurité pour les courriels non conformes

Nouvelle approche de sécurité pour les courriels non conformes

Introduction Microsoft a annoncé une mise à jour importante de Defender for Office 365 visant à renforcer la sécurité des courriels en améliorant *la gestion des courriels non conformes a

Lire la suite
Blocage des captures d'écran pendant les rencontres Teams

Blocage des captures d'écran pendant les rencontres Teams

Introduction Microsoft Teams continue de renforcer la confidentialité et la sécurité des rencontres en ligne. À partir de Juillet 2025, une nouvelle fonctionnalité sera déployée pour empêch

Lire la suite