Passer au contenu

Antivirus : se protéger à tous les niveaux

Les vers informatiques sont susceptibles d’infecter n’importe quelle entreprise. Si les outils destinés à s’en protéger sont perfectionnés, leurs performances seront améliorées par un bon déploiement et des mises à jour fréquentes.

Cet été, deux virus, Code Red et Sircam, ont gâché les vacances de quelques responsables informatiques. Selon le Cert, ces deux vers ont été particulièrement virulents puisqu’ils ont infecté plusieurs centaines de milliers de serveurs. Seule solution pour éviter la contamination : un antivirus. Cependant, même s’il s’est perfectionné, l’antivirus n’est toujours pas infaillible. Son bon fonctionnement est avant tout conditionné par les capacités de l’éditeur à trouver une parade aux nouvelles signatures de virus, à la fréquence des mises à jour effectuées par l’utilisateur, à son bon déploiement, etc.“Tous les produits utilisant une liste de signatures sont fiables, estime François Paget, ingénieur en recherche au laboratoire Avert (AntiVirus Emergency Team) chez Network Associates. Le problème réside dans l’administration et la mise à jour du logiciel.”Le premier risque pour un antivirus est en effet d’être mis en échec par une nouvelle signature inconnue de sa base de données. Même les antivirus heuristiques – qui n’utilisent pas de base de signatures, mais étudient le comportement des programmes pour repérer les virus – nécessitent des évolutions de versions pour détecter les nouveaux types de menaces.Il y a toujours quelques heures de décalage entre l’apparition d’une nouvelle menace et la publication de la signature par les éditeurs. Tous les acteurs du marché (Trend Micro, Symantec, Network Associates, F-Secure, Sophos, etc. ) ont été, au moins une fois, les premiers à éditer la carte d’identité de l’attaque. Le choix du logiciel antiviral porte donc plus sur la compatibilité matérielle que sur la rapidité de réaction des éditeurs.“Auparavant, nous utilisions le logiciel de Panda Software, qui fonctionne particulièrement bien sur les serveurs et les clients équipés de Windows NT, témoigne Jean-Marc Larré, administrateur réseau et responsable de la sécurité au Centre toulousain d’études spatiales des rayonnements (CESR, unité du CNRS). Mais nous avons eu des dysfonctionnements dus à des incompatibilités avec les applications utilisées sur ces PC. Panda, qui fonctionnait en tâche de fond sur les postes, consommait beaucoup de ressources. Finalement, nous avons décidé de l’abandonner en faveur d’AVP de Trend Micro.”

Un délai d’installation toujours dangereux

Il faut dire que le CESR possède plus d’une centaine de PC autonomes et leurs utilisateurs sont assez ” bidouilleurs “. Autant d’éléments qui ne facilitent pas la maintenance d’un parc et compliquent le maintien de son homogénéité. ” Les portables constituent un gros problème pour le suivi des mises à jour, avoue Jean-Marc Larré. Nous devions impérativement centraliser la mise à jour des antivirus de nos postes clients, c’est pour cette autre raison que nous avions choisi Panda Software.” Les mises à jour des listes de signatures et des versions des antivirus doivent effectivement se faire sur tous les postes de l’entreprise. Une action qui prend un certain temps en fonction de la taille du parc. “Nous avons subi les dégâts d’un virus dont nous avions déjà la signature. Mais le temps que nous la diffusions sur nos 600 postes clients – il nous faut environ quatre heures lorsque les postes sont en activité – un utilisateur l’avait téléchargé sur son webmail”, raconte un directeur des systèmes d’information d’une entreprise parisienne, qui préfère garder l’anonymat. La contamination a heureusement été bloquée au niveau des serveurs. La hiérarchisation des mises à jour, disponibles sur certains produits, permet d’effectuer l’opération en premier lieu sur les serveurs.Serveurs de fichiers, de messagerie, passerelle HTTP et même FTP, tous les points névralgiques du système informatique doivent être protégés. “Tous les points d’entrée Internet et les serveurs sont équipés”, confirme Christian Valin, responsable système et réseaux chez Lactalis International et utilisateur de TVCS de Trend Micro. Certaines entreprises choisissent même de déployer un antivirus sur les coupe-feu. “Nous n’avons pas choisi cette solution, parce qu’il me semble qu’un coupe-feu ne doit avoir qu’une seule fonction. De plus, l’utilisation d’un antivirus sur le coupe-feu consommera les ressources de ce dernier”, estime le DSI anonyme, utilisateur de Norton AntiVirus de Symantec. En effet, les antivirus restent de gros consommateurs de ressources. Il faut donc se poser toute une série de questions avant de les paramétrer. Tous les fichiers doivent-ils être scannés ou seulement certaines extensions ? Le contrôle des fichiers doit-il se faire en entrée et en sortie ? À quelle fréquence doivent se faire les mises à jour et les scans ? “Nous avons choisi de vérifier chaque jour la liste des signatures, témoigne Christian Valin. Nous avons également décidé de ne pas autoriser la désactivation et la désinstallation de l’antivirus sur les postes clients.”

La sécurité trop souvent négligée

Contrairement aux attaques de pirates, comme les tentatives d’intrusion ou les dénis de services, un virus n’est pas ciblé et toute entreprise, quelle que soit son activité, est susceptible d’en être la victime. Une menace dont beaucoup n’ont pas encore pris conscience. Le Clusif révélait en juin dernier que si 80 % des entreprises de plus de 500 personnes ont une politique de sécurité, c’est le cas de seulement 56 % des sociétés de 200 à 499 personnes et de 26 % des entreprises de plus petite taille. “Jusqu’à présent, les utilisateurs de Linux étaient plus à l’abri de ces virus, mais la prochaine génération sera justement destinée au système Linux”, prédit François Paget.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Stéphanie Renault