Les logiciels antivirus en entreprise
L'histoire des logiciels malicieux (malwares en anglais) s'est déroulée en parallèle de celle de l'informatique.
Du temps où Internet n'existait pas encore, les premiers malwares susceptibles d'infecter les ordinateurs étaient les virus et les vers. Puis avec l'arrivée des systèmes de messagerie et surtout à partir de la généralisation de l'usage d'Internet sont apparus de nouveaux types de malware : troyens, rootkits, rogues...
Si la motivation originelle des créateurs de malwares était d'obtenir de la notoriété en démontrant leur talents informatiques, leur objectif aujourd'hui est plutôt de générer des gains financiers, par un moyen ou un autre : vol et revente de données, extorsion... Une véritable cybercriminalité s'est ainsi organisée, ce qui explique que les malwares soient de plus en plus nombreux, diversifiés et sophistiqués.
Comment se protéger des malwares
La protection contre les nuisances informatiques de type malware tient tout à la fois du comportement et de l'utilisation d'outils de sécurité.
Avoir une attitude responsable sur le Web
Utiliser des logiciels piratés, télécharger illégalement ou fréquenter des sites pornagraphiques sont les sources principales des infections virales. Ces comportements sont à bannir.
Maintenir vos logiciels à jour
Les malwares utilisent les failles de sécurité des logiciels avant qu'elles ne soient connues et corrigées par les éditeurs. C'est pourquoi il faut les mettre à jour aussi régulièrement que possible. Cela concerne aussi bien le système d'exploitation (Windows) que le navigateur Internet et les programmes très utilisés comme Java et Adobe (Flash, Reader), et bien sûr votre logiciel antivirus.
Utiliser des outils de sécurité
Il y a deux grandes familles d'outils de sécurité, qu'il est incontournable de mettre en œuvre dans toute politique de sécurité informatique :
- le pare-feu (firewall), pour cloisonner le réseau informatique interne du réseau public Internet
- le logiciel antivirus, pour détecter et bloquer les attaques virales dans les fichiers, les courriers, etc.
Dans la suite de cet article nous ne traitons que de l'antivirus, le fonctionnement du pare-feu étant décrit par ailleurs (1).
Fonctionnement de l'antivirus
En simplifiant, l'antivirus (on devrait dire antimalware) est un programme qui s'exécute en arrière-plan sur l'ordinateur et qui analyse en temps réél tous les fichiers accédés par l'utilisateur et qui surveille le comportement des programmes.
Pour cela l'antivirus utilise classiquement trois méthodes :
- Le scanneur dispose d'une base de signatures, sorte de dictionnaire qui contient toutes les « empreintes numériques » des malwares connus (des dizaines de milliers !) ; le fichier accédé est balayé pour vérifier qu'il ne contient aucune de ces signatures.
- Le moniteur de comportement permet de vérifier qu'un programme ne tente pas des actions réputées anormales de modifications du système et typiques d'une attaque virale.
- Plus « intelligent », l’analyseur heuristique procède à une recherche dans les fichiers analysés de code suspect caractéristique de la majorité des malwares. Cela permet la détection proactive des nouveaux malwares, pas encore découverts et catalogués. Mais cette méthode peut aussi engendrer des « faux-positifs » (détections à tord).
Après détection d'un malware, l'antivirus va mettre le fichier infecté en quarantaine, c'est-à-dire l'isoler. Il va ensuite proposer la réparation (lorsqu'elle est possible) ou la suppression. L'éradication d'un malware peut parfois se révéler difficile voire impossible. En effet le fichier infecté peut avoir été irrémédiablement corrompu. Il arrive que le reformatage du disque reste la seule solution pour retrouver l'usage de son ordinateur !
Comment choisir son antivirus
Les éditeurs, et ils sont nombreux, ont largement tendance à autoproclamer leur produit comme le « meilleur antivirus » ; parfois des résultats de tests de laboratoires indépendants sont fournis à l'appui.
Voici les critètres qui nous paraissent importants dans le choix d'un logiciel antivirus utilisé en entreprise.
La détection des menaces
C'est évidemment le critère numéro un, la capacité à détecter les malwares de façon efficace, c'est-à-dire :
- tous les types de menaces, y compris les nouvelles variantes qui apparaissent régulièrement
- de la façon la plus proactive possible, mais sans générer de faux-positifs
- avec une diffusion la plus rapide possible des mises à jour heuristique et de signatures vers les utilisateurs
En particulier la capacité à produire des signatures en urgence en cas de crise virale par exemple peut être un indicateur pertinent.
L'impact sur les performances
Les traitements effectués par l'antivrus (voir ci-dessus) vont forcément ralentir les performances ressenties : il est important que les exigences système (processeur, mémoire...) de l'antivrus soit minimales afin que l'utilisateur n'en ressente pas les effets (ou dans des proportions acceptables).
Les possibilités de configuration
L'environnement informatique de l'entreprise peut nécessiter des réglages très précis au niveau de la mise en œuvre de la protection antivirale : il faut que le logiciel antivirus permette tous les paramétrages que votre prestataire informatique devra réaliser.
La discrétion
C'est un point que nous jugeons important pour nos clients, l'antivirus ne doit pas « se manifester » à tout bout de champ et perturber l'utilisateur sans aucune raison valable.
L'existence d'une console d'administration
Lorsque le parc à protéger devient un tant soit peu conséquent, il est important de disposer d'une console d'administration qui permet une gestion centralisée de tous les ordinateurs.
La gestion de la bande passante
Des mécanismes doivent être prévus pour éviter que chaque ordinateur du parc utilise et sature la bande passante de l'accès Internet pour réaliser les mises à jour de sa base de signatures.
Le support technique
Un dernier critère qui nous tient à cœur est la possibilité d'accéder à un support technique en France, qui saura si nécessaire escalader vers le support de la maison mère.
WIXXIM saura vous conseiller dans le choix de votre solution de sécurité. Nous recommandons tout particulièrement les produits de la société ESET.
(1) Voir la fiche explicative sur le pare-feu (ou firewall).
Auteur : Pascal GUENOT
Dernière mise à jour : 04/06/2013