Après avoir étudier le premier élément de sécurité des PME : le pare-feu, je vais maintenant vous parler plus en détail de l’antivirus. L’objectif est de bien comprendre comment repenser la sécurité en 2016, et en oubliant les technologies antérieures à 2014.
Si vous trouvez que c’est trop long à lire, nous pouvons vous faire parvenir un résumé.
L’antivirus l’arme presque absolu
L’antivirus est un produit de sécurité mais qui présente certaines limites qu’il est important de comprendre. L’antivirus ne va pas vous protéger complètement, il fait partie des éléments à mettre en oeuvre pour assurer une bonne sécurité. Mais seul il n’est pas forcement efficace.
L’antivirus et la base de signature
Comme j’en ai déjà parlé pour les pare-feu ou firewall, l’antivirus s’appuie sur une base de signature que l’éditeur met à jour. Suivant les éditeurs les mises à jour sont plus ou moins fréquentes au cours de la journée.
Le premier problème des antivirus est que pour détecté un virus, il faut avant tout qu’il soit par connu par l’éditeur. Sans cette connaissance, le virus n’est pas présent dans la base de signature de votre poste. Les technologies d’analyse comportementale des antivirus permettent de pallier dans certains cas les problèmes de lenteur de mise à jour des bases.
Le Cloud à la rescousse : plusieurs éditeurs ont mis en place des services Cloud pour leur antivirus. Grâce à ces technologies ils peuvent réduire le temps entre la mise à jour de la base sur votre poste, et leur connaissance d’un probable virus. Mais comme toujours il faut que l’éditeur ait connaissance du virus. Nous verrons plus loin que grâce au ciblage, les nouveaux virus deviennent plus efficaces.
Quand un développeur créer un virus, le premier test qu’il fait c’est de vérifier que celui-ci ne soit pas détecté par les antivirus du marché. Et il bénéficie grâce à l’usage intensif des mails d’une vitesse de propagation très rapide. Un bon virus peut infecter 1 000 000 d’ordinateurs en moins de 24h. Dans les antivirus tout est une histoire de temps entre la propagation et la découverte de celui-ci par les éditeurs.
Nouvelle génération de virus
Depuis 2012 une nouvelle génération de virus a fait son apparition : les cryptoware ou ransomware. Avant 2012 le principal intérêt d’un virus était de compromettre les données. Mais cela n’était pas très rémunérateur.
Depuis 2012 les créateurs de virus sont devenus plus maffieux. Ainsi la nouvelle génération de virus, ransomware, vous demande de payer une rançon pour avoir de nouveaux accès à vos données. Le principe est simple, il utilise une clé de cryptage aléatoire (qui varie pour chaque poste) qui va simplement rendre illisibles vos fichiers.
Dans ces cas là vous n’avez que 2 solutions : une bonne sauvegarde ou payer. Pour information le FBI a récemment conseillé les entreprises de payer les rançons (ZDNet). Pour payer il vous suffit dans la majorité des cas d’une carte bleue, d’un compte bitcoins, et de transférer l’argent. Les bitcoins sont une monnaie internet presque intraçable. Ensuite il suffit de convertir les bitcoins en $ ou en € par exemple. Peut-être qu’en 2017 vous pourrez payer votre baguette ou pizza en bitcoins, si vous n’avez plus d’espèces (nouvelle loi sur les caisses enregistreuses).
Sachez que maintenant tout est organisé, pendant une période très limitée, pour vous faciliter le payement de la rançon. Il existe même dans certains cas une hotline pour vous aider.
Comme ces ransomwares utilisent un cryptage fort, il est très difficile de trouvé la clé qui permet décrypter vos données. Les éditeurs d’antivirus travaillent en permanence sur des solutions de décryptage, mais le délai entre la solution de décryptage et le besoin de récupérer vos données est souvent trop important. La généralisation des ordinateurs quantique sera peut-être une solution au problème de cryptage actuelle (le Monde).
Source Kaspersky
Comme vous pouvez le constater sur le graphique, c’est presque exponentiel en terme du nombre de ransomwares différents.
Antivirus gratuit ou payant
La grande différence entre les antivirus gratuit et payant, au de la des fonctionnalités disponibles, c’est que les antivirus gratuits analyse lors de l’écriture du virus sur le disque dur, alors que les payants font une analyse en mémoire avant l’écriture sur le disque.
Les antivirus gratuits ne sont pas forcement moins bon que les payants, c’est plutôt leurs fonctionnalités qui sont limitées.
Antivirus et Antispam
Beaucoup d’antivirus intègrent une solution antispam. Celle-ci utilise une base de signature, ce qui l’a rend beaucoup moins efficace que des solutions de type Cloud.
Ces solutions ne sont réellement efficaces que dans le cas où elle s’intègre directement dans le lecteur message. Les solutions non intégrées rencontrent des problèmes avec les protocoles TLS et SSL (comme pour les pare-feu).
Parmi les solutions antispam Cloud il existe la solution de chez MailCleaner qui est plus efficace. Mais au niveau prix cela vous coute le même prix qu’une solution de messagerie Cloud type Google Apps for Work.
Ciblage des attaques
L’autre nouvelle tendance c’est le ciblage très précis des attaques. Ainsi certaines grandes entreprises se trouvent ciblées par un virus particulier. Si elles n’ont pas les moyens de le détecter, ce virus va se propager rapidement sur leur réseau, et par conséquent sur leur partenaire. Le virus a ainsi le temps de faire son travail.
Comme je l’ai dit plutôt les virus sont des organisations mafieuses, aussi le vol de technologies et l’espionnage industriel font partie des sources financières parfaitement exploitables pour ces organisations.
Tant que le virus n’est pas découvert, les éditeurs d’antivirus ne peuvent rien faire, et laisse le temps au virus de se propager discrètement.
Qui contrôle l’antivirus
Si un utilisateur a la possibilité de désactiver son antivirus, cela signifie aussi qu’un virus peut désactiver l’antivirus. En matière de sécurité, pour que la protection soit efficace, vous devez superviser les antivirus des postes afin de bloquer toute tentative de déverrouillage.
En la matière Kaspersky et ESET ont une solution de console très intéressante. Vous pouvez confier la gestion de votre parc antivirus à votre prestataire, qui pourra vous fournir mensuellement des statistiques sur la protection, les détections, etc.
Les antivirus avec console, ne coute pas plus cher à l’entreprise que les versions classiques, mais vous fournit un serveur de meilleure qualité et surtout une meilleure sécurité. Si cette solution vous est proposée plus chère, refuser car la majorité des rapports sont disponibles automatiquement. Vous pouvez nous contacter si vous souhaitez en savoir plus sur ce sujet.
L’antivirus pour les téléphones et tablettes
Depuis que le nombre de téléphones et tablettes vendus a dépassé les ventes d’ordinateur, les virus sont devenus courants sur les téléphones et tablettes. Il ne se passe pas une semaine sans qu’une nouvelle alerte soit publiée.
De plus ces téléphones et tablettes sont connectés au réseau de l’entreprise via WiFi, et donc doivent être, au même titre qu’un ordinateur pourvu d’un antivirus.
Mise à jour Windows
Certains éditeurs (connus) ont tendance à supprimer de leur base de signature les problèmes de sécurité liés à Windows. Si vous n’installez pas les mises à jour régulièrement (une fois par mois), vous avez un risque de prendre un vieux virus qui exploitera une faille de votre Windows.
Les mises à jour Windows sont aussi importantes que les mises à jour des bases de l’antivirus.
Renforcer la sécurité périmétrique
Les nouvelles générations d’antivirus sont souvent fournies avec un pare-feu logiciel. Si celui-ci est bien configuré (très restrictif) il va renforcer la sécurité du pare-feu de la PME. Ainsi la sécurité périmétrique sera limitée à l’ordinateur en lui-même qui se protégera des autres ordinateurs du réseau. Cela permet de limiter la propagation dans l’entreprise de virus.
La grande majorité des antivirus s’intègre au navigateur, pour analyser la dangerosité des sites web. Celle-ci se base sur une liste noire de site web.
Mais son intégration au navigateur va permettre l’analyse des contenus chiffrés HTTPS. Ainsi intégré dans le navigateur, il aura un accès à une version déchiffrée du contenu du site web.
Aujourd’hui la solution dans le navigateur est préférable à la solution pare-feu IDS.
Trop permissif
Un antivirus ralentit l’ordinateur, aussi pour améliorer les performances il est d’usage d’assouplir les règles de celui-ci. Suivant les éditeurs les antivirus sont plus ou moins ressentis par l’utilisateur.
Dans tous les cas, des règles strictes de sécurité doivent être appliquées afin d’obtenir une meilleure sécurité. Ainsi il faut :
Bloque la désactivation de l’anvirus par l’utilisateur
Mettre en place des règles de pare-feu logiciel scrute
Limiter les interactions avec l’utilisateur
Faut il un antivirus ?
Vous l’aurez compris, un antivirus bien configuré, restrictif est obligatoire afin d’assurer la sécurité du poste.
Mais ce n’est pas suffisant, les antivirus sont de plus en plus souvent pris en défaut.
Et puis il existe les PUP, qui ne sont pas des virus, mais qui ralentissent la productivité de vos collaborateurs. Nous verrons ceux-ci dans la suite.
Laisser un commentaire