Choisir un anti-virus implique de recourir à une méthodologie précise, afin d'analyser les différentes fonctionnalités requises par son système. Bonnes pratiques. (Jeudi 24 juillet 2003)
Quand on s'intéresse
aux logiciels anti-virus, on cherche tout d'abord à
savoir comment ces solutions fonctionnent (quelles technologies
elles mettent en oeuvre) et comment elles protègent
les postes de travail.
Mais dans une entreprise en réseau, disposant de
plusieurs serveurs de messagerie et traitant des milliers
de courriels par jour, les questions se portent rapidement
sur les solutions de protection des passerelles (HTTP,
SMTP, FTP) et des serveurs (de fichiers et de messagerie),
car les solutions pour postes clients s'avèrent
rapidement insuffisantes.
Les
anti-virus postes client : un B-A-BA complexe Choisir un anti-virus
pour poste client, c'est d'abord se focaliser sur trois
fonctionnalités essentielles, qui peuvent se décliner
de manières fort différentes selon les éditeurs
: la détection des virus, leur identification,
puis leur traitement.
Dans la détection virale, on distingue trois modes
d'action : la détection par analyse statique (les
codes malicieux sont recherchés sur les disques
durs ou disquettes sans que les programmes ne soient exécutés),
l'interception (le virus tente de se répliquer
ou de s'introduire en mémoire) et la détection
des modifications (les fichiers vitaux du système
sont en train d'être altérés par le
virus ou un cheval de Troie est en train d'agir). Des
technologies très diverses, mais non moins complémentaires
coexistent : recherche de signatures de virus, détection
algorithmique, monitoring temps réel (interception),
bases de connaissances et détection heuristique.
Identifier
et traiter les virus
L'identification, quant à elle, consiste à
nommer un virus - mais aussi ses variantes -, et à
en donner toutes les caractéristiques. Cela permet
à l'administrateur réseau ou la personne
en charge de la sécurité de prendre les
dispositions adéquates. Le degré de précision
est d'une importance
capitale : il faut donc porter une attention toute particulière
à la fréquence des mises à jour des
définitions de virus, au renouvellement des algorithmes
de détection et à la taille de la base des
virus répertoriés.
Enfin, la manière de traiter un virus peut, elle
aussi, varier d'une solution à l'autre. Un traitement
réussi consistera à réparer le document
virusé en lui rendant son état d'origine.
Peu de solutions y parviennent véritablement ;
l'utilisateur devra donc avoir le maximum d'autonomie
sur ce point et pouvoir définir ses propres règles.
Déporter
la surveillance vers les passerelles Un des maillons
faibles d'une architecture réseau peut se situer
au niveau des passerelles utilisées. Les solutions
anti-virales se greffent dans ce cas sur les passerelles
SMTP, filtrant les contenus entrants et sortants qui y
transitent, en amont des serveurs de messagerie. La multitude
des formats de documents à surveiller est un critère
important (pièces jointes compressées groupes
de discussion). L'intégration avec les principaux
serveurs de messagerie du marché (Lotus/domino,
Exchange...) est aussi à prendre en compte.
La passerelle protégée peut également
être une passerelle HTTP, en amont d'un réseau
local, comme pour un poste fournissant l'accès
Internet à d'autres postes par exemple. Des mises
à jour automatiques sont souhaitables, ainsi qu'une
console d'administration Web flexible.
Sans
oublier les serveurs de messagerie et de fichiers Bien entendu, les
solutions anti-virales s'appliquent aussi aux serveurs
de messagerie proprement dits et aux serveurs de fichiers
(ces derniers stockant les documents que chaque utilisateur
dans l'entreprise reçoit et décide de garder).
Des critères de facilité de configuration
et de déploiement sont donc à considérer
quand on gère des parcs importants, ainsi que la
qualité des rapports d'incident fournis par la
solution (traduction éventuelle, fréquence...).
Pour le cas particulier des
serveurs de messagerie, on distinguera deux possibilités.
Soit on procède par une interface (cette dernière
orientant les courriels vers un anti-virus de fichiers
traditionnel), soit on utilise un anti-virus spécialisé
qui traitera les flux SMTP en tant que tels.