Anti-virus : de
multiples points d'intervention Par JDNet Solutions (Benchmark Group) URL : http://www.journaldunet.com/solutions/0307/030724_virus1.shtml Lancer l'impression Jeudi 24 juillet 2003
Mais dans une entreprise en réseau, disposant de plusieurs serveurs de messagerie et traitant des milliers de courriels par jour, les questions se portent rapidement sur les solutions de protection des passerelles (HTTP, SMTP, FTP) et des serveurs (de fichiers et de messagerie), car les solutions pour postes clients s'avèrent rapidement insuffisantes. Choisir un anti-virus pour poste client, c'est d'abord se focaliser sur trois fonctionnalités essentielles, qui peuvent se décliner de manières fort différentes selon les éditeurs : la détection des virus, leur identification, puis leur traitement. Dans la détection virale, on distingue trois modes d'action : la détection par analyse statique (les codes malicieux sont recherchés sur les disques durs ou disquettes sans que les programmes ne soient exécutés), l'interception (le virus tente de se répliquer ou de s'introduire en mémoire) et la détection des modifications (les fichiers vitaux du système sont en train d'être altérés par le virus ou un cheval de Troie est en train d'agir). Des technologies très diverses, mais non moins complémentaires coexistent : recherche de signatures de virus, détection algorithmique, monitoring temps réel (interception), bases de connaissances et détection heuristique. Identifier et traiter les virus L'identification, quant à elle, consiste à nommer un virus - mais aussi ses variantes -, et à en donner toutes les caractéristiques. Cela permet à l'administrateur réseau ou la personne en charge de la sécurité de prendre les dispositions adéquates. Le degré de précision est d'une importance capitale : il faut donc porter une attention toute particulière à la fréquence des mises à jour des définitions de virus, au renouvellement des algorithmes de détection et à la taille de la base des virus répertoriés. Enfin, la manière de traiter un virus peut, elle aussi, varier d'une solution à l'autre. Un traitement réussi consistera à réparer le document virusé en lui rendant son état d'origine. Peu de solutions y parviennent véritablement ; l'utilisateur devra donc avoir le maximum d'autonomie sur ce point et pouvoir définir ses propres règles. Déporter la surveillance vers les passerelles Un des maillons faibles d'une architecture réseau peut se situer au niveau des passerelles utilisées. Les solutions anti-virales se greffent dans ce cas sur les passerelles SMTP, filtrant les contenus entrants et sortants qui y transitent, en amont des serveurs de messagerie. La multitude des formats de documents à surveiller est un critère important (pièces jointes compressées groupes de discussion). L'intégration avec les principaux serveurs de messagerie du marché (Lotus/domino, Exchange...) est aussi à prendre en compte. La passerelle protégée peut également être une passerelle HTTP, en amont d'un réseau local, comme pour un poste fournissant l'accès Internet à d'autres postes par exemple. Des mises à jour automatiques sont souhaitables, ainsi qu'une console d'administration Web flexible. Sans oublier les serveurs de messagerie et de fichiers Bien entendu, les solutions anti-virales s'appliquent aussi aux serveurs de messagerie proprement dits et aux serveurs de fichiers (ces derniers stockant les documents que chaque utilisateur dans l'entreprise reçoit et décide de garder). Des critères de facilité de configuration et de déploiement sont donc à considérer quand on gère des parcs importants, ainsi que la qualité des rapports d'incident fournis par la solution (traduction éventuelle, fréquence...).
[Fabrice Deblock, JDNet] Pour tout problème de consultation, écrivez au Webmaster Copyrights et reproductions . Données personnelles Copyright 2006 Benchmark Group - 69-71 avenue Pierre Grenier 92517 Boulogne Billancourt Cedex, FRANCE |
|