Bannir les antivirus au profit des logiciels intégrés ?

Trop chers, trop complexes, vite obsolètes, insuffisamment intégrés... Les critiques n'épargnent pas les produits de sécurité, dont les antivirus. Si les solutions de protection sont nécessaires, la sensibilisation aussi.

Les antivirus ont-ils encore leur place ? Non, répond un cadre de Trend Micro, David Peterson. Les cybercriminels auraient-ils soudain cessé toute activité ? Non, mais les antivirus apportant une protection exclusivement contre les virus ne sont plus suffisamment efficaces à présent, compte tenu de la nature polymorphe de la menace sur Internet.

Les virus côtoient en effet les chevaux de Troie, les keyloggers, le phishing, les rootkits, etc. Sur l'ensemble des nouveaux codes malveillants identifiés en août par Viruslist, 80% appartenaient à la catégorie des chevaux de Troie. Autre particularité des malveillances Internet : elles associent bien souvent les propriétés de plusieurs familles. Un cheval de Troie pourra ainsi combiner les capacités d'un keylogger et d'un rootkit.

Les éditeurs, pour la plupart, commercialisent non plus uniquement des antivirus mais de véritables suites de sécurité destinées à apporter une protection adaptée. Mais cette fusion de briques successives présente-t-elle un niveau de performance suffisant ? Neil MacDonald, vice-président de Gartner s'est exprimé sur le sujet lors de l'IT Security Summit qui se tenait à Londres.

Outre des prix qu'il juge souvent élevés pour des produits dont l'efficacité diminue à mesure que de nouvelles menaces apparaissent, Neil MacDonald reproche aux éditeurs de proposer des produits ponctuels induisant trop de complexité. Ces déclarations ont été reçues plus ou moins fraichement par les fournisseurs d'antivirus.

"Les éditeurs ont pour la plupart travaillé par rachats successifs en acquérant les technologies d'éditeurs positionnés sur des niches du marché de la sécurité, comme l'antispam, l'antispyware, l'antiphishing, etc. Il y a en effet ensuite tout un travail d'intégration à entreprendre, qui est plus ou moins bien réussi selon les éditeurs. Néanmoins, malgré cette construction progressive d'applications de sécurité, l'intégration est parfois très bonne, avec des consoles d'administration centralisées remontant les alarmes", se prononce Olivier Caleff, directeur technique au sein de l'entité sécurité de Devoteam.

Critère d'évaluation des antivirus : réactivité, capacité d'alerte, la gestion des postes nomades, et l'exploitation

Pour les éditeurs, l'heure est désormais à l'ajout d'une nouvelle brique dans la sécurité du poste de travail et du réseau qui est celle du DLP (Data Leak Prevention ou prévention des fuites de données). Depuis ces deux dernières années, et plus encore en 2008, les généralistes comme McAfee, Symantec et Trend Micro, ont investi dans des acquisitions pour compléter leurs technologies.

Marier un moteur de détection existant à une autre technologie afin d'étendre le périmètre fonctionnel d'une application de sécurité demande des développements, et donc du temps. L'intégration des modules de sécurité se poursuit et répond à une attente. Elle peut se constater notamment chez les grands comptes, intéressés par les produits du type SkyRecon qui à son agent logiciel a rajouté chiffrement à la volée, contrôle d'accès et des périphériques amovible, puis récemment l'antivirus.

De son côté Websense a rapproché ses solutions de DLP, sa Security Suite et sa nouvelle passerelle (Secure Gateway) pour une administration des politiques de sécurité plus centralisée et permettant de répondre aux quatre aspects de la sécurité des données : qui, quoi, comment et vers où. Néanmoins ces produits ne peuvent encore être administrés au travers d'une console unique pour donner une vision globale de la sécurité.

Demeure ensuite la question du prix et de la performance soulevée par Neil MacDonald de Gartner. L'analyste encourage d'ailleurs les entreprises à ne pas hésiter à faire jouer la concurrence et à exercer des pressions sur les prix. Cette pratique s'avère toutefois plus aisée à mettre en œuvre pour les grands comptes dont le pouvoir de négociation est plus fort. D'autres critères que le prix ne doivent pas non plus être négligés dans le choix d'un antivirus ou d'une suite de sécurité.

"La réactivité, la capacité d'alerte - de l'utilisateur et de l'administrateur via la console centralisée -, la gestion des postes nomades, et l'exploitation, c'est-à-dire le déploiement des signatures, sont des critères importants. Chaque éditeur a plus ou moins sa technologie sur ce dernier point. Mais la force d'un logiciel c'est aussi sa capacité à s'intégrer à un existant, qui peut notamment être Windows Server Update Services. Enfin un site comme Virus Total est un bon indicateur de la qualité de la réponse d'un éditeur antivirus", liste Olivier Caleff.

Quel que soit le niveau d'intégration des modules de sécurité et les performances des moteurs de détection, la sécurité totale est un mythe. En outre les éditeurs répondent à des risques exclusivement par des produits. Or la sécurité repose aussi sur des aspects organisationnels et sur l'humain. Un antivirus, aussi efficace soit-il, ne pourra ainsi pas protéger une entreprise dont les salariés ne sont pas sensibilisés aux menaces et continuent par exemple d'ouvrir des emails faisant mention des charmes de Paris Hilton.

Virus