Ces mêmes experts en sécurité vous invitent à désinstaller le vôtre et à acquérir des technologies de nouvelle génération qui collecteront, analyseront et détecteront automatiquement les intentions d’attaques ou de corruption de données dès qu’elles naîtront dans l’esprit de personnes malintentionnées. Ces spécialistes maîtrisent parfois plus ou moins bien le sujet. La plupart des réponses à cette question ne sont bien entendu pas si négatives, exception faite des publicités classiques réalisées par certaines marques d’antivirus. Elles proviennent parfois de certains spécialistes de ce domaine qui tentent de donner leur avis… ou simplement de vendre leurs produits.

J’ai découvert il y a quelques semaines la nouvelle thèse de Lastline Labs : l’antivirus n’est pas mort, il ne peut simplement pas suivre le rythme d’apparition des virus. Cette entreprise considère que les antivirus sont impuissants face aux nouvelles menaces car elle aurait constaté, après avoir envoyé des échantillons au célèbre site Web VirusTotal, qu’aucun antivirus n’était capable de détecter un échantillon de type « zero-day », même après plusieurs jours. Cela n’a rien de surprenant, et ca n’étonnera pas non plus les personnes qui connaissent le fonctionnement de VirusTotal : ce service dispose d’un ensemble de moteurs antivirus basés sur les signatures auxquels sont envoyés les échantillons. Cette méthode fonctionne évidemment pour les virus connus mais elle ne peut convenir, par définition, aux menaces de type « zero day ».

Si vous modifiez une chaîne de caractères dans tout échantillon de malware connu, celui-ci ne sera plus reconnu (sa signature ne correspondra plus à celle répertoriée) et il ne sera pas identifié par les dizaines de moteurs. C’est précisément la raison pour laquelle tous les antivirus dignes de ce nom ne dépendent pas uniquement de moteurs fonctionnant avec des signatures. Ils sont complétés par de nombreuses autres technologies que certains essaient de « vendre » avec un nouvel emballage : de l’analyse comportementale, des outils de reconnaissance ou des techniques heuristiques, à la détection de pointe des menaces, en passant par l’intelligence collective (dans le cloud ou non), le profilage de malwares, les listes blanches, la threat intelligence (renseignements sur les menaces) ou la threat correlation. Nous ne pouvons nous exprimer au nom des autres mais chez Bitdefender nous utilisons au moins 5-6 autres protections « de pointe » ou « de nouvelle génération », ce qui explique en partie que nous obtenions de bons résultats lors de tests objectifs.

Cette information m’aura au moins permis de m’intéresser à la technologie de protection avancée de Lastline contre les menaces, le sandboxing, qui effectue les actions suivantes : elle recueille un échantillon auprès de ses utilisateurs, le fait « exploser » dans une sandbox (généralement une machine virtuelle) et l’observe pendant quelques minutes avant de poser un diagnostic et d’actualiser les informations sur le fichier/processus dans son cloud. Je suppose qu’on ne devrait cependant pas parler ici de signatures.

Mais il est sans doute plus inquiétant que ce type d’affirmation émane également de personnes représentant de célèbres éditeurs, comme le Vice-Président de Symantec (pour plus d’informations, veuillez cliquer ici). Cela a certes fait les gros titres mais ceux qui ont réellement lu l’article ont compris qu’il ne s’agissait que de « techniques de ninja » appliquées au marketing afin de promouvoir une nouvelle gamme de produits et qu’il n’était bien entendu pas question pour Symantec de fermer sa division Antivirus.

En résumé, nous sommes confrontés à des réalités incontestables :

• Les budgets alloués à la sécurité sont en hausse mais nous entendons parler, tous les jours, de nouvelles attaques ayant entraînées la mise en péril de données dont la valeur atteint des millions de dollars ;
• Les moteurs antivirus classiques (c’est-à-dire simplement basés sur les signatures) sont inefficaces face aux menaces de type « zero-day » et aux attaques avancées ;
• Les créateurs de malwares font preuve d’imagination pour exploiter de nombreuses vulnérabilités non divulguées présentes dans les OS/applications/protocoles ;
• Les Responsables de la Sécurité et les Responsables de la Sécurité des Systèmes d’Information s’efforcent de trouver un équilibre entre des budgets serrés, le manque de professionnels de sécurité bien préparés et expérimentés, leurs utilisateurs peu sensibilisés et la pression croissante qu’exercent sur la sécurité du réseau de nouveaux modèles informatiques comme le BYOD, le travail à domicile et la virtualisation.

Quels éléments sont à prendre en compte pour trouver la solution ?

1. Identifiez les causes profondes, notamment :

• Les anciens systèmes, conçus il y a plusieurs années et conservés en l’état (et non patchés) puisqu’ils fonctionnent, ils sont « en production » et les temps d’arrêt ne sont pas acceptables.
• Des sécurités hétérogènes : de nombreuses technologies spécifiques, de différents éditeurs, promettant d’apporter une solution à un ou plusieurs problèmes, réels ou improbables. Chaque technologie requiert de l’attention, génère une multitude d’événements par seconde et prive le personnel qualifié, cher et rare d’un temps précieux.
• Des périmètres en pleine évolution : en raison des nouveaux styles de travail, la zone à protéger devient difficile à définir et s’étend aux domiciles des employés, aux clouds, aux appareils mobiles, etc.
• Des menaces élaborées font leur apparition tous les jours ; elles sont souvent bien pensées, avec des technologies de pointe leur permettant d’échapper aux contre-mesures de sécurité.
• Les nouvelles demandes des utilisateurs finaux –BYOD, VDI, l’accès à leur environnement informatique de partout, le cloud hybride et le Shadow IT.

2. Identifiez les données qui sont réellement importantes à vos yeux (les vôtres, celles de vos clients et de vos partenaires) et définissez qui a le droit d’y accéder.

Essayez de considérer ces informations importantes du point de vue des risques : que se passera-t-il si ces données sont modifiées, divulguées ou ne sont pas accessibles ? Une fois que vous avez déterminé ce qui est le plus important :

• Limitez fortement l’accès à ces données essentielles de sorte que les personnes, processus et applications qui n’en ont pas besoin ne puissent pas y accéder. Vous constaterez peut-être que des services entiers ont accès à des choses dont ils n’ont pas besoin simplement en raison d’un besoin ponctuel apparu il y a des années…
• Identifiez vos flux d’informations : quelles données sont générées ? où sont-elles  créées, traitées, conservées ? Posez mille et une questions…
• Essayez de comprendre le fonctionnement de votre réseau, d’après les profils des utilisateurs et leurs modes d’échanges de données (y a-t-il, par exemple, des partenaires ou des clients en Chine ?).
• Choisissez vos solutions en fonction de leur capacité à résoudre vos véritables problèmes et non simplement car leur prix est intéressant. Si votre infrastructure est virtualisée, optez pour une solution de sécurité pour la virtualisation. Si vous souhaitez protéger des appareils mobiles, tournez-vous vers une solution MDM avec une sécurité renforcée. Obtenez les meilleures offres cloud, négociez les contrats de maintenance et de SLA et vérifiez ce qu’ils fournissent réellement.
• Adoptez l’automatisation. Les spécialistes en sécurité coûtent cher, ne leur faites pas perdre leur temps avec des informations non pertinentes. Servez-vous de la technologie comme d’un filtre permettant de présenter uniquement ce qui est intéressant. C’est pourquoi même les antivirus parfois décrits comme étant dépassés sont essentiels : s’ils bloquent 99,5% des malwares, ils permettent à vos employés de consacrer du temps aux 0,5% restants qui peuvent être de nouveaux malwares, ciblés et dangereux.

Et si en fin de compte vous faites encore confiance aux experts et décidez que vous pouvez DÉSACTIVER VOTRE ANVIVIRUS,  attendez-vous à devoir le RÉACTIVER très vite.

Pour découvrir ce que les entreprises font réellement, consultez nos livres blancs.