Organiser la lutte antivirale
La lutte contre les virus doit s'inspirer d'une défense en profondeur. La présence d'un antivirus sur le PC, même avec des mises à jour très rapides, ne suffit plus. Le DSI doit organiser la défense sur tous les équipements dans le cadre d'une politique de correctifs cohérente et adaptée aux enjeux.
PublicitéL'organisation de la lutte antivirale passe par la mise en place d'outils de détection et de prévention depuis le poste de travail jusqu'à la passerelle Internet. Il est possible d'identifier quatre niveaux concentriques de risque : le poste de travail et les ressources propres à l'utilisateur, les ressources partagées, les passerelles (réseau et messagerie) et le monde extérieur, hors du périmètre de l'entreprise. L'antivirus comme seule parade aux virus informatiques actuels ne suffit plus. En effet, certains virus/vers utilisent de nouvelles méthodes de propagation et d'action : par exemple, ils ne résident qu'en mémoire vive et se propagent via le flux Internet, ils exploitent des failles liées au système d'exploitation et au réseau, ils s'associent à des outils de piratage ou utilisent la technique du spam pour initialiser leur propagation. LES RESSOURCES PROPRES A L'UTILISATEUR La protection du poste de travail est déterminante. Chaque poste de travail doit être muni de son antivirus. Même si le virus pénètre la passerelle Internet dans un format non reconnu, même s'il n'est pas détecté sur le serveur, il doit être intercepté avant que l'utilisateur n'ait son poste infecté. Maintenir à jour le logiciel antivirus de la station de travail est l'une des tâches les plus ardues de l'administrateur système. C'est spécialement le cas sur les équipements nomades, qui ne sont pas connectés en permanence au réseau. Il est aussi impératif de pouvoir verrouiller la configuration choisie afin d'éviter une modification de la configuration ou une désactivation volontaire ou involontaire de l'antivirus. Associé à l'antivirus, le pare-feu personnel est indispensable sur un poste portable. Il permet le passage sélectif des flux d'information entre la machine et le réseau interne et/ou public. On le trouve également sur des postes d'exploitation (process) qui sont interfacés avec les automates ou les applications de fabrication industrielle, et pour lesquels le déploiement de correctifs est délicat de façon automatique en raison des conditions d'exploitation. Le pare-feu personnel s'installe directement sur la machine de l'utilisateur, qu'il soit un particulier ou un employé nomade de l'entreprise. Il va de soi que les mises à jour critiques qui s'appliquent au système d'exploitation doivent l'être de manière rigoureuse. LES RESSOURCES PARTAGEES L'application des mises à jour critiques, des correctifs (patchs) et des mises à jour applicatives ou systèmes s'étend aussi aux ressources partagées. Rappelons qu'il est très fortement déconseillé de naviguer sur Internet à partir d'un serveur. Ce procédé semble très pratique pour récupérer un correctif, consulter une base de connaissances, mais il vaut mieux le faire d'une autre station, et obliger les intervenants extérieurs à faire de même. Même si l'antivirus risque d'induire une dégradation dans la vitesse du trafic, celui-ci est fortement conseillé en entrée-sortie des serveurs de données. Les périphériques modernes et les PABX actuels peuvent contenir un système d'exploitation vulnérable et faire l'objet d'attaques de tous ordres, y compris virales. LES PASSERELLES À la porte d'un monde qui peut s'avérer hostile, la mise en place d'un antivirus et d'un architecture de pare-feu est de la plus grande importance. Ces équipements complèteront les dispositifs précédemment décrits en protégeant le réseau interne de l'entreprise lorsque celui-ci débouche vers l'extérieur. On peut citer les antivirus pour passerelles (qui doivent prendre en compte les flux de messagerie instantanée ou ceux des téléchargements poste à poste ou encore de la téléphonie sur IP), les solutions de contrôle de contenu (avec analyse lexicale par mots-clés dans les mails ou dans les URL), les logiciels antispams et les systèmes de détection d'intrusions. Afin de donner à leur solution plus de réactivité lorsqu'une attaque surgit, certains éditeurs ont décidé de transformer leur offre en IPS (Intrusion Prevention System) et axent leur technologie vers la prévention proactive, capable de réagir en temps réel lorsqu'une anomalie est détectée ou qu'une intrusion est avérée. L'équipement fonctionne selon des règles de comportement et de signatures d'attaques : il surveille les attaques en dépassement de tampon (buffer overflow), les élévations de privilèges, les chargements en mémoire, les modifications critiques du système d'exploitation, l'utilisation excessive du CPU, la diminution soudaine de la bande passante, etc. LE MONDE EXTERIEUR Tout ordinateur domestique est une source potentielle d'attaque au regard du virus qu'il est susceptible de contenir : le virus peut contenir un module d'attaque ciblant votre entreprise, et il peut retrouver sur la machine des URL et adresses de messagerie qui vous correspondent. Des scanners de vulnérabilité peuvent permettre de faire un audit en évaluant la résistance des machines au sein d'un réseau protégé. Un outil efficace doit savoir détecter les failles et préconiser des solutions. Les procédures automatiques doivent se calquer sur la périodicité des mises à disposition de mises à jour par le fournisseur de l'antivirus installé. Seule cette acceptation peut permettre une réactivité suffisante face aux menaces actuelles. Ces mises à jour automatiques pourront se faire de manière ordonnancée en privilégiant le périmètre et les serveurs vitaux. Encore une fois, en prenant en compte le système d'exploitation, les applications et tous les équipements critiques présents : routeurs, imprimantes, antivirus, pare-feu, etc. Comme pour tout déploiement logiciel, une procédure de tests incluant la non-régression vis-à-vis de l'environnement d'exploitation permettra d'éviter le suraccident d'un dysfonctionnement bloquant une ressource ou le réseau. Les virus s'attaquent souvent à des logiciels ou à leurs failles, ils s'introduisent parfois par le biais de fonctionnalités inutilisées en environnement professionnel. D'une manière générale, les installations standard des systèmes d'exploitation sont singulièrement vulnérables. Retirer certaines fonctionnalités grand public telles que le partage de fichiers ou le partage de bureaux Netmeeting permet d'obtenir des postes plus performants et moins sensibles aux virus. Par ailleurs, les correctifs à appliquer en sont d'autant moins nombreux et la gestion du parc s'en retrouve affermie. Le paramétrage des applications, en particulier la navigation Internet et la messagerie, doit faire l'objet de procédures scrupuleuses. Rappelons que dans les premières heures d'apparition d'un virus, les antivirus sont parfois inefficaces. Le principe de prudence serait de rendre "passive" une navigation sur Internet, et de n'accepter que le contenu actif (Java, scripts, ActiveX, cookies) de sites choisis. Ce paramétrage pouvant être bloquant sur certains sites mal développés, l'utilisateur doit être formé. Le client de messagerie standard Microsoft étant basé sur le paramétrage de sécurité du navigateur, on voit bien l'importance de ce type d'action. Cette défense en profondeur constitue une opportunité pour le déploiement d'une politique de correctifs qui intègre une phase de test, la surveillance des failles au niveau des systèmes d'exploitation et des applications, et qui prend aussi en compte l'ensemble des équipements et ressources présents sur le réseau - routeurs, imprimantes, solutions de sécurité (antivirus, pare-feu)... L'aspect humain entre également en jeu : le fait de désactiver l'antivirus doit être présenté comme une faute grave.
Article rédigé par
Pascal Lointier, Président du Clusif
Président du Clusif (Club de la sécurité des systèmes d'information français). Diplômé de criminalistique, spécialiste de la traçabilité des malveillances informatiques, il est ingénieur sécurité chez ACE Europe et auteur de plusieurs ouvrages sur la sécurité et la guerre de l'information.
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire