Parmi les centaines de messages qu'une entreprise reçoit quotidiennement, 25 % comportent des virus et plus de la moitié sont des publicités non sollicitées. Heureusement, des solutions efficaces existent pour s'en prémunir : filtre logiciel, boîtier tout-en-un et FAH. Paradoxalement, les entreprises rechignent souvent un long moment avant de s'équiper. Le déclic se produit parfois quand leur productivité en pâtit. « Je recevais plus de 100 pourriels chaque jour, qui me faisaient perdre une demi-heure, soit près de dix heures par mois » , illustre Frédéric Ktorza, PDG de l'agence en communication Cho You.

Il existe d'autres raisons d'adopter un outil de filtrage. « C'est notre connexion ADSL et les risques liés à ce type de liaison qui nous ont décidés à mettre en place le filtre de messagerie de Trend Micro » , se souvient Noël Morichon, directeur du Syndicat mixte à la carte (SMC), un regroupement de communes du Haut Val de Sèvre (79) pour la collecte et le traitement de déchets.

Spécialiste des échafaudages, Scaff'Holding a profité de sa migration vers le système d'annuaire Active Directory de Microsoft pour renforcer la sécurité globale de son réseau. L'occasion d'équiper ses serveurs de messagerie des filtres Mail Essentials et Mail Security de GFi. Enfin, certaines entreprises ou établissements publics finissent par se doter d'outils adéquats afin ne pas « polluer » le réseau des réseaux.

Une question d'éthique, mais aussi d'image de marque. « Certaines boîtes aux lettres internes recevaient jusqu'à dix fois plus de pourriels que de courriers légitimes. Mais c'est aussi notre volonté de ne pas être émetteur de pourriels et de virus qui nous a poussés à utiliser une application IronPort » , explique Patrice Garnier, responsable des systèmes de messagerie de l'université François Rabelais de Tours.

La plupart de nos entreprises témoins se sont équipées d'un filtre de messagerie il y a moins d'un an. Lorsqu'elles possédaient déjà une passerelle antivirus, elles l'ont généralement complétée avec un module antipourriel du même éditeur. « Satisfaits des outils de Panda, nous sommes passés naturellement à la version Enterprise Secure 3.02, qui intègre un filtre antipourriel » , illustre Bruno Dervillez, responsable informatique de l'Institut de recherche et documentation en économie de la santé (IRDES).

Dans le cas d'un premier équipement, la diversité des approches - filtre logiciel, boîtier tout-en-un ou service FAH - permet de répondre aux particularités de chaque entreprise. « Comme toutes les universités, nous préférons utiliser les logiciels libres. Dans un premier temps, mon choix s'est donc porté sur le logiciel libre SpamAssassin. Mais la configuration s'est révélée délicate et instable et prenait trop de temps d'administration. Nous avons finalement sélectionné le routeur SMTP C30 d'IronPort pour des raisons de qualité du filtrage, de performance et de charge d'administration réduite » , illustre Patrice Garnier.

L'université de Tours doit en effet faire face à des volumes importants - 1700 boîtes aux lettres réparties sur vingt sites, soit un trafic quotidien de 30 000 mails entrants et sortants - que le logiciel open source n'est pas capable de gérer. Contrairement à la majorité des entreprises qui se contentent de se protéger des menaces extérieures, l'université filtre également tous les messages émis. Une mesure essentielle pour endiguer la propagation des virus se reproduisant grâce aux carnets d'adresses des internautes.

Avec ses 35 boîtes aux lettres, l'agence de communication Cho You n'avait « ni le temps, ni les ressources nécessaires en interne pour gérer ce projet et garantir la mise à jour régulière des filtres antivirus et antipourriels » , se souvient Frédéric Ktorza. L'entreprise a donc opté pour le service hébergé e-securemail de Secuserve.

Quelle que soit la solution retenue, le déploiement s'effectue en quelques heures lorsque l'entreprise installe uniquement un filtre en amont (FAH) ou directement sur le serveur de messagerie. « Comme j'étais pressé, j'ai demandé l'assistance d'un responsable d'IronPort. En fait, après avoir suivi tout le processus, j'ai réalisé que j'aurais pu faire moi-même l'installation, après m'être familiarisé avec le système d'exploitation AsyncOS de l'éditeur » , illustre Patrice Garnier, de l'université François Rabelais.

Selon les modules de filtrage antipourriel retenus, l'affinage des règles peut demander une intervention ponctuelle pendant plusieurs semaines, le temps de tester différentes stratégies. Mais la plupart des entreprises se limitent à activer et à désactiver les différents filtres sans trop toucher aux réglages par défaut.

Utilisant un boîtier antipourriel et antivirus de McAfee, le magazine Le Point s'est contenté d'activer le filtrage à partir d'une liste noire publique ( Realtime Black List ou RBL) et de mots-clés. Une approche gratuite et qui prend peu de temps. Certains éditeurs proposent en effet leurs propres RBL et listes de définitions de pourriels et en font payer la mise à jour quotidienne. En plus des filtres bayésiens (filtres qui exploitent un système expert pour identifier des pourriels non encore répertoriés) intégrés à SpamAssassin et au module antipourriel de Panda, l'IRDES s'appuie sur une liste blanche (liste de correspondants autorisés) pour trier tous les flux entrants.

Une approche particulièrement efficace pour mettre en oeuvre un filtrage automatique agressif tout en garantissant la livraison des messages d'interlocuteurs-clés. Le filtre se comporte alors un peu comme un coupe-feu, la majorité du trafic est bloqué, sauf les adresses e-mails répertoriées sur la liste blanche. L'élaboration de celle-ci est alors le point-clé du paramétrage.

Particulièrement abouti, le filtrage des virus repose, quant à lui, sur les paramétrages par défaut des éditeurs et exploite la mise à jour quotidienne des fichiers de définition. Pour limiter au maximum les risques de contamination, la plupart des spécialistes conseillent de déployer plusieurs antivirus, à différents niveaux de l'infrastructure.

En suivant cette règle, ce ne sont pas les virus qui posent le plus de problèmes, mais les pourriels, dont le nombre et la diversité des émetteurs ne cessent d'augmenter. « Malgré une synchronisation des signatures antipourriels toutes les heures, nous avons encore 5 à 10 % de pourriels non détectés » , note Patrice Garnier, de l'université François Rabelais.

Pour la plupart des entreprises, la charge d'administration - et donc le coût opérationnel induit - est un critère de choix primordial. « Le temps d'administration était pour moi un point essentiel dans le choix de la solution de routage SMTP : plus de gestion de queues, plus de tuning des règles, une performance telle que la plate-forme absorbe les attaques de type mail bombing, etc. » , illustre Patrice Garnier. Nécessitant entre trente minutes par jour et quelques heures par mois, l'administration des filtres consiste essentiellement à gérer les faux positifs (e-mails légitimes considérés à tort comme des pourriels). Le SMC consacre par exemple « quelques dizaines de minutes quotidiennes pour le contrôle et la suppression des fichiers en quarantaine » , estime Noël Morichon.

La plupart des entreprises confient encore, pour l'instant, la gestion des faux positifs mis en quarantaine à un administrateur unique. « Les e-mails étant essentiels à notre activité, nous avons privilégié une mise en quarantaine plutôt qu'une destruction systématique. La plupart de nos faux positifs proviennent de pièces jointes potentiellement dangereuses - exécutables, pages HTML avec script, etc. -, mais légitimes dans le cadre de nos relations externes. Nous ne pouvions pas laisser les utilisateurs analyser ces e-mails à risque » , explique Sébastien Guépratte, responsable des systèmes informatiques de Scaff'Holding.

Laisser la gestion des faux positifs au responsable informatique ne pose pas de problème de surcharge de travail dans les petites structures. Le taux des faux positifs varie en effet entre 0,5 et 2 % selon la solution retenue. Le nombre de messages en quarantaine se limite donc à quelques e-mails par jour.

Cependant, faute de temps, certaines entreprises ont choisi de faire totalement confiance à leur filtre. « Le faible taux de faux positifs au niveau des pourriels et la qualité des filtres antivirus nous permettent de nous reposer complètement sur la solution FAH de Secuserve. Même si nous sommes informés des mises en quarantaine, nous ne pouvons, en pratique, passer du temps à les recontrôler. Nous sommes obligés de faire une confiance un peu aveugle à notre antipourriel » , explique Frédéric Ktorza.

Faute d'information et malgré un faible taux de faux positifs, la mise en oeuvre d'un filtre peut mécontenter des utilisateurs habitués à beaucoup de liberté. « Nous n'avions aucun système antipourriel auparavant. La mise en place de ces outils leur a déplu. Nous avons dû les informer avec un soin particulier et gérer leurs réclamations avec beaucoup d'attention » , illustre Sébastien Guépratte, de Scaff'Holding.

Avec un coût annuel par boîte aux lettres compris entre quelques euros par mois pour les solutions FAH et quelques milliers d'euros tout au plus pour les boîtiers haut de gamme, le retour sur investissement est quasiment immédiat pour l'entreprise. Pour une petite structure comme le SMC, le principal bénéfice est la possibilité de « nous concentrer à nouveau sur notre coeur de métier », estime Noël Morichon. Les gains sont aussi financiers. « Les boîtes aux lettres de nos utilisateurs sont moins pleines, ce qui se traduit, à l'échelle de l'entreprise, par un gain de place important sur les serveurs de messagerie » , constate Bellaiche Ronnie, administrateur réseau au magazine Le Point .

Le filtrage des pourriels et des virus améliore également le confort et la productivité. Point important, mais souvent oublié, il protège l'entreprise des incidents graves et coûteux comme une infection virale généralisée ou des attaques « psychologiques » , telles que le phishing (abus de confiance des utilisateurs). « Nous pouvons dire que nous avons évité de consacrer du budget à nettoyer les dégâts dus aux virus. L'économie réelle n'est cependant pas facilement quantifiable » , illustre Sébastien Guépratte.