Après les virus, l'entreprise doit désormais faire face à une autre catégorie de codes malicieux : les spywares. Mais la menace est très différente : là où une infection virale ne constitue souvent qu'un incident ponctuel rapidement maîtrisé, l'action des spyware s est sournoise, endémique et souvent ignorée par l'entreprise. De fait, aucun des témoins interrogés dans le cadre de ce dossier n'avait la moindre idée du nombre de postes de travail infectés avant d'avoir déployé un antispyware.

Car le premier contact de l'entreprise avec ces parasites provient le plus souvent des plaintes de salariés dont les PC deviennent difficilement utilisables. « Des collaborateurs trouvaient que leur poste de travail était anormalement lent ou qu'apparaissaient de nombreuses fenêtres publicitaires pour des casinos en ligne ou des sites pornographiques. Et, malgré notre antivirus, nous ne pouvions pas vraiment en déterminer la cause », se souvient François Vallée, responsable administratif et financier de l'agence conseil en publicité Aaxess.

Des baisses de performances qui s'accompagnent parfois d'un impact négatif en termes d'image, tant un réseau local saturé de spywares peut être embarrassant : « Un client venu se connecter sur notre réseau a été averti par son coupe-feu personnel qu'il subissait des tentatives d'infection venant de notre service. Ce fut l'incident de trop. Je me suis mis à la recherche d'une vraie solution », raconte Adrien Jules, responsable du télémarketing chez IBD. Jusqu'alors, il se contentait de passer quatre heures par semaine à désinfecter manuellement les postes de travail à l'aide d'un outil gratuit.

Les éditeurs d'antivirus ont longtemps snobé la détection de spywares et, par conséquent, les solutions disponibles pour lutter contre ces parasites sont particulièrement hétéroclites. On trouve, bien sûr, des spécialistes de l'antispyware qui proposent des clients spécifiques à installer sur les postes de travail en plus de l'antivirus. Certains éditeurs ajoutent à leurs solutions de filtrage d'URL la détection des flux associés à ces parasites. Des éditeurs d'antivirus, enfin, offrent depuis peu un module antispyware à greffer aux clients existants.

Par ailleurs, le projet de lutte contre les spywares n'est généralement pas identifié d'emblée par l'entreprise : la décision de s'équiper est souvent prise à l'apparition des premiers symptômes. Dans ces conditions, le choix de la solution est souvent déterminé par des considérations pragmatiques : le coût engendré par l'opération et la présence de solutions compatibles déjà déployées dans l'entreprise. « Nos postes de travail sont déjà équipés d'un client antivirus McAfee. Nous avons donc choisi l'antispyware de McAfee, dont la mise en oeuvre est rapide puisqu'il s'agit d'un module additionnel à l'antivirus. Et, en étant déjà client, avec 1200 postes équipés, nous pensions pouvoir obtenir des conditions plus avantageuses que si nous devions acheter un nouveau produit », explique Patrick Weisse, responsable réseau du fabricant de pompes à carburant Tokeim. D'autres ont préféré un client dédié installé sur les postes, en plus de l'antivirus traditionnel.

Les projets antispywares se faisant souvent au pied levé, le choix de la solution passe souvent par le bouche à oreille : « Notre intégrateur avait déjà réglé des problèmes similaires dans une autre entreprise grâce au logiciel de Webroot. Nous lui avons fait confiance, d'autant que nous n'avions pas vraiment le temps ni les moyens de mener une étude poussée », justifie François Vallée. Même approche chez le fabricant De Dietrich, qui s'est contenté d'activer le module antispyware de sa solution de filtrage d'URL existante fournie par Websense.

La société de télémarketing IBD a bien testé quelques produits du marché avant d'opter pour celui de SurfControl. Mais, là encore, l'éditeur était déjà un client de l'entreprise dans le cadre de ses campagnes de télémarketing.

Outre le coût et l'existant, le choix de la solution peut également être influencé par la topographie du parc informatique. Les postes nomades, par exemple, s'accommodent mal d'une solution sur passerelle : « Nous avions, certes, déjà un boîtier de sécurité Fortinet, dont il aurait suffi d'activer la licence antispyware. Mais cela n'aurait pas protégé les postes nomades. Nous avons préféré un client spécifique commun à tous nos postes, que nous puissions administrer de manière centralisée », poursuit François Vallée. De même, la présence de postes plus anciens peut impliquer la recherche d'un client léger et peu gourmand pouvant, en outre, être installé sur des systèmes d'exploitation moins récents.

À miniprojet, mise en oeuvre extra simple. Le déploiement d'une protection antispyware est particulièrement aisé, surtout lorsque celle-ci s'appuie sur une solution de sécurité existante. « La mise en oeuvre a duré cinq minutes : le temps d'entrer dans l'interface d'administration de Websense notre nouveau numéro de licence pour le module antispyware », s'amuse Pascal Muckensturm, responsable informatique et réseaux chez De Dietrich. Le tout fonctionne sur un serveur Windows 2000 (bi-Xeon 2 GHz et 2 Go de mémoire vive), placé en DMZ et qui filtre la totalité du trafic réseau.

Sur les postes de travail, la mise en oeuvre du module antispyware a également été réalisée sans problème pour Tokeim, qui a utilisé pour cela la console d'administration centralisée des clients antivirus existants, achetée pour l'occasion. « La console d'administration EPO a détecté tous nos postes de travail et il a suffi de forcer une mise à jour de l'ensemble de nos clients antivirus pour leur installer le module antispyware, qui pèse environ 2 Mo », explique Patrick Weisse. Cela s'est fait progressivement, sur deux jours, afin de ne pas saturer inutilement le réseau. Les adeptes du client autonome ne sont cependant pas mal lotis. « Le déploiement et l'administration centralisée étaient des critères très importants pour moi. J'ai donc d'abord installé la plate-forme d'administration centralisée fournie par SurfControl. Le produit a immédiatement reconnu notre annuaire Active Director y et a pu déployer les clients antispywares sur tous les postes. Le tout a été très rapide, et je n'ai eu besoin de réaliser aucune configuration spécifique », se souvient Adrien Jules. Comble de la frugalité, la console de déploiement et d'administration est installée sur le serveur Windows à tout faire du service de télémarketing, qui héberge déjà l'annuaire Active Directory, le serveur de messagerie Exchange et sert de domaine Windows.

Seul le produit de Webroot, installé chez Aaxess, l'a été manuellement sur chaque poste de travail durant une tournée d'inspection de l'intégrateur. Mais, il peut lui aussi être intégré à la console MMC de Windows, reconnaître les annuaires Active Directory et, comme ses concurrents, il dispose d'une console d'administration centralisée.

Une fois déployées, toutes ces solutions antispywares se font oublier. C'est, bien entendu, le cas pour la passerelle de Websense, qui filtre de manière passive l'ensemble du trafic des 1000 utilisateurs au sein de la société De Dietrich, en Alsace. « C'est vraiment du type " sitôt installé, sitôt oublié " : personne ne s'occupe vraiment de la passerelle. Je me contente de consulter les journaux quotidiennement pour m'assurer que tout fonctionne bien. La seule maintenance concerne la base SQL intégrée au produit, qui doit être purgée de temps à autre. Mais, c'est le travail d'un administrateur de bases de données », détaille Pascal Muckensturm. Et la solution est, bien sûr, totalement transparente pour les utilisateurs.

En ce qui concerne les produits concurrents installés sur les postes de travail, la simplicité est aussi au rendez-vous : « Le client Webroot démarre en mode invisible à l'ouverture de la session. L'utilisateur ne voit rien et les analyses se font automatiquement, de manière transparente », explique François Vallée. Les mises à jour se font automatiquement, comme pour les antivirus traditionnels : « C'est le rêve de tout administrateur : j'ai activé la mise à jour automatique et c'est tout. Cela fonctionne tout seul depuis lors. Au début, je regardais un peu les journaux par précaution, mais maintenant je ne le fais même plus », reconnaît Adrien Jules. Dans le cas de l'intégration au client antivirus existant, enfin, la simplicité est encore plus flagrante : « Pour les administrateurs comme pour les utilisateurs, rien n'a changé. Les mises à jour de l'antispyware s'intègrent à celles de l'antivirus, et c'est exactement comme si nous n'avions rien touché, sauf que notre niveau de protection a augmenté », reconnaît Patrick Weisse.

Sur le terrain, enfin, il est difficile de faire plus évident en termes d'efficacité : « Les invasions de spywares ont cessé immédiatement. Plus aucun collaborateur n'est venu se plaindre d'un PC ralenti ou de l'apparition de fenêtres publicitaires depuis l'installation du produit. Et j'ai pu observer dans les journaux de la console d'administration toutes les tentatives d'infection bloquées », se félicite Adrien Jules. Et le résultat est exactement le même chez tous nos témoins : tous parlent d'une disparition immédiate du problème et de la tranquillité retrouvée des utilisateurs. Bien entendu, dans le cas d'une solution sur passerelle, les postes restent infectés, même s'ils ne peuvent plus communiquer avec les serveurs chargés de délivrer la publicité. L'entreprise peut alors décider de les laisser en l'état, ou bien choisir de les nettoyer manuellement à l'aide d'outils spécialisés, souvent gratuits.

Il n'est pas toujours évident de convaincre la direction de débloquer des fonds pour se protéger d'une menace qui, pour beaucoup, devrait déjà être prise en charge par l'antivirus existant. « Notre direction a vu rouge en apprenant le prix de la licence additionnelle Websense, alors que nous avons déjà le produit et que nous payons déjà des licences pour d'autres fonctions », reconnaît Pascal Muckensturm, chez De Dietrich. Même souci chez Aaxess, pour qui le coût de la licence antispyware pour la passerelle Fortinet, qui était pourtant déjà installée, était prohibitif. Un facteur qui a pesé lourd dans le choix d'un client dédié.

Enfin, le problème des postes de travail anciens peut également se poser : généralement, ils sont encore suffisamment modernes pour être la cible de spywares, mais, en revanche, ils sont trop vieux pour intéresser les éditeurs d'antispywares. « Nous sommes obligés de changer les quelques postes les plus anciens : l'installation du module antispyware nécessite la mise à jour de l'antivirus vers la dernière version [du moteur, Ndlr], mais celle-ci n'est pas compatible avec les systèmes d'exploitation les plus anciens », observe Patrick Weisse. Un inconvénient qui peut toutefois se révéler être une bonne occasion d'accélérer le plan de migration. « C'était déjà prévu, donc la gêne est mineure », conclut le responsable réseau du fabricant de pompes à carburant Tokeim.