Passer au contenu

Antivirus et IDS : une fusion pour une meilleure efficacité

L’alerte Code Red illustre l’union qui s’opère entre deux univers : celui des développeurs de virus et celui des pirates. Ces derniers ont désormais besoin de pouvoir diffuser plus largement, et de plus en plus rapidement, leurs “outils”.

Les pirates emploient aujourd’hui des technologies à forte propagation, qui rappellent celles qu’utilisent les virus. Dans ce contexte, comment réagissent les éditeurs de logiciels antivirus et/ou de détection d’intrusions ? Lors de l’alerte Code Red, un trou de sécurité dans un logiciel Microsoft, le FBI a fait appel aussi bien à des éditeurs antivirus (McAfee et Symantec) qu’à ISS, “parce qu’ils recherchaient une solution alternative”, selon Vincent Gulloto, directeur de McAfee Avert. “Nous travaillons en partenariat étroit avec le gouvernement américain, dont nous sommes l’un des conseillers écoutés”, complète Nancy Blair, vice-présidente Threat Management Product d’ISS.Techniquement, les logiciels antivirus (LAV) et les systèmes de détection d’intrusions (ou IDS) sont complémentaires. “Tandis que les IDS et les pare-feu tentent d’arrêter les pirates aux portes des entreprises, les LAV empêchent la propagation sur les serveurs et les stations de travail”, rappelle Stéphane Le Hire, p.-d.g. de Trend Micro France. Même s’ils semblent très proches, leurs spécialisations sont différentes. Toutefois, Trend s’est rapproché d’ISS, car, ajoute le p.-d.g. : “ISS dresse un audit du système, et Trend Micro offre aux entreprises des moyens de lutte contre les codes malicieux qui pourraient se servir des failles détectées par ISS.”

Pénétrer un système via un ver ou un virus

En outre, toutes les failles de sécurité ne donnent pas lieu à des attaques par des codes mobiles (ver, virus et trojans), mais, plus souvent, par des hackers. En effet, les codes mobiles issus des technologies virales permettent de pénétrer un système via un ver ou un virus. “Les nouvelles menaces utilisent admirablement les réseaux. Les LAV et les IDS, qui répondent à une exigence de réduction des coûts, ont des chances de fusionner, s’il existe une manière de le faire”, indique Nancy Blair.Disposer d’un outil remplissant les deux fonctions peut s’avérer avantageux pour les clients. “Cependant, note Vincent Gulloto, il n’y aura pas de fusion en un seul outil, mais des chevauchements techniques ponctuels (par exemple, pour la détection des chevaux de Troie, que les clients attendent de nos LAV, bien qu’il ne s’agisse pas de virus). Néanmoins, les clients redoutent que ces croisements ne donnent naissance à des zones d’ombre.” La protection doit donc se faire sur les éléments de l’architecture du réseau, par exemple sur les DMZ, les routeurs, les serveurs, ou encore la passerelle. L’infrastructure doit être protégée dans sa globalité.

La passerelle, point stratégique de contrôle

Le LAV n’est qu’une partie de cette politique de protection. De fait, comme le remarque Robert Clyde, vice-président et responsable technologique de Symantec : “Dans les deux à trois ans qui viennent, ces outils devront, d’une part, non seulement fusionner, mais encore s’adosser à des outils de filtrage de contenus et aux pare-feu pour être totalement efficaces. D’autre part, ils seront obligés de s’installer sur la passerelle. C’est de ce point stratégique, en effet, que pourra s’opérer le meilleur contrôle possible sur l’ensemble du réseau, sur décision des flux qui pourront entrer ou sortir de l’entreprise.”

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Renaud Hoffman