01net. | Actualités | Comparatifs et tests | Jeux | Astuces | Vidéo | Telecharger.com | Services | Forums
01net Pro Entreprise informatique
Actualités gestion et logiciel informatique professionnel
Offre et recherche Emploi informatique internet
Salon conférences inofrmatique IT ebusiness 01
Le Cloud Computing
Vidéos reportage entreprise acteur informatique
Retrouvez tous les services 01Net dédiés aux professionnels !
Télécharger logiciels Pro et progiciels
Livres blancs e-commerce informatique et nouvelles technologies
Retrouvez l'ensemble des dossiers de la rédaction 01net Entreprise
Les synthèses des bonnes pratiques sur les sujets IT du moment
01net Entreprises

Antivirus : défendre efficacement sa messagerie

Les filtres s'installent à la fois en interne sur le serveur de messagerie et au niveau de la DMZ sur la passerelle SMTP. Une protection indispensable.
01net.
le 24/02/06 à 07h00
Les tristement célèbres Sober, Swen, Mirmail, MyDoom, NetSky, Sobig, Klez ou Nimda ont tous un point commun : ces virus se propagent par e-mail, allant jusqu'à exploiter le carnet d'adresses du PC infecté pour accélérer la contagion à l'intérieur comme à l'extérieur de l'entreprise.
Si ces virus défrayent la chronique, c'est qu'ils ne se contentent pas de se reproduire. Selon une étude de la compagnie britannique Sandvine, les virus se propageant par e-mail ont causé, en 2004, 370 millions de dollars de dégâts dans le monde. 25 % des pannes informatiques dans les entreprises sont dues à la délinquance informatique (piratage, phishing, virus, etc.).
De quoi faire peur, quand on sait que les dommages sont souvent importants : 295 000 euros en moyenne par incident, selon une étude conduite par The Economist Intelligence Unit auprès de 218 entreprises européennes. Pas étonnant dans ces conditions que les entreprises protègent leur serveur de messagerie dès son installation.
' L'antivirus Sophos a été installé d'emblée avec la messagerie. Il n'était pas question de laisser nos 260 boîtes aux lettres sans protection ', illustre Jean-François Rouquié, chef de projet Lotus Domino et administrateur de messagerie chez Go Voyages.
La mairie de Divion (62) a choisi de protéger ses 75 comptes en enchaînant cinq moteurs : eTrust, de Computer Associates, puis Kaspersky, BitDefender, Norman, et McAfee. ' Nous avons équipé notre serveur de messagerie dès son installation en 1999. Mais, fin 2003, l'augmentation des spams nous a poussés à adopter une solution complémentaire, Mail Security de GFI et de nouveaux moteurs antivirus ', explique Patrick Deneuféglise, directeur général adjoint des services.

L'utilisation : s'adapter à l'existant

À l'image du centre hospitalier Jean Marcel à Brignoles (83), qui protège 260 comptes avec NOD32, les entreprises s'appuient sur de nombreux critères techniques pour retenir un antivirus de messagerie plutôt qu'un autre. ' Nous avons évalué l'efficacité, la fiabilité, la réactivité de l'éditeur lors de l'apparition de nouvelles menaces, et la faible occupation mémoire ', indique Alain Falanga, chef de projet informatique au centre hospitalier. ' L'absence de faux positifs a également été un critère déterminant ', ajoute-t-il.
Parfois, l'existant technique réduit le choix. Go Voyages s'est ainsi équipé de Sophos car c'est une solution fonctionnant aussi bien avec Linux qu'avec Lotus Domino. ' Il fallait aussi que la solution s'adapte à notre besoin : accès LDAP Lotus Domino pour vérification du destinataire lors de la session SMTP ', illustre Jean-François Rouquié.
Le prix, incluant une mise à jour pendant trois ans, la gestion centralisée sur un seul poste (possibilité de scanner une machine à distance, information de la détection de virus sur l'ensemble des postes etc.), et la simplicité ont guidé un cabinet de seize experts-comptables, qui ne souhaite pas être cité, vers l'outil Avast. Le coût moyen d'un antivirus la première année (incluant donc la licence et la mise à jour) est en moyenne de 40 euros par compte, même s'il peut varier, selon l'éditeur, de 6 à 80 euros.
D'autres, comme Radio France Internationale (RFI) et la mairie de Divion, multiplient les filtres qu'ils installent en cascade pour maximiser l'efficacité de la détection. ' On ne peut se contenter d'un seul moteur ', conseille Gilles Pajot, ingénieur en chef à RFI. La radio a donc installé InterScan de Trend Micro sur sa passerelle SMTP, en plus d'un filtre Sybari s'exécutant directement sur son serveur Exchange 2003. Un filtre antispam télé-exploité chez un prestataire extérieur complète le dispositif.

La mise en ?"uvre : deux protections valent mieux qu'une

L'architecture mise en ?"uvre par RFI ?" un antivirus sur le serveur et un autre sur la passerelle SMTP ?" est assez représentative des meilleures pratiques. ' La règle numéro un consiste à stopper une attaque le plus tôt possible sur un serveur dédié positionné en DMZ. Il est généralement plus stable et plus résistant aux attaques que le serveur de messagerie ', explique Jean-François Rouquié, de Go Voyages.
' Cela permet aussi d'alléger la charge de travail du serveur de messagerie ', complète Denis Mercier, administrateur réseau et sécurité chez Hervé Consultants. Cette entreprise de conseil s'est équipée de Norton Antivirus ?" devenu Symantec Enterprise Edition ?" il y a sept ans pour protéger ses 2 000 boîtes aux lettres.
Dans cette configuration, chaque filtre joue un rôle différent. L'antivirus installé sur la passerelle protège l'entreprise des flux entrants et évite de propager des virus à l'extérieur, notamment vers les partenaires et clients de l'entreprise. L'antivirus installé sur le serveur de messagerie analyse les messages et les pièces jointes. Il est indispensable car les messages envoyés en interne ne passent pas par la passerelle SMTP (MTA).
Sans cette deuxième protection, un virus téléchargé sur Internet pourrait très bien se répandre dans l'entreprise en sautant de compte en compte. ' L'investissement dans un serveur est tout de suite rentable. Il permet de centraliser les remontées d'alertes et de contrôler en temps réel une quelconque attaque, par exemple s'il y a un envoi en masse avec un virus ', explique Alain Falanga, du centre hospitalier de Brignoles.
Le niveau d'analyse ?" heuristique, signatures, ou les deux ?" est variable d'une entreprise à l'autre. Certaines enchaînent plusieurs analyses à base de signatures pour limiter le nombre de faux positifs, tandis que d'autres préfèrent gérer les fausses alertes. Elles couplent alors analyse heuristique, signatures, listes noires, etc. C'est en général le volume des flux et les temps de traitement induits qui déterminent le choix.

Les ressources : des compétences techniques indispensables

Peu d'entreprises réalisent seules l'installation et la configuration de leurs antivirus de messagerie. Go Voyages, RFI et la mairie de Divion ont fait appel à un prestataire. ' Le recours à un spécialiste est indispensable pour l'installation et le suivi des mises à jour majeures des logiciels ', confirme Gilles Pajot, de RFI. L'installation nécessite en effet de choisir la bonne architecture et de calibrer le serveur en fonction du trafic à analyser.
' Les options de configuration comme la gestion des MX [routage entre la passerelle et le serveur de messagerie, Ndlr], le choix des règles et du type de filtre, ne sont pas évidentes à déterminer ', reconnaît Denis Mercier chez Hervé Consultants. Une analyse heuristique de l'ensemble des flux est, par exemple, bien plus lente qu'une simple analyse par signature.
Le reste du temps, quand tout va bien, les compétences d'un administrateur de messagerie ou d'un administrateur système et réseau sont suffisantes. Tous les outils disposent en effet d'un système de mise à jour automatique. L'administration se résume alors à vérifier que les mises à jour se passent bien. ' Mais, en cas d'attaque ou d'infection, de fortes compétences sont nécessaires pour détecter les postes infectés et éradiquer les virus avant qu'ils se propagent ', prévient Patrick Deneuféglise, de la mairie de Divion.
Hors crise, les entreprises passent en moyenne une minute par compte et par mois, c'est-à-dire souvent moins d'une heure par semaine, pour vérifier le bon fonctionnement de leur protection. Ce sont les entreprises qui ont une approche ' ceintures et bretelles ' qui passent proportionnellement le plus du temps. Notamment à cause de la gestion des quarantaines.
Tous les logiciels permettent en effet de placer les messages en quarantaine afin que l'utilisateur ?" ou l'administrateur, selon la politique de sécurité de l'entreprise ?" puisse les traiter ultérieurement. Le cabinet d'experts-comptables ' analyse au cas par cas et détruit en général le message contenant le virus ', explique son responsable informatique. Mais il est le seul dans ce cas. Les entreprises ne prennent généralement pas le risque de conserver un virus en quarantaine, et encore moins de le mettre entre les mains des utilisateurs.
En revanche, ' nous modifions le message pour indiquer à l'émetteur et aux destinataires la présence d'un virus ', explique Alain Falanga. Cette information doit normalement permettre à l'expéditeur du message infecté de prendre les mesures nécessaires pour stopper la contagion. Mais, face aux vagues incessantes, toutes les entreprises ne suivent plus cette démarche. ' Le message est détruit sans notification ni à l'expéditeur ni au destinataire car nous avons constaté des dénis de service en cas de réception massive de messages pollués ', explique Gilles Pajot, de RFI.
Les principales difficultés sont surtout liées à la mise en ?"uvre initiale : ' Choix des listes noires DNS et de leur crédibilité, choix d'un renvoi d'un mail d'alerte à des expéditeurs souvent inconnus dans le cas de spams ', illustre Denis Mercier, d'Hervé Consultants.
L'architecture doit également être bien pensée dès le début. ' Le plus compliqué a été la mise en place d'une architecture redondante pour assurer une continuité de service 24 h/24 ', explique Gilles Pajot, de RFI. Le constat est identique chez Go Voyages, qui a adopté la même approche.

Les gains : moins de perte de temps

En l'absence d'incidents liés à un virus, les gains sont difficiles à quantifier. Cependant, ' combien coûtent l'arrêt du système d'information et la perte de données dans une entreprise ? C'est la question qu'il faut se poser ', analyse Gilles Pajot, de RFI. Ce qui compte, c'est que les utilisateurs ne perdent plus de temps avec les virus et les spams et en passent plus à faire leur métier, car la messagerie est un outil de production.
' Un fonctionnement impeccable et une disponibilité quasi totale sont deux qualités indispensables ', estime Jean-François Rouquié, de Go Voyages. Son entreprise a pu mesurer deux phénomènes. Le déplacement du filtrage en amont du système d'information a réduit quasiment à néant les appels à l'assistance, qui faisaient suite aux avertissements de l'antivirus (Norton) installé sur les postes de travail lorsqu'un message contenait un virus. Et les attaques sur le serveur de messagerie ont largement diminué, passant d'un pic de 100 000 en septembre 2004 à moins de 10 000 attaques aujourd'hui.
agrandir la photo

1 - Peu d'administration
La charge d'administration du filtre est essentiellement liée aux spams et plus précisément à la gestion des faux positifs qu'il faut contrôler plusieurs fois par jour pour s'assurer qu'aucun e-mail stratégique n'est resté bloqué. Cette charge varie entre quelques dizaines de minutes par jour et plusieurs heures par mois, selon le taux de faux positifs et le nombre d'utilisateurs.

2 - Une sécurité renforcée
La plupart des entreprises préfèrent installer deux filtres plutôt qu'un. Le premier est positionné sur la passerelle SMTP située en DMZ (MTA), et le second directement sur le serveur de messagerie, à l'intérieur du système d'information. Grâce à cette approche, c'est le MTA qui gère la plus forte charge de filtrage : heuristique, par exemple, tandis que le filtre sur le serveur de messagerie s'appuie sur des définitions.

3 - Une mise à jour annuelle payante
Pour augmenter leurs revenus, de plus en plus d'éditeurs proposent deux niveaux de mise à jour des fichiers de signatures et des RBL. Inclus dans la licence du logiciel, le premier garantit une mise à jour quotidienne des bases publiques les plus courantes. Le second abonnement, à payer en plus, promet une mise à jour en temps réel d'un plus grand nombre de bases de données, notamment celles mises au point par l'éditeur. Ces mises à jour sont en général proposées pour environ 20 euros ht par an et par utilisateur. Il s'agit donc d'un surcoût important.

4 - Une installation délicate
L'optimisation des réglages par défaut du filtre ?" pour limiter le nombre de faux positifs ou filtrer les virus avec plus de fermeté, par exemple ?", demande quelques semaines de mise au point. Plus le filtrage est important et plus le risque de faux positifs est élevé, plus l'entreprise devra passer de temps à vérifier les messages mis en quarantaine. Il faut plusieurs mois pour obtenir un réglage fin (un faux positif pour mille messages reçus).

Retour d'expérience : Gilles Pajot (RFI) : ' Intégrer la messagerie dans un système de protection global '

Optimiser la protection

Pour Gilles Pajot, ingénieur en chef à RFI, ' la sécurité c'est un tout. Elle passe autant par la sensibilisation des utilisateurs que par la mise en place de solutions de filtrage ', explique-t-il. Pour protéger ses 900 comptes, RFI utilise de nombreux outils : antivirus, antispam hébergé, coupe-feu, etc.

Mais cette multiplication ne suffit pas. ' Les flux SMTP sont certainement les mieux protégés. Mais ils ne sont pas les seuls porteurs de menaces. Les flux sont de plus en plus nombreux, complexes, et difficiles à protéger : flux RPC, client-serveur, web radio avec des protocoles non standards, etc., explique Gilles Pajot. Pour optimiser la sécurité de sa messagerie, il faut donc aussi se protéger de ses propres utilisateurs. Et les menaces liées à ces derniers sont multiples : PC portables dont on se sert à la maison, clé USB, web mail via HTTPS dont on ne peut pas analyser les flux puisqu'ils sont cryptés, failles des postes avec Windows, etc. C'est donc tout le système d'information qu'il faut protéger, des menaces extérieures, mais aussi intérieures. '

En plus des dispositifs liés à ses serveurs de messagerie, RFI a donc installé plusieurs coupe-feu et un antivirus local mis à jour en permanence sur chaque poste de travail. ' L'idéal serait de pouvoir se reposer sur un réseau intelligent détectant automatiquement les flux suspects avec mise en quarantaine automatique du poste concerné ', conclut-il.

Radio France Internationale (RFI)

Retour d'expérience : Alain Falanga (centre hospitalier Jean Marcel) : ' Filtrer les menaces à la source '

Choisir une architecture adaptée

Que se passerait-il si un virus détruisait les dossiers informatiques des patients en cours de traitement au centre hospitalier de Brignoles ? C'est pour ne pas avoir à répondre à ce genre de question qu'Alain Falanga a mis au point un dispositif de filtrage à la source des flux de messagerie. ' C'est la seule façon d'obtenir un niveau de protection optimal ', explique-t-il.

L'antivirus NOD32 est installé à la fois sur la passerelle SMTP par laquelle passent tous les flux entrants et sortants et sur le serveur de messagerie pour l'analyse des messages et des pièces jointes. ' La passerelle est située derrière un coupe-feu et elle dispose de deux antivirus ', précise-t-il.

Avant de pouvoir pénétrer dans l'enceinte de l'hôpital, chaque e-mail a droit à une visite médicale approfondie : recherche par signature, heuristique, recherche de comportements déviants, analyse intelligente du code, etc. Pour parvenir à réaliser ces analyses sans trop retarder la livraison du mail, Alain Falanga a sélectionné un antivirus très rapide qu'il a installé sur un serveur dédié. ' Un investissement tout de suite rentable, car il permet de centraliser les remontées d'alertes et de contrôler les attaques en temps réel, tout en déchargeant le serveur de messagerie ', explique-t-il. Pour éviter toute gangrène, les messages infectés sont supprimés automatiquement.

Centre Hospitalier Jean Marcel

Avis d'intégrateur : Christophe Casalegno (Digital Network) : ' Positionner le filtre en amont du système d'information '

Quelles sont les techniques de base pour protéger sa messagerie ?
Il y en a trois : installer en amont de la messagerie un filtre efficace contre les virus et autres codes malicieux, positionner au même endroit un filtre antispam, et ne pas oublier de protéger le poste client de préférence avec une solution différente de celle utilisée en amont, afin de multiplier les barrières. Enfin, sans une bonne sensibilisation du personnel, les meilleures solutions techniques pourront se montrer inefficaces.

Quelle est la place idéale pour positionner les barrières ?
Le système de filtrage antivirus/antispam doit, de préférence, être placé en amont du système d'information et agir aussi bien en entrée qu'en sortie. Cette architecture permet de se débarrasser des virus, spams et autres codes malicieux, avant même qu'ils n'atteignent le système d'information, ce qui permet, en sus de la sécurité, un gain en termes de bande passante et de temps de travail des postes clients.

Digital Network
envoyer
par mail
imprimer
l'article
Nos partenaires
 
Nous contacter | Charte de confiance | Mentions légales et CGU | Conditions d'abonnement | 01net. recrute
01net. - 01men - RMC - RMC Sport - BFM BUSINESS - BFMTV - Association RMC-BFM