Bonjour à tous,
 
Poussé par de joyeux forumeurs avides de rosseries et de clavier martyrisés par des doigts enragés, je lance ce sujet, haut combien sensible, mais qui peut se révéler instructif si chacun tente d'y contribuer avec rigueur technique :
 
Faut-il absolument un antivirus sur chaque serveur ?
 
La réponse est à construire mais la question se pose nécessairement pour qui s'intéresse à la sécurité.
En effet, on ne peut pas imaginer un garde du corps qui ne remet jamais en cause des procédures qu'il a lu à droite à gauche, se demandant si elles sont adaptées à une réalité.
A ne pas s’intéresser aux différentes formes du danger et à ses façons de survenir, que valent les contre mesures qu'on adopte ?
 
Trève de littérature, le danger : l'abominable virus !
 
Un bout de code qui a la particularité de vouloir se répliquer, soit par des mécanismes internes, soit par ingénierie sociale
Le second mécanisme de duplication est le plus utilisé : le virus se masque dans un autre programme ou se fait carrément passer pour autre chose en modifiant son simple nom et l'utilisateur non averti le récupère, le déplace, l'exécute.
Le premier mécanisme est moins utilisé mais nourrit les légendes urbaines : le virus s'installe de lui-même, via le réseau, sur le système d'exploitation, sans intervention humaine. Comme la magie n'existe pas, le virus exploite en fait des failles sur des services systèmes en écoute (exemple de Conficker qui avait fait grand bruit en fin 2008/2009), des services d'applications tierces en écoute (exemple du fameux VNC 4.1 que des générations de supers admins ont installé un peu partout. On en trouve encore) ou des applications qui tournent et traitent des données provenant de l'extérieur (exemple de la dernière faille JAVA).
 
La cible : le serveur
 
le serveur est un système d'exploitation avec ses propres services qui tournent et sont à l'écoute ou des services tiers qui tournent et sont à l'écoute.
Il court les mêmes dangers que le poste client :
- l'utilisateur fou qui télécharge n'importe quoi, si possible via des vecteurs hautement aventureux (P2P, sites WEB avec têtes de morts qui tournent, etc.)
- la faille dans un service ou une application.
 
Peut-on écarter le danger de l'utilisateur fou concernant les serveurs ?
Si ce dernier a tout pouvoir sur son PC, il n'accède pas au serveur, ni physiquement, ni à distance pour administration.
Mais il peut avoir des actions possibles sur le serveur, par exemple via TSE pour des applis partagées, ou en faire un vecteur de propagation à défaut d'être infecté lui-même, par exemple un serveur de fichiers.
Et puis l'utilisateur fou et l'admin ne peuvent faire qu'un. Ça se voit parfois.
Dans ces cas là, l'antivirus parait indispensable.
Mais si l'admin n'est pas fou, qu'il n'installe sur le serveur que des services systèmes ou des applis provenant de packages vérifiés, et que les utilisateurs n'ont pas accès au serveur, alors le virus ne peut pas se propager par ingénierie sociale.
Dans ces cas là, l'antivirus ne parait pas indispensable.
 
Peut-on écarter le danger de la faille concernant les serveurs ?
On touche là le fond du sujet.
Pour qu'un virus s'exécute sur un serveur par ce biais, il faut :
- un service avec une faille. Il n'y a pas obligatoirement de failles sur un service ou alors pas toujours découvertes et/ou exploitées.
- que le service s'exécute. Une faille sur IIS alors que mon serveur fait tourner DNS ne va pas permettre au virus de s'implanter.
- que le service soit à l'écoute. Une faille IIS ne va pas permettre à un virus de s’exécuter sur mon serveur qui a le rôle éponyme si mes ports 80/443 ne sont pas ouverts.
- que la faille en question ne soit pas corrigée.
 
Donc un virus peut s'exécuter si j'ai un service avec faille non corrigée qui tourne, qui écoute et qui n'est pas bloqué à l'écoute (pare-feu).
Ca peut sembler rébarbatif à certains mais c'est très très loin d'être entendu par quelques interlocuteurs que j'ai croisé.
 
Si je suis dans ce cas là, l'antivirus parait indispensable.
 
Mais avant l'AV, d'autres contre mesures pourraient prévenir le problème :
- ne pas faire tourner et placer à l'écoute des services inutiles.
- ne pas permettre l'écoute de services sur Internet si cela n'est pas utile.
- veiller à mettre à jour son OS et ses applicatifs. Sur ce point le cas pratique de Conficker est instructif. Il a plongé dans le noir des tas de SI à partir de novembre 2008 et sur une partie de 2009. La faille était corrigée par Microsoft ... un mois avant en octobre 2008 !
 
Si je me retrouve donc avec un serveur qui fait tourner un unique service, que je maintiens à jour, seul en écoute sur le réseau local, et des postes clients eux protégés par AV, ai-je besoin d'un antivirus sur le serveur ?
Ici, les risques d'infection sont très réduits, peut-être quasi inexistants.
Mais par principe de précaution, me direz-vous, pourquoi ne pas lâcher une licence AV sur ce serveur ? Cela ne coûte pas grand chose.
Et bien parce que l'AV n'a pas que des bienfaits.
Il peut gréver très sensiblement les performances d'un service, même configuré pour s'adapter à ce service.
J'ai rencontré plusieurs fois ce problème sur des SGBD (Oracle - SQL Server) par exemple, où même désactivé, l'AV, de par l'imbrication qu'il s'oblige à avoir avec les différentes couches réseaux et de l'OS pour traquer la signature virale, ralenti fortement les I/O.
Des préconisations que je lis des DBA, l'AV est l'ennemi du SGBD. Bien sûr je ne cause pas de la petite base avec quelques utilisateurs. Même avec des perfs dégradées, cela peut être transparent pour les users.
Je cause des SGBD avec de vrais besoins de perfs.
Aussi, vu les problématiques apportées par l'AV et son rôle quasi inutile sur mon serveur qui rassemble tous les éléments pour ne pas permettre l'infection, dois-je quand même installer un AV ?
Si vous dîtes "non", peut-être est-ce là une petite fissure dans la sacro sainte croyance que l'AV est dogmatiquement sacré

bah je crois que tout est résumé.  
Si TSE : antivirus.
Si SGBD : pas d'antivirus.
Si serveur de fichiers : pas d'antivirus.
--> Ca va donc dépendre de quels services "tournent" sur le serveur et le nombre d'intervenants sur celui-ci.
 
Sur les 2 derniers, ils sont configurés correctement avec les droits mini (même pour l'admin).
Et de façon régulière,connexion en admin avec tous les droits pour faire un check up de ceux-ci.
 
Parefeu obligatoire quand même mais perso, comme les antivirus ça me gave, j'installes pas partout.
 

Houla j'ai trop plombé le 1er post. Du coup un seul retour sur un sujet pourtant porteur
 
akizan ->
Pas d'AV sur un SGBD, on est en phase. Mais sur un serveur de fichiers ca se discute. Certes un serveur de fichiers à jour risque peu par ce seul service d'être lui-même infecté mais il peut permettre la propagation de virus en les hébergeant (copie du virus lui même sur le partage ou par action d'un user).
Et puis un antivirus correct et configuré n'a que peu d'impact sur les performances d'un serveur de fichiers.
Du coup, perso, pour ce type de service, je place un AV.

Faut aussi laisser le temps aux gens de lire et trouver un moment pour y répondre.

Un serveur sans connexion cliente ? Parce que j'ai l'impression que pour toi, un serveur ne peut être accédé que par des utilisateurs ... Donne moi le nom d'un serveur qui n'est accédé par aucun utilisateurs, ni aucune application ? Certainement pas une serveur Database ... Les utilisateurs n'ont pas accès au serveur certes (et encore il te faudra activer entre eux un équipement ou applicatif filtrant) du moins pas tout le temps, car les utilisateurs passent par un serveur applicatif pour se connecter (en général hein, pas tous le temps).

On découvre des failles tous les jours. Tu mets jamais à jour tes applicatifs/Serveur ?

Certes

Le problème d'une faille est qu'elle n'est corrigé qu'après avoir été repérée dans bien des cas ... J'ai toujours préféré prévenir que guérir.

Alors là elle est bien bonne ... Tu parles du post où tu conseillais à un type d'ouvrir tout sur son AD depuis une zone qu'il voulait isoler un minimum ? Tu manques quand même pas de toupet ...

C'est bien beau la prévention ... J'adhère ! Mais il faut aussi prévoir le cas où ces règles ne seront pas respectées ... On est pas à la maison, où on est seul sur un pc ...

"Réduits", "quasi inexistants" si cela te rassure, c'est le principal.

Il n'éxiste pas qu'un antivirus au monde. Je suis d'accord pour dire qu'un anti-virus, dans un contexte particulier peut être significatif de beaucoup de problème de perf. Mais dans la configuration que tu indiques (MAJ faites, AV sur clients, FW bien configuré sur le serveur) tu n'es pas obligé d'analyser le trafic réseau si c'est lui qui pose soucis, tu peux faire simplement du scan de services, files etc ... Et si avec ca ton serveur est en panne de perf ... C'est que celui-ci commence à devenir limite. Car oui, à partir d'un moment, si tu n'arrives pas à configurer ton AV de mannière non intrusive ... Faut trouver une solution, mais le désactiver n'est pour moi qu'une solution temporaire.

EDIT : Je précise que je ne suis absolument pas de la partie Secu (comme dans l'autre post auquel tu fais référence), Comme akizan la sécu ca me plait pas ... Mais je respecte des "best practices", je l'avoue un peu à l'aveugle Mais en même temps ces derniers me semble plutôt sécurisant.

Au temps l'explication de l'auteur est pleine d'argument parfois intéressant. Au temps celle là

gaver = lenteurs
Systématiquement et quelque soit les antivirus testés (avec différentes configurations et optimisations), je trouve que ça plombe les performances de serveurs (et/ou de PC).
 
Pour revenir à Shongail, c'est vrai que pas d'antivirus sur un serveur de fichiers, c'est quand même plus risqué (à mon avis), qu'un serveur BDD.

 
Du calme, je n'ai pas appelé ChaTTon2 expressément à répondre. Fais le tranquillement à ton rythme, pas de souci.
 

 
Tu réponds à coté de la plaque. Je cause dans ce paragraphe de duplication par ingénierie sociale. Dans le cas de bcp de serveurs, ce n'est pas possible puisque le maillon faible, l'utilisateur berné par le virus qui oublie de vérifier ce qu'il fait, n'a pas accès à l'administration des serveurs.
Le coup des users qui accèdent aux serveurs via des services à l'écoute, c'est l'objet des paragraphes suivants.
 

 
Ben si, c'est pour ça que j'invite justement à le faire plutôt que s'imaginer que c'est le job de l'AV.
 

 
Honoré que tu acquiesces.
 

 
Ben non c'est faux. Et les plus importants cas prouvent le contraire. J'ai causé de Conficker mais je pourrai aussi mentionner Blaster qui a fait de gros dégât à partir d’Août 2003 sur une faille corrigé en ... juillet 2003.
Et ce n'est pas parce que tu as un AV que tu es mieux loti. Il faut que lui aussi soit à jour et ait dans ses signatures de quoi débusquer le virus.
 

 
Et il n'ouvre pas son AD à ses propres users, il se contente de ne pas y arriver en ouvrant des tas de ports parmi les plus exposés. Du beau travail de rigolo.
 

 
Et l'AV ce n'est pas de la prévention ? Si tu n'es pas apte à configurer tes serveurs et MAJ les OS/applis, laisse moi douter de efficacité de l'AV que tu vas mettre en place.
 

 
C'est une conclusion après réflexion.
C'est un peu plus abouti que "je mets un AV et ca y est j'ai fait mon boulot, je vais boire un café".
 

 
Et pourtant, dans le cas des SGBD par exemple, l'AV est contre productif. Et de loin.

 
 
Attention, ce n'est pas ce que j'ai dit.
J'ai d'ailleurs répondu et précisé mon point de vue à ce sujet : je mets des AV sur les serveurs de fichiers.

Merci de l'initiative,  

Pour information :
 
Antivirus sur tout les serveurs même SGBD. Aucun problème de perf si c'est ça qui vous inquiète. Il suffit juste de bien le calibrer si jamais.
 
Aucun parefeu de windows activé pour ma part sur les serveurs et pcs.(C'est la limite entre sécurité et exploitation). Un parefeu en sortie et une GPO qui bride énormément sur les TSE.
 
Pour les risques d'un AV, je ne vois pas de quoi vous avez peur...  
Si jamais c'est des suppressions de fichiers... en principe vous avez une bonne politique de sauvegarde. mais bon...  
 
Je ne dit pas que c'est bien... ce que j'essaye d'expliquer :
C'est oui en théorie il faut installer des AV, des parefeurs des controles de partout... mais en pratique tu vas choisir un compromis.
 
Ensuite la sécurité, il faut la suivre et en général les PMEs TPE n'ont pas les ressources pour faire tout ce boulot et les directeurs comme d'habitude ont du mal à investir dans la sécurité...
 
C'est un travail à long terme.
 
Pour finir, la question que se pose l'auteur est aussi "Est ce que si j'ai un AV sur le client, faut il installer un AV sur le serveur?" J'ai envie de répondre à plus ou moins 50Euros la licences, l'entreprise doit pouvoir se permettre de s'acheter ses licences.
 
ShonGail >> quand je te lis, tu dis avoir eu de mauvaises expériences de perf... c'est quel AV ? quel OS serveur/client ? combien de ram car moi je n'ai pas du tout de soucis.

VU: Un poste infecté passe les dossiers d'un partage en cachés, places des exe avec l'icône des dossiers normaux et le nom des anciens fichiers... donc pas d'AV sur un serveur de fichiers c'est juste pas possible
 
Les AV sur serveur doivent être configurés finement en cas de réduction sensible des perfs
Je fait quasiment une stratégie par serveur

 
Je ne pense pas avoir posé la question que tu indiques.
J'essaye de récapituler de manière exhaustive les risques viraux que coure un serveur, suivant ses accès ouverts, les types de services qui tournent, son degré d'ouverture réseau, etc.
A partir de là se pose l'intérêt ou non d'un AV.
 
En dehors du fait que c'est pas cher à mettre (c'est d'ailleurs la raison pour laquelle tout le monde se reporte dessus, c'est facile et c'est pas chiant), quel est son réel apport technique ?
 
Sur un serveur où l'accès à l'OS est du seul ressort de l'admin sérieux, où les services à l'écoute sont contrôlés et mis à jour, où l'accès est restreint par un parefeu, qu'apporte l'AV ?
Rien.
 
Imaginons qu'un service soit compromis par un exploit 0 day, l'AV ne sera pas apte à mieux protéger. Ni son moteur, ni sa base ne seront plus à jour que la version du service faillible.
C'est un peu le point que je peine à faire comprendre : un AV n'est pas magique. Sa seule installation ne prémunit pas des virus et son action n'est en rien plus performante que d'autres sécurités qui doivent être mises en place.  
 
Concernant les SGBD, les AV sont multiples (Kaspersky, ESET, Trend, etc.) car il s'agit de cas clients. Les OS sont pas contre tjs du Windows. Les BDD de l'Oracle ou du SQL Server. La RAM est rarement un problème.
Mais en cela, je ne fais que confirmer les avis de DBA, pas difficiles à trouver sur Internet, qui se méfient comme de la peste des AV sur SGBD.

C'est une belle histoire mais j'espère que ce n'est pas en réponse à mon post
Car sinon, je vais le réécrire en police 125, gras et souligné : je mets des AV sur les serveurs de fichiers !
Que ces serveurs puissent servir de vecteurs de propagation est une évidence.
On passe à autre chose du coup ?

On a pas parlé des tablettes

 
Ben le topic ne porte que sur les serveurs mais on peut en faire un sur les OS clients
PC, tablettes, Smartphones, etc.
 
Mais bon là, l'utilité de l'AV est moins discutable.
Bien que sur mon propre PC par exemple, l'AV n'a jusqu'à maintenant eu aucune utilité autre que psychologique. Je ne me rappelle pas la dernière fois qu'il est entré en action.
Par contre, sur des PC d'autre users, heureusement qu'il est là. Certains sont incapables de passer une semaine sans choper une merde

 
En effet, c'est pour le second message de ce topic, qui devrait être supprimé.

Mais je ne suis pas pour supprimer le message.
Le but de ce topic est justement de ne pas tomber dans la facilité du "j'ai mis un AV donc je ne me pose plus aucune question, j'ai terminé mon boulot (en gros, je suis couvert, la seule évocation de l'AV suffit à reporter toute responsabilité sur lui en cas de problème)".

Du coup, la question de mettre un AV ou non sur un serveur de fichier se pose.
Perso j'en mets car :
- il peut être stockage et vecteur de propagation pour des fichiers vérolés.
- il demande peu de ressources systèmes et l'AV de grèvera pas de manière notable ses performances.

Mais dans le cas de partages en lectures seules par exemple, il ne reste plus que le second argument.
Et si le serveur de fichiers est très sollicité (très nombreux accès concurrents à de petits fichiers), ne pas mettre d'AV peut s'envisager (mais on respecte une saine administration de son serveur).

-----------------------
 
 

 
Tu peines à faire comprendre à qui ? car les admins on le sait tous... si c'est la direction c'est tout un autre problème.
 
 
Ton topic est humble.  
 

 
 
J'ai l'impression que tu as une rancœur car la question ne se pose pas que sur un AV et tu le sais. Finalement, si ta question est :  
 

 
Pour moi la réponse est oui.
 
En revanche, d'autres points sont à étudier :  
est ce que mon outils d'analyse et reporting est bien.  
Est ce que j'ai assez de personnel pour gérer la sécurité (souvent non).  
Est ce que la direction veut mettre les moyens ?  
Est ce que le personnel est bien éduquer à la sécurité informatique ? (souvent non)  
Est ce que j'ai les procédures de restauration à jour en cas de sinistre?  
Est ce que j'ai un bon PRA, PCA...  
 
bref tout un tas de questions qu'on se pose tous les admins. Et souvent nous manquons de temps.

ça plombe peut-être les performances si on ajoute un antivirus, mais si ton système n'est pas capable à la fois de tenir le service + l'antivirus, à mon avis y'a un soucis quelque part

Quand tu vois la gueule des antivirus dispo pour tablettes et smartphones, là si le SI doit connecter du serveur à ces appareils, antivirus obligatoire sur les serveurs.

A mon image  

Je peine à faire comprendre à tous ceux qui mettent des     ou   dès qu'on annonce qu'un serveur peut exister sans AV.
Et je rencontre leurs homologues IRL. Des personnes qui pensent que l'AV est le seul rempart ultime contre les virus ou le piratage, qui ne s'inquiètent pas de savoir comment les serveurs peuvent être compromis, communiquent avec l'extérieur et comment un AV fonctionne; ce en quoi ils s'apercevraient qu'il est tout aussi faillible qu'un autre élément.

"rancoeur" n'est assurément pas le bon terme. "agacement" plutôt.

Et bien si tu réponds "oui" en toute connaissance de cause, y'a pas problem !

[quotemsg=109289]
A mon image  

Je peine à faire comprendre à tous ceux qui mettent des     ou   dès qu'on annonce qu'un serveur peut exister sans AV.
Et je rencontre leurs homologues IRL. Des personnes qui pensent que l'AV est le seul rempart ultime contre les virus ou le piratage, qui ne s'inquiètent pas de savoir comment les serveurs peuvent être compromis, communiquent avec l'extérieur et comment un AV fonctionne; ce en quoi ils s'apercevraient qu'il est tout aussi faillible qu'un autre élément.
[quote]
Effectivement, se dire qu'on a mis un AV et ne plus rien faire du tout ... C'est un peu facile. Par contre, prévoir de la ressource sur un serveur pour y faire tourner l'applicatif ou le rôle plus une marge pour l'AV ... C'est pas non plus sorcier. Il y a toujours des cas particuliers, j'en conviens, mais quand on peut, c'est bien de le prévoir.

L'AV est un élément d'une chaine de sécurité qui commence, et tu le décris précisément, par une propagande sécuritaire auprès des collabs. (enfin pour moi ce qui n'est pas parole d'évangile).

Mais quand tu dis que mettre un AV sur un SGBD ne sert à rien et plombes les perfs ... Comprends que c'est là aussi une généralité qui peut faire bondir ! Tout comme, je le reconnais, préconiser un AV dans toutes les situations est aussi un peu audacieux.

Le vrai soucis sur les serveurs de bases de données, c'est que vue la démultiplication de ceux-ci dans le monde pro (on en voit de plus en plus pour chaque appli), le principal problème de perfs vient de la non configuration de ce moteur. NON ! Installer un serveur de base de donnée ce n'est  pas juste suivant suivant fin.

Perso, si mon AV venait à pourrir les perfs d'un de nos serveur de Base de donnée, je commencerais pas essayer d'optimiser un peu le SGBD et ensuite l'AV avant de désinstaller celui-ci ... En tous les cas, je n'ai jamais eu besoin d'en arriver là.

 
+1

Entre le "peut" et le "veut", c'est le pognon qui choisit dans pas mal de cas  
Ou un DSI un peu borné sur les bords "non pas d'antivirus sur un SGBD !"

Il y a aussi "veuillez redémarrer l'ordinateur pour lancer le serveur."
Ah ouais, logique  
 
De la même manière et pour l'anecdote, voir sur un serveur de fichiers militaire, sur lequel transite des données "confidentiel défense", sous Windows 2008 avec du Norton (bon ok, les p'tits gars de l'OTAN aiment Norton, et suivent les directives US), mis à jour avec des signatures provenant d'un poste relié à internet, vous en penseriez quoi vous ? Dans mon ancien service, on a tous unanimement fait ça comme tête :

Si mon DSI venait me demander de désinstaller l'av sur un serveur de base de donnée je le ferais ... Comme beaucoup ... Mais perso je vérouillerais FW et referais un check complet des droits d'accès.
 
Après, ici je ne suis pas RSSI ... Donc ca n'arrivera pas
 
Pognon ... Mouais ... Quand je vois comment les SQL serveurs installés par certains presta sont paramétré ... Je me dis que bien souvent on a des bêtes de courses plus que sur dimensionné par rapport au besoin (d'où ma phrase sur les cas particulier) ... Mais des DB qui on besoins réellement de plus de X giga de ram, et de bi pro à X cœur ... C'est pas de partout qu'on le trouve !
 
Déjà brider le moteur SQL en thermes de core et de mémoire te permet la majeur partie du temps de dégager de la ressource pour L'AV... Ensuite tu peux un peu tuner ton AV pour qu'il ne scrute pas forcément certains process, fichiers ... Mais ca reste bien moins important que de bien paramétrer son SGBD.
 
Déjà rien que le fait que (hors grosses multinational) peu de petite ou grosses PME ont les moyens de se payer un DBA ... Et c'est un tort, rien que chez nous les DB se comptes par dizaines ...
 
Et non ... On s'est mal compris ! Installer un sql serveur un gosse de 8 ans pourrait le faire ........... Par contre le tuner un minimum ............. C'est une autre paire de manche.

le but c'est la protection des données et des systèmes, la notion de rempart est importante, c'est bien la dernière ligne quand un problème survient (ou plutôt généralement que la connerie a été faite) mais c'est aussi aujourd'hui un moyen de prévention avec contrôles à de multiples niveaux, c'est bien une des briques essentielles à la sécurité.
 
En plus de la fonction classique:
Contrôle des applications
Verrouillage de configuration
Contrôle des accès réseaux
Contrôle des périphériques
DLP
Déploiement
Remonté d'informations
 
Pas d'av sur le serveur allez y... mais la menace sur les données n'est pas seulement le virus, c'est aussi par exemple la fuite de données par des utilisateurs habilités.
Sans les nouveaux éléments tout un ensemble de comportements risqués est possible. Et il serait bien difficile de les appréhender complètement avec seulement de la configuration système.

L'antivirus peut au moins servir à bloquer les corruptions des données dues à des comptes d'utilisateurs autorisés justement  
Je n'en ai pas encore croisé, mais qui ne dit qu'il n'existera pas d'ici quelques mois à quelques années des virus visant les SGBD des entreprises en utilisant les droits accordés à l'utilisateur ?
 
Comme le PRA, les sauvegardes quotidiennes et la gestion des droits utilisateurs, l'antivirus s'inscrit dans les démarches du RSSI de l'entreprise pour fiabiliser les données.

"Comme le PRA, les sauvegardes quotidiennes et la gestion des droits utilisateurs, l'antivirus s'inscrit dans les démarches du RSSI de l'entreprise pour fiabiliser les données."
 
+1 sans vouloir offenser l'auteur de ce topic mais je trouve que ce n'est pas la bonne question à se poser si oui ou non l'AV est indispensable.
 

 
Dans le cadre d'une attaque ciblée ça doit exister ou revenir au même, d’où l'utilité du DLP donc généralement d'un av avec cette brique.
Effectivement le seul sujet de l'antivirus est trop limité pour le cadre pro, la sécurité est un sujet global.

Surtout que tout dépend de la taille de l'entreprise et du comment c'est géré au niveau informatique.
Je ne parle pas là de la présence d'un DBA ou non pour gérer de nombreuses bases, de savoir si les données sont externalisés (vive le cla-oude !)
Sans indiquer un "cas pratique", on peut très bien être et décider d'avoir des antivirus partout + un réseau non relié physiquement à l'extérieur (jusqu'au niveau alimentation électrique !) + bloquer les périphériques de masse USB + exiger de déposer téléphone et autres matos électroniques persos à l'entrée de la boîte + utiliser des portes à empreintes biométriques (cas typique : entreprise de la Défense)
Ou au contraire faire soft, n'avoir de l'antivirus que là où c'est nécessaire (voire pas d'antivirus, "pas la peine sous une bécane sous Linux " ), permettre le BYOD et pouvoir se balader pépère un peu partout (qui a parlé des universités ? )

Je relance un peu concernant un point bien spécifique : la gestion des ressources connectables (CDROM, USB) sur les serveurs, vous faites comment pour maitriser ces risques ?
Vous avez tous une salle informatique dédiée et sécurisée physiquement ?

Dédié/Sécurisée physiquement.
Après je fais confiance aux gens autorisés à rentrer.

A mon ancien taf j'ai vu :
- salle dédiée climatisée avec faux plafond, sol technique et avec sa propre énergie au sein du service informatique (le top évidemment)
- salle dédiée climatisée sans faux plafond et sans sol technique, avec sa propre énergie, au sein du service informatique
- salle dédiée climatisée sans faux plafond et sans sol technique, avec sa propre énergie, dans une pièce nommée "placard technique"
Et enfin directement dans le service informatique, sans faux plafond, sans sol technique, avec la même baie d'énergie que le service informatique.
 
Après là aussi, tout dépend de l'infra, du pognon et de la gestion informatique... tu n'auras pas 2 boîtes pareils.

Ha oui quand même du coup pas besoin de se préoccuper du paramétrage de l'antivirus Serveur pour les clés USB ^^

Ah mais justement, entre le cas "salle dédiée au sein du service informatique" et le cas "je te fous le serveur bien visible à l'entrée", c'est là que tu vois pour les clés USB...

Désolé les gars, je ne peux pas répondre dans l'immédiat, je suis en train de gérer un AV qui merde sur les serveurs
http://support.kaspersky.com/fr/9751
http://support.kaspersky.com/fr/9750

Et ça t'étonnes ?

 
Bah c'est quand même bien réputé Kaspersky. Leur interface Admin Kit est franchement bien faite je trouve.
Après les problèmes techniques c'est autre chose...

Deux en même temps, bon courage.
Y a peut de temps c'était sophos qui s'auto-détectait.

La meilleur interface est selon moi McAfee avec le EPolicy Orchestrator.
ShongMail... peut être l'étude de changer d'AV est envisageable?
 
Pour ceux à qui ca interesse et qui connaisse pas, voici le Gartner des solutions AV de 2010 :  
 
https://scm.symantec.com/resources/ [...] 5B1%5D.pdf
 
 
 

Oui, niveau interface et gestion centralisé, Kaspersky c'est bien foutu. Mais payes derrière la conso réseau, CPU et RAM...
D'un certain côté, ça a même poussé au remplacement partiel du parc utilisateurs sous Windows vers du Linux, tellement cela devenait ingérable  
 
Toujours à mon ancien taf, "ils" (la DSI à Paris) avaient eu l'idée de passer sur Kaspersky, 3 ans après avoir signé le contrat et au moment où je me barrais, la version Linux promise pour les serveurs de fichiers on l'attendait toujours. En parallèle les serveurs de fichiers sous Windows (2003 mais suffisant pour l'utilisation), eux aussi attendaient leur version de Kaspersky, et étaient du coup avec un antivirus sans mise à jour depuis 2 à 3 ans !
Et là avoir des machines sous Windows et Linux avec du serveurs de fichiers sous Linux, c'est la situation typique où il faudrait justement un antivirus efficace au niveau du serveur de fichiers.
Quand j'y repense, si un jour on a du gros scandale informatique qui sort à ce niveau avec des fichiers confidentiel défense qui circule sur internet, j'éclaterais de rire