Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1061 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  Justification besoin antivirus

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Justification besoin antivirus

n°174796
pogetas
Posté le 12-08-2021 à 11:33:16  profilanswer
 

Bonjour à tous,
 
 
Nous sommes une petite SSII, avec un 50aine de collaborateur.
Nous avons été la cible d'un ransomware plus tôt dans l'année et cela nous a amené à avoir une réflexion globale sur la sécurité de nos postes.
Cependant quand je regarde les actions mise en place je ne constate pas de changement : même causes même effets ?  
Donc je me pose la question suivante : windows defender est-il suffisant ? sur les poste utilisateurs et sur les serveurs web ?
Dans mon utilisation personnelle j'ai toujours un antivirus (type bitdefender ou autre) mais sur mon utilisation pro, sur des données bien plus "sensibles" j'ai l'antivirus par défaut ce qui m'inquiète.
J'ai trouvé des comparatifs sur différents comparateurs antivirus type av compare qui indiquait que windows defender n'était pas la solution la plus optimale.
Cependant cet argument n'est semble-t-il pas suffisant pour notre RSSI.  
J'ai cherché des recommandations de l'ANSSI sans succès sur l'utilisation d'antivirus. Pourriez vous me recommander des articles qui me permettrait d'étoffer ce besoin d'utilisation d'un antivirus plus robuste ?  
 
Merci pour votre aide !

mood
Publicité
Posté le 12-08-2021 à 11:33:16  profilanswer
 

n°174797
Ryo-Ohki
10th Rabbit
Posté le 12-08-2021 à 12:30:30  profilanswer
 

Je pense que tu ne pars pas sur le bon pied concernant ta réflexion. Tu ne peux pas centrer ta ligne de défense sur les AV. Ca compte mais c'est une toute petite pièce du puzzle.
 
Les Ransomware profitent de nombreux vecteurs, en premier lieu des mauvaises pratiques d'utilisation et d'administration du SI : des utilisateurs avec trop de privilèges, des administrateurs de domaine qui se connectent sur des serveurs ou des PC standards, des mots de passe trop simples et/ou le même mot de passe utilisé partout, des protocoles obsolètes/plus assez robustes en terme de chiffrement toujours utilisés. Et évidemment un parc pas bien patché.
 
D'ailleurs le premier truc qu'un ransomware ou un malware pas trop mal codé va tenter de faire, c'est faire sauter l'AV... Donc c'est bien sur la propagation latérale qu'il faut travailler. Et il y a suffisament d'attaques réussies (suffit de lire les news) pour se dire que les AV ne sont pas suffisants dans la réponse à une attaque.
 
Quand à Defender en lui même, le produit n'est pas si mal noté : https://www.av-test.org/en/antiviru [...] 18-194015/


---------------
The Lapin, reloaded  |  "Anything can happen in Formula One, and it usually does." -- Murray Walker
n°174798
skoizer
tripoux et tête de veau
Posté le 12-08-2021 à 12:39:19  profilanswer
 

Comment le ransmonware est rentré ?
 
une antivirus n'est qu'une partie de la réponse pour ce protéger.
passerelle smtp --> pour verifier les courriels entrant
Firewall sur les postes ?  
Firewall sur l'exposition internet ? ips ?
si serveur web hebergé --> WAF  
Logiciels et applications a jours ?
....
plus d'information https://www.ssi.gouv.fr/guide/guide [...] ormatique/
 
 
Depuis quelques temps des éditeurs d'antivirus mettent en place de nouveaux mécanisme de protection.
voir https://docs.mcafee.com/fr-FR/bundl [...] 71273.html


---------------
je veux tout, tout de suite, et gratuitement ! miladiou !
n°174800
nebulios
Posté le 12-08-2021 à 12:51:08  profilanswer
 

Mais le RSSI n'a pas d'avis là-dessus ? Vous êtes une SSII, sans personne de compétent sur la partie sécurité systèmes et postes de travail ?

n°174815
skoizer
tripoux et tête de veau
Posté le 13-08-2021 à 11:13:37  profilanswer
 

nebulios --> "Nous sommes une petite SSII"
tu ne peux pas avoir le même niveau de sécurité/personnel dans une grande entreprise et une pme...


---------------
je veux tout, tout de suite, et gratuitement ! miladiou !
n°174819
pogetas
Posté le 13-08-2021 à 14:12:36  profilanswer
 

Ryo-Ohki a écrit :

Je pense que tu ne pars pas sur le bon pied concernant ta réflexion. Tu ne peux pas centrer ta ligne de défense sur les AV. Ca compte mais c'est une toute petite pièce du puzzle.
 
Les Ransomware profitent de nombreux vecteurs, en premier lieu des mauvaises pratiques d'utilisation et d'administration du SI : des utilisateurs avec trop de privilèges, des administrateurs de domaine qui se connectent sur des serveurs ou des PC standards, des mots de passe trop simples et/ou le même mot de passe utilisé partout, des protocoles obsolètes/plus assez robustes en terme de chiffrement toujours utilisés. Et évidemment un parc pas bien patché.
 
D'ailleurs le premier truc qu'un ransomware ou un malware pas trop mal codé va tenter de faire, c'est faire sauter l'AV... Donc c'est bien sur la propagation latérale qu'il faut travailler. Et il y a suffisament d'attaques réussies (suffit de lire les news) pour se dire que les AV ne sont pas suffisants dans la réponse à une attaque.
 
Quand à Defender en lui même, le produit n'est pas si mal noté : https://www.av-test.org/en/antiviru [...] 18-194015/


On a fait toute une campagne de sensibilisation, même si la faille est due à l'exploitation d'un mot de passe trop faible sur un serveur exposé sur le net.
Concernant l'antivirus, ça me semblait être le minimum nécessaire pour optimiser la sécurité passive.
Le RSSI demande justement des informations pour justifier la mise en place d'un antivirus.
Merci pour vos réponses

n°174820
skoizer
tripoux et tête de veau
Posté le 13-08-2021 à 15:58:58  profilanswer
 

préconisation anssi tout est indiqué ici  
https://www.ssi.gouv.fr/guide/guide [...] ormatique/
https://www.ssi.gouv.fr/guide/attaq [...] dincident/
 
si tu recherche un antivirus bloquant les systémes ramsomeware
https://docs.mcafee.com/fr-FR/bundl [...] 71273.html


---------------
je veux tout, tout de suite, et gratuitement ! miladiou !
n°174821
nebulios
Posté le 13-08-2021 à 16:01:55  profilanswer
 

skoizer a écrit :

nebulios --> "Nous sommes une petite SSII"
tu ne peux pas avoir le même niveau de sécurité/personnel dans une grande entreprise et une pme...


Mais tu sais ce qu'est une SSII ?

n°174824
glassman
C'est pas faux
Posté le 14-08-2021 à 06:42:33  profilanswer
 


Ça s'appelle maintenant une ESN, et c'est effectivement sensé fournir de la prestation IT.
Vu les questions, ça fait un peu peur...


Message édité par glassman le 14-08-2021 à 06:42:50
n°174828
guigui71
Posté le 14-08-2021 à 09:53:23  profilanswer
 

L'antivirus intégré de Windows fonctionne bien. Après si vous avez un vrai service informatique il faut un antivirus avec une console d'administration pour les remontées d'incidents.

mood
Publicité
Posté le 14-08-2021 à 09:53:23  profilanswer
 

n°174829
Ryo-Ohki
10th Rabbit
Posté le 14-08-2021 à 10:09:59  profilanswer
 

guigui71 a écrit :

L'antivirus intégré de Windows fonctionne bien. Après si vous avez un vrai service informatique il faut un antivirus avec une console d'administration pour les remontées d'incidents.


 
Defender permet cela, soit avec SCCM soit avec Intune. J'ai plus l'expérience de SCCM perso.
 
Il y a moyen aussi de le configurer avec des GPO mais dans ce cas les remontées d'alerte c'est plus compliqué, il faut savoir analyser les évènements dans le journal Windows Defender.


Message édité par Ryo-Ohki le 14-08-2021 à 10:11:14

---------------
The Lapin, reloaded  |  "Anything can happen in Formula One, and it usually does." -- Murray Walker
n°174830
nebulios
Posté le 14-08-2021 à 10:39:58  profilanswer
 

Sachant que la différence de coût entre SCCM/Intune + Defender vs un client antivirus tiers est loin d'être négligeable.

n°174841
pogetas
Posté le 15-08-2021 à 21:35:07  profilanswer
 

Merci à tous pour vos réponse je vais regarder les solutions que vous avez évoqué : sccm/intune / Antivirus tiers  
Et aussi consulter les recommandations de l'ANSSI

n°174845
Ryo-Ohki
10th Rabbit
Posté le 16-08-2021 à 09:59:09  profilanswer
 

Tu peux aussi regarder un produit qui s'appelle Ivanti Endpoint Manager. A priori il saurait piloter Defender en plus de faire tout à un tas de choses liées au patching, au reporting et à la compliance. Aucune idée du cout vis à vis d'un SCCM par contre. A vérifier :)


Message édité par Ryo-Ohki le 16-08-2021 à 10:00:25

---------------
The Lapin, reloaded  |  "Anything can happen in Formula One, and it usually does." -- Murray Walker
n°175029
megabiscot​te
Posté le 28-09-2021 à 17:56:53  profilanswer
 

Windefender n'est pas degueux.  
Déja, des utilisateurs non-admins, Windefender, et revoir les services exposés, et leurs mdp... c'est gratuit et ca peut éviter pas mal d'incidents.
 
Ensuite pour ce qui commence a demander un budget, les deux choses suivantes a considérer sont probablement le proxy (Bluecoat par ex), le filtrage des emails cités plus haut, et un EDR (Crowdstrike par exemple).

n°175031
lou-211
Posté le 28-09-2021 à 21:00:21  profilanswer
 

Merci pour l’info et ces conseils @megabiscotte.  

n°175068
Lone Morge​n
Posté le 05-10-2021 à 18:26:40  profilanswer
 

Le Windows Defender de base sans console en environnement pro ça n'est pas serieux. Au mieux ça déporte les alertes sur l'utilisateur :o . Pour les modules de secu pas de bonne visibilité sur ce qu'il est capable de faire
Quand on va voir les modules de sécurité avancé chez Eset ou Kaspersky c'est pas le même niveau.

n°175351
xillibit
Posté le 14-11-2021 à 16:42:18  profilanswer
 

Bonjour, il y a cette page github qui détaille les mesures à mettre en œuvre pour renforcer la sécurité de windows : https://github.com/beerisgood/Windows11_Hardening

n°175356
ShonGail
En phase de calmitude ...
Posté le 15-11-2021 à 12:40:40  profilanswer
 

Une SSII c'est une société de services informatiques.
Et dans les services informatiques, y'a pas que l'expertise en systèmes/réseaux.
Il existe des tas de SSII avec quasi 0 compétences techniques mais des compétences fonctionnelles sur des produits informatiques.
 
Donc la 1ere question à poser est : avez-vous des compétences techniques, notamment sur la sécurisation des SI ?
 
Ensuite, dans le cas des ransomwares et des tas d'autres choses, la première mesure à prendre concerne les sauvegardes.
Il est vain de penser qu'on va se protéger à 100% des cyber-risques et sinistres.
Par contre, on peut se prémunir à 99.99% de la perte de données et se donner les process pour une reprise rapide sur des données saines.

n°175367
rufo
Pas me confondre avec Lycos!
Posté le 17-11-2021 à 07:45:25  profilanswer
 

Le fameux PRA.
 
Edit : qu'il convient certes d'élaborer, mais aussi de tester régulièrement sa bonne application, genre que les sauvegardes qu'on fait consciencieusement sont bien exploitables pour éviter de s'en rendre compte le jour où on a un cyber-sinistre :whistle:


Message édité par rufo le 17-11-2021 à 07:47:26

---------------
Astres, outil de help-desk GPL : http://sourceforge.net/projects/astres, ICARE, gestion de conf : http://sourceforge.net/projects/icare, Outil Planeta Calandreta : https://framalibre.org/content/planeta-calandreta
n°175368
Roy*.*
Apres Dieu, y a lui
Posté le 17-11-2021 à 09:11:33  profilanswer
 

Il y a un guide d’hygiène informatique fait par l’anssi.
Qu’il soit nécessaire de justifier un antivirus en SSII en 2021 me laisse songeur.
Je pense qu’il s’agit de personne qui font du digital, c’est à dire il utilisent un ordinateur mais ne savent pas derrière comment cela marche.


---------------

n°175369
nex84
Dura lex, sed lex
Posté le 17-11-2021 à 09:25:51  profilanswer
 

Roy*.* a écrit :

Il y a un guide d’hygiène informatique fait par l’anssi.
Qu’il soit nécessaire de justifier un antivirus en SSII en 2021 me laisse songeur.
Je pense qu’il s’agit de personne qui font du digital, c’est à dire il utilisent un ordinateur mais ne savent pas derrière comment cela marche.


Digital, c'est les doigts
 [:moundir]
Il n'y a que les marketeux a-la-con-trop-hype-fashion-put-more-buzzwords et ceux qui les écoutent qui utilisent "digital" pour autre chose :o


Message édité par nex84 le 17-11-2021 à 09:26:26

---------------
#TeamNoBidouille || Come to the Dark Side, we have cookies || Mangez 5 fruits et légumes par an ! || Le digital, c'est les doigts
mood
Publicité
Posté le   profilanswer
 


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  Justification besoin antivirus

 

Sujets relatifs
Besoin d'aide pour VLANsSCCM - déploiement de pilotes - erreur - besoin d'infos
Besoin d'aide : Config VPN, Livebox 5 et Emule/BitTorrent ?Solution/Antivirus EDR Palo Alto /Webroot
Besoin de conseils pour faire son propre NASAlcatel 8028 besoin d'aide
Saturation Bande passante WSUS ou AntivirusBesoin d'aide par rapport a connexion ADSL + 4G
Antivirus Microsoft ATPChoix Antivirus
Plus de sujets relatifs à : Justification besoin antivirus


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR