Bonjour à tous,
 
 
Nous sommes une petite SSII, avec un 50aine de collaborateur.
Nous avons été la cible d'un ransomware plus tôt dans l'année et cela nous a amené à avoir une réflexion globale sur la sécurité de nos postes.
Cependant quand je regarde les actions mise en place je ne constate pas de changement : même causes même effets ?  
Donc je me pose la question suivante : windows defender est-il suffisant ? sur les poste utilisateurs et sur les serveurs web ?
Dans mon utilisation personnelle j'ai toujours un antivirus (type bitdefender ou autre) mais sur mon utilisation pro, sur des données bien plus "sensibles" j'ai l'antivirus par défaut ce qui m'inquiète.
J'ai trouvé des comparatifs sur différents comparateurs antivirus type av compare qui indiquait que windows defender n'était pas la solution la plus optimale.
Cependant cet argument n'est semble-t-il pas suffisant pour notre RSSI.  
J'ai cherché des recommandations de l'ANSSI sans succès sur l'utilisation d'antivirus. Pourriez vous me recommander des articles qui me permettrait d'étoffer ce besoin d'utilisation d'un antivirus plus robuste ?  
 
Merci pour votre aide !

Je pense que tu ne pars pas sur le bon pied concernant ta réflexion. Tu ne peux pas centrer ta ligne de défense sur les AV. Ca compte mais c'est une toute petite pièce du puzzle.
 
Les Ransomware profitent de nombreux vecteurs, en premier lieu des mauvaises pratiques d'utilisation et d'administration du SI : des utilisateurs avec trop de privilèges, des administrateurs de domaine qui se connectent sur des serveurs ou des PC standards, des mots de passe trop simples et/ou le même mot de passe utilisé partout, des protocoles obsolètes/plus assez robustes en terme de chiffrement toujours utilisés. Et évidemment un parc pas bien patché.
 
D'ailleurs le premier truc qu'un ransomware ou un malware pas trop mal codé va tenter de faire, c'est faire sauter l'AV... Donc c'est bien sur la propagation latérale qu'il faut travailler. Et il y a suffisament d'attaques réussies (suffit de lire les news) pour se dire que les AV ne sont pas suffisants dans la réponse à une attaque.
 
Quand à Defender en lui même, le produit n'est pas si mal noté : https://www.av-test.org/en/antiviru [...] 18-194015/

Comment le ransmonware est rentré ?
 
une antivirus n'est qu'une partie de la réponse pour ce protéger.
passerelle smtp --> pour verifier les courriels entrant
Firewall sur les postes ?  
Firewall sur l'exposition internet ? ips ?
si serveur web hebergé --> WAF  
Logiciels et applications a jours ?
....
plus d'information https://www.ssi.gouv.fr/guide/guide [...] ormatique/
 
 
Depuis quelques temps des éditeurs d'antivirus mettent en place de nouveaux mécanisme de protection.
voir https://docs.mcafee.com/fr-FR/bundl [...] 71273.html

Mais le RSSI n'a pas d'avis là-dessus ? Vous êtes une SSII, sans personne de compétent sur la partie sécurité systèmes et postes de travail ?

nebulios --> "Nous sommes une petite SSII"
tu ne peux pas avoir le même niveau de sécurité/personnel dans une grande entreprise et une pme...

On a fait toute une campagne de sensibilisation, même si la faille est due à l'exploitation d'un mot de passe trop faible sur un serveur exposé sur le net.
Concernant l'antivirus, ça me semblait être le minimum nécessaire pour optimiser la sécurité passive.
Le RSSI demande justement des informations pour justifier la mise en place d'un antivirus.
Merci pour vos réponses

préconisation anssi tout est indiqué ici  
https://www.ssi.gouv.fr/guide/guide [...] ormatique/
https://www.ssi.gouv.fr/guide/attaq [...] dincident/
 
si tu recherche un antivirus bloquant les systémes ramsomeware
https://docs.mcafee.com/fr-FR/bundl [...] 71273.html

Mais tu sais ce qu'est une SSII ?

Ça s'appelle maintenant une ESN, et c'est effectivement sensé fournir de la prestation IT.
Vu les questions, ça fait un peu peur...

L'antivirus intégré de Windows fonctionne bien. Après si vous avez un vrai service informatique il faut un antivirus avec une console d'administration pour les remontées d'incidents.

 
Defender permet cela, soit avec SCCM soit avec Intune. J'ai plus l'expérience de SCCM perso.
 
Il y a moyen aussi de le configurer avec des GPO mais dans ce cas les remontées d'alerte c'est plus compliqué, il faut savoir analyser les évènements dans le journal Windows Defender.

Sachant que la différence de coût entre SCCM/Intune + Defender vs un client antivirus tiers est loin d'être négligeable.

Merci à tous pour vos réponse je vais regarder les solutions que vous avez évoqué : sccm/intune / Antivirus tiers  
Et aussi consulter les recommandations de l'ANSSI

Tu peux aussi regarder un produit qui s'appelle Ivanti Endpoint Manager. A priori il saurait piloter Defender en plus de faire tout à un tas de choses liées au patching, au reporting et à la compliance. Aucune idée du cout vis à vis d'un SCCM par contre. A vérifier

Windefender n'est pas degueux.  
Déja, des utilisateurs non-admins, Windefender, et revoir les services exposés, et leurs mdp... c'est gratuit et ca peut éviter pas mal d'incidents.
 
Ensuite pour ce qui commence a demander un budget, les deux choses suivantes a considérer sont probablement le proxy (Bluecoat par ex), le filtrage des emails cités plus haut, et un EDR (Crowdstrike par exemple).

Merci pour l’info et ces conseils @megabiscotte.  

Le Windows Defender de base sans console en environnement pro ça n'est pas serieux. Au mieux ça déporte les alertes sur l'utilisateur . Pour les modules de secu pas de bonne visibilité sur ce qu'il est capable de faire
Quand on va voir les modules de sécurité avancé chez Eset ou Kaspersky c'est pas le même niveau.

Bonjour, il y a cette page github qui détaille les mesures à mettre en œuvre pour renforcer la sécurité de windows : https://github.com/beerisgood/Windows11_Hardening

Une SSII c'est une société de services informatiques.
Et dans les services informatiques, y'a pas que l'expertise en systèmes/réseaux.
Il existe des tas de SSII avec quasi 0 compétences techniques mais des compétences fonctionnelles sur des produits informatiques.
 
Donc la 1ere question à poser est : avez-vous des compétences techniques, notamment sur la sécurisation des SI ?
 
Ensuite, dans le cas des ransomwares et des tas d'autres choses, la première mesure à prendre concerne les sauvegardes.
Il est vain de penser qu'on va se protéger à 100% des cyber-risques et sinistres.
Par contre, on peut se prémunir à 99.99% de la perte de données et se donner les process pour une reprise rapide sur des données saines.

Le fameux PRA.
 
Edit : qu'il convient certes d'élaborer, mais aussi de tester régulièrement sa bonne application, genre que les sauvegardes qu'on fait consciencieusement sont bien exploitables pour éviter de s'en rendre compte le jour où on a un cyber-sinistre

Il y a un guide d’hygiène informatique fait par l’anssi.
Qu’il soit nécessaire de justifier un antivirus en SSII en 2021 me laisse songeur.
Je pense qu’il s’agit de personne qui font du digital, c’est à dire il utilisent un ordinateur mais ne savent pas derrière comment cela marche.

Digital, c'est les doigts
 
Il n'y a que les marketeux a-la-con-trop-hype-fashion-put-more-buzzwords et ceux qui les écoutent qui utilisent "digital" pour autre chose