réussir facilement sa migration antivirus

REUSSIR SA MIGRATION ANTIVIRUS CE N’EST PAS SI COMPLIQUE ! 1

REUSSIR SA MIGRATION ANTIVIRUS :CE N’EST PAS SI COMPLIQUE !


Introduction :

Un projet de migration antivirus ne présente pas de complexité particulière. Il serait pourtant mensonger de dire que migrer se fait en un claquement de doigts. Comme tout projet, la migration demande de la préparation, de la planification et de l’investissement humain. On ne change donc pas d’antivirus sans raison valable mais quand la nécessité l’impose, l’enjeu et l’envol en valent la chandelle.

Sommaire

Le plan de vol

Migrer en toute serenite

etude de cas : rector

CONTACT SOURCES

1

1

2

2

3

3

4

5

LE DÉCLENCHEMENT

L’ACCOMPAGNEMENT DES FOURNISSEURS

LA GESTION DE PROJET

LE MAQUETTAGE

LE BENCHMARK

LA DÉSINSTALLATION

LE DÉPLOIEMENT

MAINTIEN EN CONDITION OPÉRATIONNELLE


LE PLAN DE VOL

D’après une étude F-Secure/Toluna réalisée au printemps 2015,

Mais entre l’intention et l’action, il y a la phase de préparation.

des entreprises françaises seraient peu ou pas satisfaites de leurs solutions en sécurité

prévoient de les mettre à jour.

&

41%

55%

1


Différentes raisons peuvent inciter les organisations à se lancer dans un projet de migration antivirus. Les meilleures resteront toujours liées à une amélioration du niveau de sécurité dans l’organisation, même si une envie de changement ou une opportunité financière peuvent faire partie de l’équation. La prise de conscience peut donc survenir à la suite :

On réagit malheureusement trop souvent lorsque le mal est déjà fait. L’antivirus présente un paradoxe : il donne l’impression que tout va bien puisqu’il reporte la détection des problèmes et les corrections apportées. Mais lorsque qu’un fichier malveillant n’est pas reconnu ou détecté, il n’y a aucune indication d’un quelconque danger. Tant qu’il n’y a pas d’incident, le RSSI ne se rend pas forcément compte que la solution actuelle n’est pas adaptée. Lorsque l’incident arrive, l’on se pose forcément la question :

Les audits peuvent s’avérer très instructifs pour faire le point sur l’existant et faire ressortir d’éventuelles failles de sécurité et ainsi amorcer le changement.

Le RSSI d’un grand groupe est souvent confronté à des audits variés tout au long de l’année, le référentiel étant la norme ISO 27002. L’audit interne en fait partie, généralement à son initiative. A son terme, un rapport est remis à l’audité avec une liste de points à améliorer qui peuvent concerner la sécurité du réseau, des postes et des serveurs. Le changement d’antivirus peut faire partie des actions à mettre en œuvre à la suite d’un audit.

C’est souvent à la suite d’une prospection commerciale d’un éditeur concurrent ou d’un revendeur qu’une prise de conscience s’opère. La discussion peut soulever des insatisfactions constatées avec l’actuelle solution. Une évaluation ne peut être aussi partiale qu’un audit mais elle permet de révéler d’autres besoins qui ne rentrent pas dans le champ d’une norme ISO. L’intérêt commercial est aussi de vous donner pleinement satisfaction, c’est en tout cas la conviction que nous avons chez F-Secure.

D’un incident

D’un audit

D’une opportunité commerciale

1 LE DÉCLENCHEMENT

“Qu’est-ce qui aurait pu être fait pour l’éviter ?“


Une migration logicielle, quelle qu’en soit la nature, est souvent appréhendée : comment changer le système d’information sans altérer la qualité du flux. Et dans le cas des logiciels de sécurité informatique, comment maintenir le niveau de sécurité exigé ?

2 LA GESTION DE PROJET

La migration antivirus doit être menée en mode projet, toutes les étapes sont donc indispensables, la première étant de nommer «un chef de projet migration ». Cette personne doit avoir une connaissance transversale de l’entreprise, du système d’information et de l’organisation interne, avoir suffisamment d’autorité pour investiguer et être convaincant pour impulser le changement dans les équipes.

Sa première mission va être de définir les besoins. La décision de migrer et le choix de la solution qui en découle doivent être motivés par des besoins qui seront clarifiés dans un cahier des charges.

Cette étape est déterminante afin que les dirigeants de l’entreprise puissent donner leur « go » et surtout pour que la migration donne pleinement satisfaction.

La rédaction du cahier des charges et du cahier des risques devra s’appuyer sur des interviews et sur les résultats de l’audit si celui-ci a eu lieu. Il devra détailler l’existant, notamment le parc applicatif qui pourra éventuellement avoir une importance dans le choix de la solution, afin d’éviter des problèmes de compatibilité. Le cahier devra également inclure un planning prévisionnel ainsi que le budget.

Ce qui peut coûter cher n’est pas tant la solution antivirus que le temps de déploiement et par conséquent l’investissement humain s’il n’y a pas suffisamment d’organisation en amont et tout au long du projet. Cela peut paraître évident de le rappeler mais un chef de projet devra suivre l’avancée du projet, du choix de la solution à son déploiement.

Nommer un chef de projet Rédiger un cahier des charges

Suivre le projet rigoureusement


3 LE BENCHMARK

Pour challenger votre antivirus actuel, des sites indépendants comparent les différents produits et répertorient les compatibilités logicielles. Tous les points sur lesquels porter votre attention ont été par ailleurs recensés dans notre livre blanc L’antivirus ne fait pas partie des meubles. Mais un petit rappel ne fait jamais de mal.

Sur la détection de fichiers, la plupart des produits obtiennent plus de 99% dans les tests de laboratoires spécialisés. Un des points à vérifier est le taux de faux positifs, les messages ou programmes valables injustement considérés comme nuisibles par le filtre. Un autre point à prendre en compte : la légèreté des agents qui facilitera le déploiement sur les postes et les serveurs.

Un antivirus mal adapté peut impacter fortement votre productivité en créant des ralentissements : consommation CPU, mémoire vive occupée par le processus d’analyse de l’antivirus, temps de démarrage Windows... Le problème peut être dû à un mauvais paramétrage de l’antivirus, aux types de machines mais aussi aux caractéristiques des produits.

Le format SaaS (Software as a Service) ou « On Premise » pour un antivirus est un choix qui va au-delà du simple dilemme : héberger la solution chez soi ou dans le Cloud ? Le modèle SaaS facilite le déploiement et l’installation de la solution sur les postes utilisateurs, surtout quand une entreprise possède plusieurs sites distants ou de nombreux utilisateurs mobiles.

Les goûts et les couleurs… certains préféreront des interfaces très sobres, d’autres plus complexes mais le bon compromis reste la simplicité d’utilisation combinée à la granularité des paramètres.

Quasiment tous les antivirus intègrent aujourd’hui un composant d’analyse comportementale, et un système de réputation via le Cloud en plus d’une simple base de signatures mise à jour. Mais de plus en plus d’antivirus comprennent des services qui ne sont pas directement liés aux virus : pare-feu, détection d’intrusion réseau, prévention d’intrusion, blocage de fenêtres publicitaires, chiffrement de disques durs…

Performance

Impact sur les performances

Format

Interface

Fonctionnalités

C’est pourquoi le terme «Endpoint Protection» est beaucoup plus utilisé.

https://fr.business.f-secure.com/lantivirus-ne-fait-pas-partie-des-meubles/


MIGRER EN TOUTE SÉRÉNITÉ

Les choses sérieuses commencent : vous avez choisi votre fournisseur, le changement est pour bientôt. Avant de désinstaller votre ancienne solution et d’installer la nouvelle, la programmation doit être paramétrée en amont. Une fois le déploiement lancé, très peu de surprise, au pire quelques ajustements sont à prévoir. N’oubliez pas cependant de procéder à un suivi régulier après la migration.

2


1 L’ACCOMPAGNEMENT DES FOURNISSEURS

Les éditeurs accompagnent sur place leurs clients lorsque l’organisation présente un certain niveau de complexité. Leur rôle est d’étudier le cahier des charges et de proposer des solutions adaptées aux besoins exprimés puis de présenter un POC (Proof of Concept), c’est-à-dire une maquette de faisabilité offerte, que cela débouche ou non sur une commande.

Cette maquette qui contient tous les paramétrages servira à la désinstallation et au déploiement de la nouvelle solution.

Son rôle est également d’organiser une séance de formation pour les équipes en interne sur les différentes solutions déployées.

Parallèlement, des services d’assistance sont dans la majorité des cas disponibles en ligne (documentation, service clients…).

Les PME n’ont pas les mêmes moyens que les grands groupes qui possèdent leur DSI et qui fonctionnent en mode projet. Généralement, celles-ci se reposent sur les recommandations des revendeurs de solutions de sécurité. Elles ne font donc pas nécessairement la différence entre tel ou tel antivirus et ne voient donc pas de raison d’en changer. Quand elles sont décidées à le faire, elles peuvent négliger des étapes lors de la migration. Il est donc très important que les revendeurs sensibilisent leurs clients :

Les revendeurs se forment auprès des éditeurs et peuvent obtenir des certifications. Le mieux est donc de s’assurer que le revendeur ait un niveau homologué par rapport au choix de la solution pour qu’il puisse vous accompagner plus efficacement.

à la nécessité de migrer suivant leurs besoins,

à une bonne méthode de gestion de projet et plus particulièrement dans la phase de préparation de la migration.

L’éditeur Le revendeur


2 LE MAQUETTAGE

Avant de désinstaller l’ancienne solution dans une organisation complexe et de déployer la nouvelle poste par poste, il convient de procéder à un maquettage, c’est-à-dire à une modélisation du système.

Ce maquettage que l’on nomme le POC (Proof of concept) est une démonstration de faisabilité d’une solution que vous n’avez pas vu fonctionner dans votre environnement afin d’éviter tout risque. Celui-ci consiste à recenser tous les services, postes et serveurs concernées et à procéder à une série de tests et de scripts sur un ou plusieurs types de machines pour chacune des phases : désinstallation, installation et lancement des applications avec un paramétrage par défaut.

Grâce à cette approche, il vous est possible de mieux interagir avec les équipes et votre prestataire pour modéliser un système global en adéquation avec votre stratégie.

La preuve que « tout va bien se passer »

Il est tout à fait possible que l’ancienne solution bloque l’outil de désinstallation. Et si la désinstallation n’a pas été effective, il est probable qu’il y ait des complications. Il convient donc de tester la désinstallation au préalable.

Il est également très important de lancer toutes les applications recensées dans l’organisation. Certaines d’entre elles ne sont pas compatibles ou nécessitent un paramétrage particulier de la console de l’antivirus : réglages d’exclusion, de pare feu…

Si le temps du POC ne dépasse pas quelques jours, la phase opérationnelle de test dépend du nombre d’applications :

Cette étape décisive est gage de réussite dans votre projet et c’est aussi cette phase de paramétrage qui va permettre l’automatisation de la désinstallation et du déploiement : aussi ne la négligez pas même si cela demande plusieurs jours de préparation.

Faire les derniers ajustements

Tester 600 applications peut représenter un temps de travail non continu s’étalant sur 3 mois.


3 LA DÉSINSTALLATION

C’est un point souvent évoqué et appréhendé. Pourquoi est-il absolument nécessaire de désinstaller mais surtout de désinstaller complètement le précédent antivirus ?

Des solutions différentes créent, si elles cohabitent sur un même système, des conflits : lorsqu’un antivirus souhaite analyser un fichier en temps réel, il va en demander le contrôle exclusif, les deux solutions tenteront de prendre le contrôle d’une grande quantité d’opérations en même temps avec le risque qu’il y ait des blocages mutuels.

Ne pas créer de conflits

Les conséquences sont multiples et variées : cela peut se traduire par un ralentissement du système, ou pire encore, les antivirus peuvent cesser de fonctionner, ce qui n’est évidemment pas souhaitable.

Par ailleurs, beaucoup d’antivirus considèrent que les fichiers d’un autre antivirus sont infectés ou interprètent leurs actions comme suspectes. Les développeurs d’antivirus tentent de réduire au maximum cet aspect mais les listes blanches ne sont parfois pas à jour.

Pour désinstaller correctement un antivirus, il est conseillé de télécharger l’utilitaire de désinstallation à partir du site web officiel du fournisseur et de l’exécuter. Mais le plus simple est encore d’utiliser un logiciel de désinstallation universel qui fonctionne parfaitement avec les solutions récentes de moins de quatre ans.

Une autre crainte lors de la désinstallation est le bon enchaînement avec l’installation du nouvel antivirus : il ne doit y avoir aucune interruption entre les deux et la nouvelle solution doit être pleinement effective dès son installation pour qu’il n’y ait aucun risque de sécurité. Pour cela, tout doit être automatisé et le déploiement doit être testé avant d’être effectué.

logiciel de


4 LE DÉPLOIEMENT

Passée cette phase de tests, le déploiement peut avoir lieu sur les postes de travail et sur les serveurs. Généralement dans les grandes organisations, l’on procède à un déploiement progressif service par service : le premier étant généralement celui de la DSI.

Il n’y a aucune difficulté lors du déploiement puisque celui-ci est automatisé : à ce stade, il y a très peu de surprises si les configurations ont été bien faites durant la phase de POC. La console installe donc à distance le logiciel sur les postes de travail dès lors que les utilisateurs se connectent. Les interventions seront seulement nécessaires en cas d’échec sur certains postes. Ceux-là peuvent être provoqués par des anti-malware gratuits, des adware ou encore un antivirus corrompu et instable…. il faudra donc procéder à un diagnostic et à des correctifs.

Un problème que l’on peut constater sur les consoles d’administration est le décalage entre les postes déclarés et les postes réellement protégés.

Il convient donc durant le déploiement d’être attentif en cas d’anomalies :

Les agents ont été mal déployés : chaque agent possède un numéro unique qui identifie la machine protégée auprès de la console d’administration. Si aucune précaution n’est prise, celle-là peut ne voir qu’un seul identifiant même si l’agent est déployé sur plusieurs machines.

Les agents sont mal installés : un problème de paramétrage fait qu’un agent ne va pas pouvoir atteindre un serveur relai censé lui adresser les bases de signatures et les instructions. Parfois, il s’agit d’un problème d’installation du poste de travail au réseau qui ne peut pas entrer en relation avec un serveur relai.

Les agents sont désactivés : les désactivations peuvent survenir suite à une consigne de l’administration ou suite à une attaque virale.

Rester vigilant lors du déploiement

« Avec notre commune de presque 100 000 habitants, notre enjeu principal était d’assurer la sécurité de notre mairie centrale et de nos six mairies de quartier, mais également des écoles et des centres de loisir… une migration conséquente et de taille ! F-Secure a assuré un déploiement léger, en désinstallant l’ancien antivirus automatiquement et en déployant ses solutions rapidement, chacune étant adaptée aux besoins des établissements. »

Frédéric Pralong Responsable du Pôle des Services d’Infrastructure

Mairie de Nanterre


5 MAINTIEN EN CONDITION OPÉRATIONNELLE

Base de signature : les postes n’arrivent plus à se mettre à jour parce que la partition contenant les mises à jour est pleine, ce qui arrive souvent sur les anciens postes. Une autre raison est le manque de connexion internet ; les bases de signatures étant de plus en plus hébergées dans le Cloud, les mises à jour ne sont donc rendues possibles que si le poste est bien connecté à internet.

Agents anciens : comme les éditeurs sont amenés à mettre à jour leur infrastructure, il est donc important de mettre à jour soit la console, soit les agents… ces mises à jour doivent être traitées en mode projet.

Les licences : lorsque le nombre maximum d’agents prévu par la licence est atteint, il est toujours possible de poursuivre le déploiement mais les nouveaux agents ne seront pas activés ou ne recevront plus les mises à jour.

D’autre part, un état des lieux doit être dressé de manière hebdomadaire par un responsable technique pour les postes de travail ou serveurs présentant des anomalies :

Pour chacune de ces anomalies, une analyse doit avoir lieu ainsi que des corrections faisant l’objet d’un ticket.

Agent antivirus désactivé

Antivirus obsolète

Base de signatures non à jour

Une fois la solution installée, il ne faut pas perdre de vue que le travail ne s’arrête pas là :

Les mises à jour Le monitoring

Enfin, un point devrait être effectué sur l’ensemble de ces actions une fois par mois.


ETUDE DE CAS : RECTOR

Depuis 1953, RECTOR® conçoit et fabrique des solutions de planchers et des éléments porteurs pour la construction dans tous les secteurs du bâtiment : la maison individuelle, le logement collectif et les bâtiments tertiaires et industriels. Aujourd’hui plus de 6 millions de personnes sont portées par des planchers Rector.

3


En 2014, Florian Stillitano, Administrateur Réseau et Sécurité chez Rector envisage de remplacer l’ensemble du parc antivirus de la structure quand la protection utilisée depuis 2010 ne donne plus satisfaction : les paquets d’installation sont de plus en plus lourds, ce qui rend difficile l’homogénéisation du parc réparti sur différents sites en France et à l’étranger.

L’appel d’offre réunit quatre acteurs majeurs du marché antivirus en milieu professionnel, dont F-Secure. Pour identifier et sélectionner ces quatre éditeurs, les références des analystes et des comparateurs indépendants suivants seront utilisées : AV-Test, AV-Comparatives, VirusBTN et Forrester.

Des besoins clairement définis

« Au cours de ces 4 ans, nos équipes ont subi différents bugs, des erreurs de traduction, au point qu’elles ne pouvaient plus travailler correctement. Après mûre réflexion, nous avons décidé de changer d’éditeur au profit d’un nouveau, capable de nous accompagner dans nos changements. »

« Notre plus grande volonté dans ce projet était de trouver un antivirus capable d’être efficace contre les virus et autres logiciels malveillants, tout en ne consommant que très peu de ressources sur les machines des utilisateurs. Un critère décisif était également de trouver une solution pour notre infrastructure virtuelle basée sur VMware mais sans passer par vShield, limité en termes de fonctionnalités. »


Compte tenu du nombre de sites distants, Rector a choisi F-Secure Protection Service for Business avec sa console de gestion centralisée dans le Cloud. Quel que soit le lieu géographique du poste de travail, la console permet d’une façon simple et intuitive de suivre et de gérer son niveau de sécurité.

En parallèle, Rector a choisi F-Secure Policy Manager pour la gestion de ses serveurs virtuels, qui offre un niveau de sécurité équivalent à celui qui est attendu pour une machine physique, tout en optimisant les ressources systèmes.

Le déploiement avance progressivement car beaucoup de clients nomades sont déployés, ainsi que des petits sites qui ne sont pas accessibles tout le temps. Mais avec une migration commencée en février 2015, Rector estime avoir réalisé en moins de 6 mois 80% de son déploiement.

Gestion centralisée dans le Cloud

Correction des failles des logiciels tiers

Protection réactive des machines virtuelles

Désinstallation de la solution existante

Package léger à l’installation

Déploiement rapide et disponibilité de F-Secure

Le choix F-Secure Un déploiement rapide

Les points forts plébiscités

« Sur l’ensemble de notre parc, constitué de près de 800 postes, F-Secure désinstalle automatiquement notre ancienne solution et s’installe très rapidement ! Un gain de temps considérable pour nous qui étions pressés. Pour la partie virtuelle, F-Secure est assez simple pour la mise en place sur un environnement VMware, nous avons réalisé l’installation complète en une journée pour 80 serveurs virtuels. »

« Il y avait urgence pour nous, car la licence de notre solution virtuelle arrivait à son terme début février… nous ne voulions pas courir le risque de rester sans protection. Au total, avec la solution PSB de F-Secure, c’est plus de 800 postes et 30 serveurs physiques qui sont aujourd’hui protégés. »

« Il s’est vite avéré que c’était la solution la mieux adaptée pour nous : efficace et peu consommatrice en ressources. Mais le point essentiel de ce choix, reste la confiance instaurée avec la société F-Secure, très accessible aussi bien au niveau commercial qu’au niveau technique. »


Sources

Contact

Sécurité opérationnelle : Conseils pratiques pour sécuriser le SI d’Alexandre Fernandez-Toro, éditions Eyrolles, 2015Etude F-Secure/Toluna 2015L’antivirus ne fait pas partie des meubles, livre blanc réalisé par F-Secure, 2015

[email protected]

01 77 54 94 00

www.f-secure.fr/business

fr.business.f-secure.com

Switch on Freedom

http://www.eyrolles.com/Informatique/Livre/securite-operationnelle-9782212139631

https://fr.business.f-secure.com/infographie-etude-f-secure-decisionnaires-it-et-securite-informatique/

https://fr.business.f-secure.com/lantivirus-ne-fait-pas-partie-des-meubles/

www.f-secure.fr/business

fr.business.f-secure.com