Un projet de migration antivirus
ne présente pas de complexité
particulière. Il serait pourtant
mensonger de dire que migrer se fait
en un claquement de doigts. Comme
tout projet, la migration demande
de la préparation, de la planification
et de l’investissement humain. On
ne change donc pas d’antivirus sans
raison valable mais quand la nécessité
l’impose, l’enjeu et l’envol en valent la
chandelle.
Nos solutions de protection F-Secure : http://www.nrc.fr/nos-solutions-infra/securite-informatique/
5 bonnes raisons de migrer vers Windows Server 2012
Réussir facilement sa migration antivirus
1. REUSSIR SA MIGRATION ANTIVIRUS CE N’EST PAS SI COMPLIQUE ! 1
REUSSIR SA
MIGRATION
ANTIVIRUS :
CE N’EST PAS
SI COMPLIQUE !
2. REUSSIR SA MIGRATION ANTIVIRUS CE N’EST PAS SI COMPLIQUE ! 2
Introduction :
Un projet de migration antivirus
ne présente pas de complexité
particulière. Il serait pourtant
mensonger de dire que migrer se fait
en un claquement de doigts. Comme
tout projet, la migration demande
de la préparation, de la planification
et de l’investissement humain. On
ne change donc pas d’antivirus sans
raison valable mais quand la nécessité
l’impose, l’enjeu et l’envol en valent la
chandelle.
Sommaire
Le plan de vol
Migrer en toute
serenite
etude de cas : rector
CONTACT
SOURCES
1
1
2
2
3
3
4
5
LE DÉCLENCHEMENT
L’ACCOMPAGNEMENT
DES FOURNISSEURS
LA GESTION DE PROJET
LE MAQUETTAGE
LE BENCHMARK
LA DÉSINSTALLATION
LE DÉPLOIEMENT
MAINTIEN EN CONDITION
OPÉRATIONNELLE
3. REUSSIR SA MIGRATION ANTIVIRUS CE N’EST PAS SI COMPLIQUE ! 3
LE PLAN DE VOL
D’après une étude F-Secure/Toluna
réalisée au printemps 2015,
Mais entre l’intention et l’action, il
y a la phase de préparation.
des entreprises françaises
seraient peu ou pas satisfaites
de leurs solutions en sécurité
prévoient
de les mettre à jour.
&
41%
55%
1
4. REUSSIR SA MIGRATION ANTIVIRUS CE N’EST PAS SI COMPLIQUE ! 4
Différentes raisons peuvent inciter les organisations à se lancer dans un projet de migration
antivirus. Les meilleures resteront toujours liées à une amélioration du niveau de sécurité dans
l’organisation, même si une envie de changement ou une opportunité financière peuvent faire
partie de l’équation. La prise de conscience peut donc survenir à la suite :
On réagit malheureusement trop souvent lorsque le
mal est déjà fait. L’antivirus présente un paradoxe : il
donne l’impression que tout va bien puisqu’il reporte la
détection des problèmes et les corrections apportées.
Mais lorsque qu’un fichier malveillant n’est pas reconnu
ou détecté, il n’y a aucune indication d’un quelconque
danger. Tant qu’il n’y a pas d’incident, le RSSI ne se rend
pas forcément compte que la solution actuelle n’est
pas adaptée. Lorsque l’incident arrive, l’on se pose
forcément la question :
Les audits peuvent s’avérer très instructifs pour faire le
point sur l’existant et faire ressortir d’éventuelles failles
de sécurité et ainsi amorcer le changement.
Le RSSI d’un grand groupe est souvent confronté à
des audits variés tout au long de l’année, le référentiel
étant la norme ISO 27002. L’audit interne en fait partie,
généralement à son initiative. A son terme, un rapport
est remis à l’audité avec une liste de points à améliorer
qui peuvent concerner la sécurité du réseau, des
postes et des serveurs. Le changement d’antivirus peut
faire partie des actions à mettre en œuvre à la suite
d’un audit.
C’est souvent à la suite d’une prospection commerciale
d’unéditeurconcurrentoud’unrevendeurqu’uneprise
de conscience s’opère. La discussion peut soulever
des insatisfactions constatées avec l’actuelle solution.
Une évaluation ne peut être aussi partiale qu’un audit
mais elle permet de révéler d’autres besoins qui ne
rentrent pas dans le champ d’une norme ISO. L’intérêt
commercial est aussi de vous donner pleinement
satisfaction, c’est en tout cas la conviction que nous
avons chez F-Secure.
D’un incident
D’un audit
D’une opportunité commerciale
1LE DÉCLENCHEMENT
“Qu’est-ce qui aurait pu
être fait pour l’éviter ?“
5. REUSSIR SA MIGRATION ANTIVIRUS CE N’EST PAS SI COMPLIQUE ! 5
Une migration logicielle, quelle qu’en soit la nature, est souvent appréhendée : comment changer
le système d’information sans altérer la qualité du flux. Et dans le cas des logiciels de sécurité
informatique, comment maintenir le niveau de sécurité exigé ?
2LA GESTION DE PROJET
La migration antivirus doit être menée en mode projet,
touteslesétapessontdoncindispensables,lapremière
étant de nommer «un chef de projet migration ». Cette
personne doit avoir une connaissance transversale
de l’entreprise, du système d’information et de
l’organisation interne, avoir suffisamment d’autorité
pour investiguer et être convaincant pour impulser le
changement dans les équipes.
Sa première mission va être de définir les besoins.
La décision de migrer et le choix de la solution qui
en découle doivent être motivés par des besoins qui
seront clarifiés dans un cahier des charges.
Cette étape est déterminante afin que les dirigeants de
l’entreprise puissent donner leur « go » et surtout pour
que la migration donne pleinement satisfaction.
La rédaction du cahier des charges et du cahier des
risques devra s’appuyer sur des interviews et sur
les résultats de l’audit si celui-ci a eu lieu. Il devra
détailler l’existant, notamment le parc applicatif qui
pourra éventuellement avoir une importance dans
le choix de la solution, afin d’éviter des problèmes de
compatibilité. Le cahier devra également inclure un
planning prévisionnel ainsi que le budget.
Ce qui peut coûter cher n’est pas tant la solution
antivirus que le temps de déploiement et par
conséquent l’investissement humain s’il n’y a pas
suffisamment d’organisation en amont et tout au long
du projet. Cela peut paraître évident de le rappeler
mais un chef de projet devra suivre l’avancée du projet,
du choix de la solution à son déploiement.
Nommer un chef de projet Rédiger un cahier des charges
Suivre le projet rigoureusement
6. REUSSIR SA MIGRATION ANTIVIRUS CE N’EST PAS SI COMPLIQUE ! 6
3 LE BENCHMARK
Pour challenger votre antivirus actuel, des sites indépendants comparent les différents produits et
répertorient les compatibilités logicielles. Tous les points sur lesquels porter votre attention ont
été par ailleurs recensés dans notre livre blanc L’antivirus ne fait pas partie des meubles. Mais un
petit rappel ne fait jamais de mal.
Sur la détection de fichiers, la plupart des produits
obtiennent plus de 99% dans les tests de laboratoires
spécialisés. Un des points à vérifier est le taux de
faux positifs, les messages ou programmes valables
injustement considérés comme nuisibles par le filtre.
Un autre point à prendre en compte : la légèreté des
agents qui facilitera le déploiement sur les postes et les
serveurs.
Un antivirus mal adapté peut impacter fortement
votre productivité en créant des ralentissements :
consommation CPU, mémoire vive occupée par le
processus d’analyse de l’antivirus, temps de démarrage
Windows... Le problème peut être dû à un mauvais
paramétrage de l’antivirus, aux types de machines mais
aussi aux caractéristiques des produits.
Le format SaaS (Software as a Service) ou « On
Premise » pour un antivirus est un choix qui va au-delà
du simple dilemme : héberger la solution chez soi ou
dans le Cloud ? Le modèle SaaS facilite le déploiement
et l’installation de la solution sur les postes utilisateurs,
surtout quand une entreprise possède plusieurs sites
distants ou de nombreux utilisateurs mobiles.
Les goûts et les couleurs… certains préféreront des
interfaces très sobres, d’autres plus complexes mais
le bon compromis reste la simplicité d’utilisation
combinée à la granularité des paramètres.
Quasiment tous les antivirus intègrent aujourd’hui
un composant d’analyse comportementale, et un
système de réputation via le Cloud en plus d’une
simple base de signatures mise à jour. Mais de plus en
plus d’antivirus comprennent des services qui ne sont
pas directement liés aux virus : pare-feu, détection
d’intrusion réseau, prévention d’intrusion, blocage de
fenêtres publicitaires, chiffrement de disques durs…
Performance
Impact sur les performances
Format
Interface
Fonctionnalités
C’est pourquoi le terme «Endpoint
Protection» est beaucoup plus utilisé.
7. REUSSIR SA MIGRATION ANTIVIRUS CE N’EST PAS SI COMPLIQUE ! 7
MIGRER EN TOUTE
SÉRÉNITÉ
Les choses sérieuses
commencent : vous avez choisi
votre fournisseur, le changement
est pour bientôt. Avant de
désinstaller votre ancienne
solution et d’installer la nouvelle,
la programmation doit être
paramétrée en amont. Une fois
le déploiement lancé, très peu
de surprise, au pire quelques
ajustements sont à prévoir.
N’oubliez pas cependant de
procéder à un suivi régulier après
la migration.
2
8. REUSSIR SA MIGRATION ANTIVIRUS CE N’EST PAS SI COMPLIQUE ! 8
1L’ACCOMPAGNEMENT DES FOURNISSEURS
Les éditeurs accompagnent sur place leurs clients
lorsque l’organisation présente un certain niveau
de complexité. Leur rôle est d’étudier le cahier des
charges et de proposer des solutions adaptées aux
besoins exprimés puis de présenter un POC (Proof
of Concept), c’est-à-dire une maquette de faisabilité
offerte, que cela débouche ou non sur une commande.
Cette maquette qui contient tous les paramétrages
servira à la désinstallation et au déploiement de la
nouvelle solution.
Son rôle est également d’organiser une séance de
formationpourleséquipeseninternesurlesdifférentes
solutions déployées.
Parallèlement, des services d’assistance sont dans la
majorité des cas disponibles en ligne (documentation,
service clients…).
Les PME n’ont pas les mêmes moyens que les grands
groupes qui possèdent leur DSI et qui fonctionnent
en mode projet. Généralement, celles-ci se reposent
sur les recommandations des revendeurs de solutions
de sécurité. Elles ne font donc pas nécessairement la
différence entre tel ou tel antivirus et ne voient donc
pas de raison d’en changer. Quand elles sont décidées
à le faire, elles peuvent négliger des étapes lors de la
migration.Ilestdonctrèsimportantquelesrevendeurs
sensibilisent leurs clients :
Les revendeurs se forment auprès des éditeurs et
peuvent obtenir des certifications. Le mieux est donc
de s’assurer que le revendeur ait un niveau homologué
par rapport au choix de la solution pour qu’il puisse
vous accompagner plus efficacement.
à la nécessité de migrer suivant leurs
besoins,
à une bonne méthode de gestion de
projet et plus particulièrement dans la
phase de préparation de la migration.
L’éditeur Le revendeur
9. REUSSIR SA MIGRATION ANTIVIRUS CE N’EST PAS SI COMPLIQUE ! 9
2LE MAQUETTAGE
Avant de désinstaller l’ancienne solution dans une organisation complexe et de déployer
la nouvelle poste par poste, il convient de procéder à un maquettage, c’est-à-dire à une
modélisation du système.
Ce maquettage que l’on nomme le POC (Proof of
concept) est une démonstration de faisabilité d’une
solution que vous n’avez pas vu fonctionner dans
votre environnement afin d’éviter tout risque. Celui-ci
consiste à recenser tous les services, postes et serveurs
concernées et à procéder à une série de tests et de
scripts sur un ou plusieurs types de machines pour
chacune des phases : désinstallation, installation et
lancement des applications avec un paramétrage par
défaut.
Grâce à cette approche, il vous est possible de mieux
interagir avec les équipes et votre prestataire pour
modéliser un système global en adéquation avec votre
stratégie.
La preuve que
« tout va bien se passer » Il est tout à fait possible que l’ancienne solution
bloque l’outil de désinstallation. Et si la désinstallation
n’a pas été effective, il est probable qu’il y ait
des complications. Il convient donc de tester la
désinstallation au préalable.
Il est également très important de lancer toutes les
applications recensées dans l’organisation. Certaines
d’entre elles ne sont pas compatibles ou nécessitent
un paramétrage particulier de la console de l’antivirus :
réglages d’exclusion, de pare feu…
Si le temps du POC ne dépasse pas quelques jours,
la phase opérationnelle de test dépend du nombre
d’applications :
Cette étape décisive est gage de réussite dans votre
projet et c’est aussi cette phase de paramétrage qui
va permettre l’automatisation de la désinstallation et
du déploiement : aussi ne la négligez pas même si cela
demande plusieurs jours de préparation.
Faire les derniers ajustements
Tester600applicationspeutreprésenter
untempsdetravailnoncontinus’étalant
sur 3 mois.
10. REUSSIR SA MIGRATION ANTIVIRUS CE N’EST PAS SI COMPLIQUE ! 10
3LA DÉSINSTALLATION
C’est un point souvent évoqué et appréhendé. Pourquoi est-il absolument nécessaire de
désinstaller mais surtout de désinstaller complètement le précédent antivirus ?
Des solutions différentes créent, si elles cohabitent sur
un même système, des conflits : lorsqu’un antivirus
souhaite analyser un fichier en temps réel, il va en
demander le contrôle exclusif, les deux solutions
tenterontdeprendrelecontrôled’unegrandequantité
d’opérations en même temps avec le risque qu’il y ait
des blocages mutuels.
Ne pas créer de conflits
Lesconséquencessontmultiplesetvariées:celapeut
se traduire par un ralentissement du système, ou pire
encore, les antivirus peuvent cesser de fonctionner, ce
qui n’est évidemment pas souhaitable.
Par ailleurs, beaucoup d’antivirus considèrent
que les fichiers d’un autre antivirus sont infectés
ou interprètent leurs actions comme suspectes.
Les développeurs d’antivirus tentent de réduire au
maximum cet aspect mais les listes blanches ne sont
parfois pas à jour.
Pour désinstaller correctement un antivirus, il est
conseillé de télécharger l’utilitaire de désinstallation
à partir du site web officiel du fournisseur et de
l’exécuter. Mais le plus simple est encore d’utiliser un
logiciel de désinstallation universel qui fonctionne
parfaitement avec les solutions récentes de moins de
quatre ans.
Une autre crainte lors de la désinstallation est le bon
enchaînementavecl’installationdunouvelantivirus :
il ne doit y avoir aucune interruption entre les deux
et la nouvelle solution doit être pleinement effective
dès son installation pour qu’il n’y ait aucun risque de
sécurité. Pour cela, tout doit être automatisé et le
déploiement doit être testé avant d’être effectué.
logiciel de
11. REUSSIR SA MIGRATION ANTIVIRUS CE N’EST PAS SI COMPLIQUE ! 11
4LE DÉPLOIEMENT
Passée cette phase de tests, le déploiement peut avoir lieu sur les postes de travail et sur les
serveurs. Généralement dans les grandes organisations, l’on procède à un déploiement progressif
service par service : le premier étant généralement celui de la DSI.
Il n’y a aucune difficulté lors du déploiement puisque
celui-ci est automatisé : à ce stade, il y a très peu de
surprises si les configurations ont été bien faites durant
la phase de POC. La console installe donc à distance
le logiciel sur les postes de travail dès lors que les
utilisateurs se connectent. Les interventions seront
seulement nécessaires en cas d’échec sur certains
postes. Ceux-là peuvent être provoqués par des anti-
malware gratuits, des adware ou encore un antivirus
corrompu et instable…. il faudra donc procéder à un
diagnostic et à des correctifs.
Un problème que l’on peut constater sur les consoles
d’administration est le décalage entre les postes
déclarés et les postes réellement protégés.
Il convient donc durant le déploiement d’être attentif
en cas d’anomalies :
Les agents ont été mal déployés : chaque agent
possède un numéro unique qui identifie la machine
protégée auprès de la console d’administration. Si
aucune précaution n’est prise, celle-là peut ne voir
qu’un seul identifiant même si l’agent est déployé
sur plusieurs machines.
Les agents sont mal installés : un problème de
paramétrage fait qu’un agent ne va pas pouvoir
atteindre un serveur relai censé lui adresser les
bases de signatures et les instructions. Parfois, il
s’agit d’un problème d’installation du poste de
travail au réseau qui ne peut pas entrer en relation
avec un serveur relai.
Les agents sont désactivés : les désactivations
peuvent survenir suite à une consigne de
l’administration ou suite à une attaque virale.
Rester vigilant lors du déploiement
« Avec notre commune de presque
100 000 habitants, notre enjeu principal
était d’assurer la sécurité de notre mairie
centraleetdenossixmairiesdequartier,
maiségalementdesécolesetdescentres
de loisir… une migration conséquente
et de taille ! F-Secure a assuré un
déploiement léger, en désinstallant
l’ancien antivirus automatiquement et
en déployant ses solutions rapidement,
chacune étant adaptée aux besoins des
établissements. »
Frédéric Pralong
ResponsableduPôledesServicesd’Infrastructure
Mairie de Nanterre
12. REUSSIR SA MIGRATION ANTIVIRUS CE N’EST PAS SI COMPLIQUE ! 12
5 MAINTIEN EN CONDITION OPÉRATIONNELLE
Base de signature : les postes n’arrivent plus à se
mettre à jour parce que la partition contenant les
mises à jour est pleine, ce qui arrive souvent sur les
anciens postes. Une autre raison est le manque de
connexion internet ; les bases de signatures étant
de plus en plus hébergées dans le Cloud, les mises à
jour ne sont donc rendues possibles que si le poste
est bien connecté à internet.
Agents anciens : comme les éditeurs sont amenés
à mettre à jour leur infrastructure, il est donc
important de mettre à jour soit la console, soit les
agents… ces mises à jour doivent être traitées en
mode projet.
Les licences : lorsque le nombre maximum
d’agents prévu par la licence est atteint, il est
toujours possible de poursuivre le déploiement
mais les nouveaux agents ne seront pas activés ou
ne recevront plus les mises à jour.
D’autre part, un état des lieux doit être dressé de
manière hebdomadaire par un responsable technique
pour les postes de travail ou serveurs présentant des
anomalies :
Pour chacune de ces anomalies, une analyse doit avoir
lieu ainsi que des corrections faisant l’objet d’un ticket.
Agent antivirus désactivé
Antivirus obsolète
Base de signatures non à jour
Une fois la solution installée, il ne faut pas perdre de vue que le travail ne s’arrête pas là :
Les mises à jour Le monitoring
Enfin, un point devrait être effectué sur
l’ensemble de ces actions une fois par mois.
13. REUSSIR SA MIGRATION ANTIVIRUS CE N’EST PAS SI COMPLIQUE ! 13
ETUDE DE CAS : RECTOR
Depuis 1953, RECTOR® conçoit
et fabrique des solutions de
planchers et des éléments
porteurs pour la construction
dans tous les secteurs du
bâtiment : la maison individuelle,
le logement collectif et les
bâtiments tertiaires et industriels.
Aujourd’hui plus de 6 millions de
personnes sont portées par des
planchers Rector.
3
14. REUSSIR SA MIGRATION ANTIVIRUS CE N’EST PAS SI COMPLIQUE ! 14
En 2014, Florian Stillitano, Administrateur Réseau et
Sécurité chez Rector envisage de remplacer l’ensemble
du parc antivirus de la structure quand la protection
utilisée depuis 2010 ne donne plus satisfaction : les
paquets d’installation sont de plus en plus lourds, ce
qui rend difficile l’homogénéisation du parc réparti sur
différents sites en France et à l’étranger.
L’appeld’offreréunitquatreacteursmajeursdumarché
antivirus en milieu professionnel, dont F-Secure.
Pour identifier et sélectionner ces quatre éditeurs,
les références des analystes et des comparateurs
indépendants suivants seront utilisées : AV-Test, AV-
Comparatives, VirusBTN et Forrester.
Des besoins clairement définis
« Au cours de ces 4 ans, nos équipes
ont subi différents bugs, des erreurs
de traduction, au point qu’elles ne
pouvaient plus travailler correctement.
Après mûre réflexion, nous avons décidé
de changer d’éditeur au profit d’un
nouveau, capable de nous accompagner
dans nos changements. »
« Notre plus grande volonté dans ce
projet était de trouver un antivirus
capable d’être efficace contre les
virus et autres logiciels malveillants,
tout en ne consommant que très peu
de ressources sur les machines des
utilisateurs. Un critère décisif était
égalementdetrouverunesolutionpour
notre infrastructure virtuelle basée sur
VMware mais sans passer par vShield,
limité en termes de fonctionnalités. »
15. REUSSIR SA MIGRATION ANTIVIRUS CE N’EST PAS SI COMPLIQUE ! 15
Compte tenu du nombre de sites distants, Rector a
choisi F-Secure Protection Service for Business avec
sa console de gestion centralisée dans le Cloud. Quel
que soit le lieu géographique du poste de travail, la
console permet d’une façon simple et intuitive de
suivre et de gérer son niveau de sécurité.
En parallèle, Rector a choisi F-Secure Policy Manager
pour la gestion de ses serveurs virtuels, qui offre un
niveau de sécurité équivalent à celui qui est attendu
pour une machine physique, tout en optimisant les
ressources systèmes.
Ledéploiementavanceprogressivementcarbeaucoup
de clients nomades sont déployés, ainsi que des petits
sites qui ne sont pas accessibles tout le temps. Mais
avec une migration commencée en février 2015, Rector
estime avoir réalisé en moins de 6 mois 80% de son
déploiement.
Gestion centralisée dans le Cloud
Correction des failles des logiciels tiers
Protection réactive des machines virtuelles
Désinstallation de la solution existante
Package léger à l’installation
Déploiement rapide et disponibilité de F-Secure
Le choix F-Secure Un déploiement rapide
Les points forts plébiscités
« Sur l’ensemble de notre parc,
constitué de près de 800 postes,
F-Secure désinstalle automatiquement
notre ancienne solution et s’installe
très rapidement ! Un gain de temps
considérable pour nous qui étions
pressés. Pour la partie virtuelle, F-Secure
est assez simple pour la mise en place sur
un environnement VMware, nous avons
réalisé l’installation complète en une
journée pour 80 serveurs virtuels. »
« Il y avait urgence pour nous, car la
licence de notre solution virtuelle arrivait
à son terme début février… nous ne
voulions pas courir le risque de rester
sans protection. Au total, avec la solution
PSB de F-Secure, c’est plus de 800
postes et 30 serveurs physiques qui sont
aujourd’hui protégés. »
« Il s’est vite avéré que c’était la solution
la mieux adaptée pour nous : efficace
et peu consommatrice en ressources.
Mais le point essentiel de ce choix,
reste la confiance instaurée avec la
société F-Secure, très accessible aussi
bien au niveau commercial qu’au niveau
technique. »
16. REUSSIR SA MIGRATION ANTIVIRUS CE N’EST PAS SI COMPLIQUE ! 16
Sources
Contact
Sécurité opérationnelle : Conseils pratiques pour sécuriser le SI d’Alexandre Fernandez-Toro,
éditions Eyrolles, 2015
Etude F-Secure/Toluna 2015
L’antivirus ne fait pas partie des meubles, livre blanc réalisé par F-Secure, 2015
communications-france@f-secure.com
01 77 54 94 00
www.f-secure.fr/business
fr.business.f-secure.com
Switch on
Freedom