Laurent Heslault (Symantec) : « La sécurité basée sur la réputation répond à la micro-distribution de malwares »
L’éditeur de solutions de sécurité IT, leader mondial, revient sur les attaques ciblées par mail infecté qui a touché Bercy et sur les solutions pour parer à ce danger.
ITespresso.fr : L’ANSSI indiquait dans sa conférence de presse « post-attaque de Bercy » que les outils anti-virus étaient « relativement inefficaces » pour contrer les menaces ciblées…
Laurent Heslault : C’est exact. L’anti-virus moyen qui travaille sur des signatures heuristiques – même associé à une dose de technologie comportementale – passe à travers. C’est pour cela que Symantec travaille sur la réputation. A partir de la version 12 des nos produits pros qui sortent au printemps (Symantec Endpoint Protection), nous allons rajouter une fonctionnalité qui consiste à dire : « si je détecte un code que je n’ai pas vu avant, je le considère comme malveillant ». On calcule un score de réputation sur tous les exécutables. Cela fait quatre ans que nous travaillons sur ce concept. Et cela fait deux ans que la technologie est disponible dans nos outils Norton pour le grand public.
ITespresso.fr : Pourquoi les outils pros de Symantec n’intègrent pas la réputation ?
Laurent Heslault : C’est plus facile à proposer sur une version indépendante à destination des particuliers que dans le cadre d’une implémentation au sein des grandes organisations. Il faut revoir un certain nombres de paramètres au sein des entreprises ou grandes structures, notamment en termes de management (installation de règles). C’est en phase de bêta-tests chez un certain nombre de clients professionnels et chez nous. Dans notre base, nous avons recensé 2,5 milliards de codes Internet que nous exploitons. Nous avons développé la sécurité basée sur la réputation pour répondre à cette micro-distribution de malwares. C’est une couche technologique que nous rajoutons. Plus un fichier est unique, plus il devient suspect à nos yeux. Cela nous donne un avantage considérable sur les faux-positifs. Avant de mettre un fichier en quarantaine, nous serons en mesure de réduire drastiquement cette probabilité. Nous sommes les seuls à avoir cette technologie. Une fois que l’on a instauré un score de réputation, on ne re-scanne pas le fichier. Et du coup, on gagne 80 à 90% de temps de scan.