L'éradication des vers dépend de l'utilité des serveurs infectés

Par 14 janvier 2009

Calculer la probabilité d'attaque et définir l'intérêt financier du débranchement éventuel de l'ordinateur infecté. C'est ce que propose une solution complémentaire des antivirus classiques.

Les consoles d'administration des logiciels antivirus remontent souvent des alertes sur de possibles propagations de virus. Est-il cependant toujours nécessaire de débrancher les machines potentiellement infectées ? Si l'on considère que cela à une incidence immédiate sur les affaires, cette problématique n'est pas négligeable. Quel est alors le meilleur compromis : perte d’activité ou présence éventuelle d’un virus sur une machine ? Il est tout d'abord nécessaire de définir si ces alertes sont de véritables attaques. Senthil Cheetancheri, étudiant diplômé du Computer Security Laboratory de UC* Davis, propose de mettre en place un système de probabilité à partir du partage d’informations provenant de plusieurs ordinateurs.
Calculer les probabilités d'attaque grâce au réseau
Ainsi, dès qu’une tentative d’attaque est identifiée sur un système, la probabilité que celle-ci aboutisse réellement est calculée à partir des informations renvoyées par les ordinateurs du réseau. Selon Adrien Guinault, consultant en sécurité chez Xmco Partners, cette technique "à déjà été mise en place dans certaines entreprises avec la corrélation des logs : des journaux d’évènements sont centralisés sur un serveur et des alertes remontent à la direction lorsque certains seuils sont atteints."Le jeune chercheur propose dans son étude un autre algorithme. Celui-ci permet de juger, en fonction de l’utilité de la machine infectée, s’il est plus intéressant financièrement de débrancher la machine du réseau. Pour cela, une note de criticité est attribuée à chacune des machines en fonction de leurs impacts sur les métiers de l'entreprise.
Et calculer le rapport déconnexion/infection
Une machine responsable de gérer des transactions financières serait alors mieux notée qu’une machine utilisée par un stagiaire... Pour résumer, ces deux méthodes permettent de définir un seuil à partir duquel un ordinateur mérite d'être déconnecté du réseau lorsqu'il est atteint d'un virus. Pour Adrien Guinault, c'est une fausse bonne idée :"Il est indispensable de déconnecter ou de nettoyer la machine afin d’éviter que ce ver ne puisse se propager ou encore de se mettre à jour et ainsi exploiter par la suite de nouvelles failles de sécurité... "De plus, "laisser une machine infectée sur le réseau peut engendrer des coûts extrêmement plus élevés à court/moyens termes et compromettre l'intégralité du système informatique de l'entreprise."
* University of California

Mentions légales © L’Atelier BNP Paribas