80 000 sites Web transformés en sources de virus informatiques, dont quelques pointures comme Bouygues ou Les 3 Suisses. Forcément, la nouvelle (avec un bémol quand même, pas mal d'experts doutant de sa véracité) fait réagir. Y compris ceux à la recherche du fameux et mythique coupable, oui, celui (homme, technologie, service…) qui a forcément fauté, puisque l'informatique est connue pour sa nature totalement infaillible.

Retour à la réalité

Merci donc à "Camarade!" pour sa contribution dans nos forums. Elle est un très salutaire retour à la réalité. Dans l'ordre:

- "Je commencerais par vérifier quel serveur Web est utilisé." D'ailleurs, pas mal de sites Web fournissent ce genre d'info. Par exemple, chez Netcraft, quand 3Suisses.fr se repose sur Apache, Bouygues utilise l'IIS de Microsoft, et TF1, BustaWS (inconnu au bataillon, quelqu'un pour me dire ce dont il s'agit?). Ici, ce n'est donc pas un produit spécifique qui serait en cause.

- "Je regarderais si ledit serveur Web est bien configuré et mis à jour."

- "Je regarderais s'il n'y a pas eu une négligence", genre mot de passe à changer qui ne l'a pas été, faute de temps.

- "Seulement après, je commencerais à accuser", affirme-t-il, tout en précisant qu'il trouve ça minable malgré tout.

- Et un dernier pour la route: "Je n'oublierais pas de voir du côté des clients infectés. Quel OS? Paramétrage? Mise à jour? Protections?"

L'informatique n'est pas qu'une technologie. Elle demande aussi des ressources, en hommes, en temps, en compétences… en tout ce qui coûte de l'argent. Mais, en cas de piratage, on n'a pourtant que rarement l'habitude de s'en prendre à son directeur financier.

Le cabinet Gartner attaque les éditeurs d'antivirus et il n'est pas le seul. Parmi les réactions suscitées par les analyses de Neil MacDonald, numéro deux de l'institut, une se détache, celle d'Athanasus. Très inspiré par le sujet, celui-ci argumente sur le thème de l'inutilité des antivirus pour sécuriser réseaux et machines." Il va devenir urgent de se passer d’antivirus afin d’assurer un sommeil plus confortable aux DSI en charge d’environnements critiques." Il recommande de ne plus s'intéresser aux arguments marketing des éditeurs pour mieux se recentrer sur l'éducation des salariés et la "formation aux bons usages".

La suite du billet parle de l'utilisation de la peur par les éditeurs comme technique de pub. Une réflexion proche de celle de Gartner, qui, en marge des commentaires de son vice-président, a aussi publié un communiqué sur "les mythes communs, les idées reçues et la paranoïa quant à la sécurité de l'information" : les pirates gagnent toujours ; la sécurité ne sert que de retraite face à ces envahisseurs ; les violations de données sont de plus en plus fréquentes ; la qualité de la sécurité est équivalente à la quantité d'argent investie dans ce domaine… sont autant d'idées, selon Gartner et Athanasus donc, qu'il faut combattre.

La peur des DSI de parler de sécurité sans le mot-clé antivirus est aussi évoquée dans le commentaire : "comment expliquer et faire valoir une solution de sécurité sans antivirus auprès de dirigeants, actionnaires… sans passer pour un inconscient ou un dangereux avant-gardiste."

Et notre lecteur finit par se demander si de telles idées peuvent être relayées, puisque "le marché lucratif des antivirus ne les laisse probablement pas s’exprimer à la une des blogs ou des magazines…" Si, si, elles peuvent.