Antivirus : la révolution in the cloud

Enfin du nouveau ! Cela faisait longtemps que l'industrie antivirus n'innovait plus réellement : accrochés au poste de travail comme autant de moules à leur rocher, les éditeurs se contentaient surtout de racheter des technologies innovantes une fois ces dernières mûres, pour les intégrer à des suites de sécurité toujours plus obèses. Nous avions même fini par considérer ces éditeurs comme de simples gestionnaires d'espace : ils possèdent le client logiciel. Toute technologie de sécurité sur le poste de travail doit alors attendre d'être rachetée par eux pour avoir une chance de trouver sa place dans les entreprises, ces dernières rechignant à déployer plusieurs clients de sécurité (souvenez-vous des premiers anti-spywares, puis des HIPS, et même aujourd'hui du DLP...)

Mais avec le cloud computing, l'industrie anti-virale s'apprête à changer (enfin) de modèle : plutôt que de s'appuyer sur un client lourd installé sur chaque PC, elle veut déporter l'intelligence et l'analyse vers des centres de données sur Internet. A la clé, non seulement une gestion plus efficace et transparente (fini les mises à jour des bases de signatures), mais surtout la capacité de mieux corréler des évènements de sources différentes. Comme par exemple identifier un spam grâce à l'adresse web indiquée dans le courrier, parce que celle-ci pointe vers l'IP d'un serveur qui, à ce moment, sert aussi à la mise à jour d'un virus ailleurs dans le monde.

Un constat d'échec

Ce changement de stratégie vient d'un constat d'échec du modèle actuel : les bases de signatures semblent atteindre leurs limites. Selon bon nombre d'éditeurs la quantité de signatures à gérer augmente depuis plusieurs années déjà de manière exponentielle. Ils estiment que les fichiers de signatures seront bientôt trop lourds pour être convenablement gérés, et tous cherchent des alternatives (voir encadré).

C'est dans ce contexte que Trend Micro annonce un changement radical : le passage de la totalité de son offre à un fonctionnement "in the cloud", c'est à dire via Internet. Concrètement, l'éditeur va appuyer toute sa gamme sur le Smart Protection Network, un réseau bâti autours de plusieurs centres de données sur Internet, chargés de fournir les bases de signatures et d'analyser les codes malveillants qui leurs sont soumis. La plate-forme est déjà en fonctionnement depuis l'an dernier sur une partie de son offre, notamment les passerelles.

Qu'il s'agisse donc des passerelles (antispam et antivirus) mais aussi des clients du poste de travail, tous les produits de l'éditeur utiliseront à terme les services du Smart Protection Network et iront contrôler en ligne l'email ou le fichier qu'ils traitent. Dès le mois prochain Trend Micro devrait annoncer les clients antivirus compatibles dans sa gamme dédiée aux PME. Les grands comptes, eux, attendront 2009.

La révolution est en ligne

La révolution ici, c'est bien que Trend Micro confie aussi l'analyse des fichiers sur le poste de travail à son service en ligne. Il ne faut donc pas confondre l'annonce avec un service de filtrage de flux, comme le proposent déjà d'autres éditeurs d'antivirus (tel celui de Kasperksy, par exemple). Car il ne s'agit pas simplement de détourner le trafic email ou web de l'entreprise pour le nettoyer, mais bien de contrôler le contenu du poste de travail comme le ferait un antivirus traditionnel.