anti-virus / protection des postes de travail et des serveurs de fichiers

ANTI-VIRUS / PROTECTION DES POSTES DE TRAVAIL ET DES
SERVEURS DE FICHIERS
Description du produit 1 : SYMANTEC ENDPOINT PROTECTION
CAP SYNERGY – 1 Voie Felix EBOUE – 94000 CRETEIL
I.1/NOM DU PRODUIT
Editeur : SYMANTEC
Nom du produit : SYMANTEC ENDPOINT PROTECTION
Disponibilité du produit en version française : OUI
Perspectives de développement du produit au cours des 4 prochaines années ainsi que
d'adaptation aux nouveaux risques :
Des perspectives à long terme peuvent être présentées sous un accord de clause de confidentialité pour
des raisons stratégiques. Ce qu’il est possible d’annoncer est la stratégie de Symantec d’unifier un
maximum les consoles d’administrations et de reporting pour avoir une vision et une action globales de la
sécurité de son parc en liant aussi à cela la problématique de management de parc. Un parc bien sécurisé
passe avant tout par la prise en compte du bon management de parc associé.
Par ailleurs, il sera proposé courant 2011, sous réserve de modification de date de disponibilité, une
console permettant l’agrégation des logs et du reporting et permettant le management de plusieurs
solutions Symantec (solution de protection des terminaux, de protection des flux Web/SMTP, prévention
de fuite d’information, management des terminaux…)
Indiquez, si de nouvelles versions du logiciel seront fournies dans le cadre du présent
marché si de nouvelles fonctionnalités sont mises au point ou si de nouveaux systèmes
d’exploitation apparaissent :
Oui, dans le cadre du présent marché, si de nouvelles versions/fonctionnalités et supports d’OS
apparaissent, ces derniers seront fournis
Plates-formes supportées :
Les plateformes supportées sont les systèmes d’exploitations de type Windows (Windows 2000, 2003,
2008, XP, Vista, Seven), VMware, Linux (les principales distributions rencontrées en entreprise) et Mac
(10.4 – 10.6)
La liste complète de ces plateformes supportées est disponible à partir des liens suivants :
http://www.symantec.com/docs/TECH131642
http://www.symantec.com/docs/TECH101598
Configuration minimum requise par plate-forme:
La configuration minimum requise pour la plateforme est listée à partir des liens suivants :
http://www.symantec.com/docs/TECH131642
http://www.symantec.com/docs/TECH101598
Fonctionnalités :
Symantec Endpoint Protection 11 (pour Windows ) inclut les fonctionnalités suivantes :

Antivirus

Antispyware

Analyse Pro Active (Proactive Threat Protection)

Coupe feu

IDS

Contrôle des applications et des périphériques.
Pour les systèmes d’exploitation autres que Windows (Linux et Mac) et définis dans la liste des plateformes
supportées et listées précédemment, seule la fonction de protection antivirale est disponible pour le
moment, avec les solutions Symantec Endpoint Protection for Mac et Symantec Antivirus pour Linux.
Modalités de déploiement :
Le déploiement peut s’effectuer à partir de la console symantec ou à travers de tout autre outil de
déploiement existant.
Certifications par des organismes et revues reconnus :
Les organismes les plus actifs sur le secteur de la sécurité logicielle certifient et référencent pour la très
grande majorité les solutions Symantec, éditeur le plus répandu en entreprise dans le secteur de la sécurité
logicielle. On peut citer par exemple comme noms d’organismes connus: VB100, West Coast Labs, Tolly
Group, AV Comparative… et comme noms de revues : SC Magazine Best Buy, Channel Insider, Digitally
Daily, China Information World, PC magazine…
I.2/OUTILS D’ADMINISTRATION DU PRODUIT 1 :
Outils de télédistribution :
Plusieurs possibilités de télédistributions sont disponibles avec la solution Symantec Endpoint Protection. A
distance, depuis la console SEPM (Symantec Endpoint Protection Manager) ou via des politiques GPO
depuis un AD liées à des profils d'ordinateurs, ou des solutions de déploiement tierces ou à partir du
Framework Altiris inclus avec la solution Symantec Endpoint Protection, qui propose notamment le module
gratuit SEPIC (Symantec Endpoint Protection Integrated Component).
Outils de management des configurations :
L’infrastructure de configuration et d’administration de la solution Symantec™ Endpoint Protection
sera assurée par un ou un ensemble de serveurs centralisés. Les serveurs hébergent la console de
supervision nommée Symantec™ «Endpoint Protection Manager».L’accès à cette console peut
s’effectuer en mode « full web », à partir d’un simple explorateur web.
Il est possible de définir plusieurs administrateurs disposant chacun de rôles spécifiques.
Chaque compte administrateur peut disposer de droits et de vues spécifiques.
Figure 1: Profils d’utilisateurs/administrateur
L’outil de reporting offre la possibilité de programmer les rapports pour qu’ils soient générés à des
dates/heures précises. Cet outil de reporting permet notamment de vérifier la bonne application des
configurations réalisées à partir de la console.
Figure 2: Exemple de reporting.
La solution est conçue pour ne pas demander trop de ressources lorsqu’un rapport est demandé par
l’administrateur. Si les volumes à traiter deviennent trop importants, il est possible de dédier un
serveur «Endpoint Protection Manager» à cette tâche.
Les rapports peuvent être exportés au format « html ».

via une mailing liste

envoi en ftp et partage Microsoft®

publication sur un serveur web dédié (accessible via un login mot
de passe)
La distribution des rapports peut être faite par email via une liste d’adresses email.
Outils de gestion des politiques de sécurité :
Au travers de la console d’administration, un administrateur peut :

Définir des politiques :
o
Antivirus et antiSpyware
o
FireWall Personnel
o
Détection d’intrusion
o
Controle d’application et de périphériques (Clés USB, Disk dur Externe, Lecteur de CD, …)
o
De mises à jour de contenu

Gérer et organiser les différents clients par groupes

Définir des administrateurs avec de droits différents et déléguer l’administration des groupes de
clients à ces administrateurs

Générer et visualiser des rapports
De manière à faciliter la création des politiques, ces politiques peuvent s’appuyer sur des composants
réutilisables :

Scan périodiques pour l’antivirus

Liste d’empreinte de fichier

Liste ou groupe de ports

Liste ou groupe de serveurs

Adaptateurs réseau

Identifiant de périphériques.
Configuration minimum requise du serveur (OS du serveur, type de BDD etc…) :
La configuration minimum du serveur hébergeant Symantec Endpoint Manager et la console est décrite au
lien suivant :
http://www.symantec.com/docs/TECH131642
Nombre de clients maximum/conseillés gérés par le serveur centralisé :
Il est conseillé, par serveur centralisé, de ne pas dépasser comme nombre celui de 70 000 agents.
Il est possible pour information de rattacher plusieurs SEPM à une même base de données et de réaliser
une réplication de ces bases de données réparties sur plusieurs sites distants si nécessaire.
I.3/INFORMATIONS GENERALES DU PRODUIT 1 :
Précisez la compatibilité de la solution avec les différentes versions des systèmes
d’exploitation, Linux, Macintosh et Windows (postes de travail et serveurs de fichiers) :
La solution Symantec proposée est compatible avec les systèmes d’exploitation Linux, Macintosh et
Windows (postes de travail et serveurs de fichiers) en suivant les pré-requis indiqués à partir des liens
suivants :
http://www.symantec.com/docs/TECH131642
http://www.symantec.com/docs/TECH101598
En cas de connaissance d'apparition d'outil d'agression, sans parade connue, décrivez les
modalités de transmission d’alertes mises en place pour informer vos clients :
Il est possible gratuitement depuis le site de SecurityResponse, de récupérer les informations des dernières
menaces/failles référencées par notre centre de recherches, à partir des flux RSS mis à disposition depuis le
site web publique Symantec.com, en complément des informations mises à jours continuellement sur le
site SecurityResponse.Symantec.com
Délai de réparation après une alerte de vulnérabilité du moteur avec niveau de garantie de
celui-ci :
Après une éventuelle alerte de vulnérabilité de moteur viral, les moyens les plus efficaces et les plus
rapides possibles, en vérifiant la qualité de ces corrections, sont mis en œuvre par les centres de sécurités
Symantec. Aucun délai de garantie ne peut en revanche être appliqué à ce type d’action.
Conditions et fréquence des mises à jour des signatures :
Avec les paramètres de configurations par défaut de la solution, en moyenne, trois mises à jour
quotidiennes sont réalisées. Il est possible de personnaliser la fréquence (suivant des critères quotidiens,
hebdomadaire, mensuels…) de mises à jour des signatures, en effectuant leurs mises à jours une fois ou
plusieurs fois par heure si nécessaire, par exemple, en cas de crise virale.
Précisez le poids moyen des mises à jour en méga-octets :
En moyenne, par opération de mises à jour, étant donné que celle-ci s’effectue en mode incrémental, 250300 Ko sont à compter en moyenne. Il existe plusieurs méthodes de mises à jours supportées par la
solution afin d’optimiser la propagation de ces dernières à travers un réseau comportant de nombreux sites
distants, tout en préservant la bande passante disponible.
Toutes ces méthodes décrites ci-dessous sont incluses avec la solution d’un point de vue licensing et
plusieurs méthodes de mises à jour peuvent être utilisées si nécessaire en parallèle sur un même
poste.
En proposant ces différentes méthodes de mises à jour, la solution Symantec Endpoint Protection a
ainsi pour avantage de prendre en compte de nombreux cas différent d’architecture réseau , en
optimisant les modes de mises à jours en fonction du site distant à mettre à jour, en fonction de la
bande passante disponible, en fonction de la fréquence de mise à jour exigée et en fonction du
nomadisme de certains postes qui doivent utiliser la meilleure méthode de mise à jour en fonction de
leur emplacement de connexion.
Les méthodes disponibles sont les suivantes :
 Symantec Live Update
Le client se connecte sur un serveur Symantec sur Internet pour se mettre à jour. Il est possible via, le mode
certifié, de mettre à jour ces définitions 3 fois par jour. En mode Rapid Release, plusieurs définitions par
heure peuvent être téléchargées suivant la criticité des attaques traitées par les centres de recherche
Symantec.
 Serveur Live Update interne
Le mode LiveUpdate Interne cela permet de n’utiliser que des ressources de connexion internes de type
FTP, HTTP ou lien UNC où un partage de mises à jour est disponibles pour tous les agents pointant vers ce
service.
 PUSH depuis le serveur SEPM
Le serveur SEPM gère automatiquement le déploiement des mises à jour sur les clients connectés auprès
de leur manager.
 Logiciel tierce de distribution
Mise à jour par un logiciel de télédistribution
 Intelligent Updater
Fichier .exe contenant les définitions à lancer sur le poste client
 Group Update provider (GUP)
Poste client SEP dépositaire de signatures. Il est possible par ailleurs de s’appuyer sur la méthode GUP
(Group Update Provider). Cette méthode permet de s’appuyer sur un simple agent de protection SEP
(Symantec Endpoint Protection) qui sera le point de référence d’un site distant pour que les agents de
protection n’utilisent que les ressources locales du site pour récupérer leurs mises à jour à partir de ce
poste déclaré en tant que GUP. La déclaration de ce poste ayant pour rôle celui de GUP peut s’effecteur
depuis la console SEPM et n’exige aucun services serveur à installer sur le poste en question.
Pour information, on peut retrouver dans les bases de connaissances Symantec deux liens permettant
de décrire la mise en place de ces différentes méthodes de mises à jour exposées ci-dessus.
http://www.symantec.com/docs/TECH102467 (FR)
http://www.symantec.com/docs/TECH102467 (US)
La figure ci-dessous représente les différents mécanismes disponibles.
Figure : mise à jour des clients
Distribution des signatures des nomades
Pour la distribution des signatures pour les nomades, SEP 11 est capable de détecter l’emplacement
du poste nomade (à la maison, dans l’entreprise, connecté en VPN, etc…).
En fonction de l’emplacement, une politique de mise à jour adéquate sera appliquée.
Par exemple, la mise à jour se fera sur le site web Symantec lorsque le poste se situe à la maison.
Dans l’entreprise, il se mettra à jour depuis le serveur de management SEPM.
Ce fonctionnement est automatique et configuré par l’administrateur.
De même que les signatures, toutes les règles de sécurité (firewall, HIPS, antivirus…) peuvent être
spécifiques suivant l’emplacement de connexion du poste nomade en question.
Par exemple : il est possible d’autoriser le trafic sortant uniquement par le VPN lorsque l’utilisateur est
à la maison.
Ci-dessous le lien qui explique de manière complète les différents types de modèles de signatures et
fréquences associées :
http://www.symantec.com/business/popup.jsp?popupid=sr_help_popup
Vous engagez-vous, en cas de nouveaux types d’agression apparaissant durant la durée du
contrat, à nous fournir les parades logicielles correspondantes ?
Les parades logicielles correspondantes à des nouveaux types d’agression sont mises à disposition par les
centres de recherche et de sécurité Symantec le plus rapidement possible. Ces parades logicielles peuvent
être prises en compte dans le cadre des mises à jours des solutions et dans le cadre aussi de l’activation et
du paramétrage des briques de sécurités incluses avec la solution Symantec Endpoint protection.
Le but de l’activation de briques proactives de sécurité est de lutter contre les attaques innovantes de types
Conficker/Downadup. Ces différentes briques de sécurité, complètent les actions effectuées par un
antivirus seul, en permettent de détecter des attaques inconnues ciblant une faille connue et permet
d’éviter les phénomènes de sur-contaminations de réseaux locaux/voisinages réseaux, et cela, grâce à la
fonction IDS. Il est aussi possible d’éviter les sources infections, provenant des média amovibles (par
exemple, les clefs USB) à travers l’auto-exécution de fichiers représentant potentiellement une menace
pour les postes (fichiers de type .EXE, .BAT, autorun.INF…), et cela, grâce au contrôle de périphérique et
contrôle d’application.
La brique optionnelle Symantec NAC permet quant à elle de contrôler la conformité d’un poste avant sa
connexion au réseau de production en vérifiant par exemple la présence de définitions antivirales récentes
et en vérifiant que les patches de sécurité critiques soient bien déployés sur les postes avant connexion de
ces derniers. Ce contrôle de conformité est par exemple utile dans le contexte d’une infection telle
Conficker/Downadup, afin de vérifier que le patch Microsoft de sécurités liés au services RPC-DCOM (cf.
security bulletin MS08-067), soit bien actif sur les terminaux Une opération de mise en quarantaine puis
une opération de correction (par exemple, remise à jours en patch/définitions antivirales) pourront être
réalisées de manière automatique si nécessaire.
Les coûts proposés sont :
> sans distinguer postes nomades, stations de travail et serveurs de fichiers dans le décompte.
> sans différencier les plates-formes, à raison d’une licence par machine.